期刊導航
網絡安全中最大的漏洞是您自己
盡管網絡安全取得了巨大進步,但有一個弱點仍然掩蓋了所有其他弱點:人為錯誤。
研究一直表明,人為錯誤是導致絕大多數網絡攻擊成功的原因。一個最新報告將這個數字定為 68%。
無論我們的技術防御變得多么先進,人為因素很可能仍然是網絡安全鏈中最薄弱的一環。
這個弱點影響到每個使用數字設備的人,但傳統的網絡教育和意識計劃——甚至新的前瞻性法律– 未能充分解決它。
那么,我們如何應對以人為本的網絡安全相關挑戰呢?
了解人為錯誤
在網絡安全的背景下,有兩種類型的人為錯誤。
首先是基于技能的錯誤。當人們做日常事情時,就會發生這種情況——尤其是當他們的注意力被轉移時。
例如,您可能忘記備份計算機中的桌面數據。你知道你應該去做,也知道怎么去做(因為你以前做過)。
但是因為你需要早點回家,忘記了你上次什么時候這樣做,或者有很多電子郵件要回復,所以你不需要。這可能會使您在發生網絡攻擊時更容易受到黑客的要求,因為沒有其他方法可以檢索原始數據。
第二種類型是基于知識的錯誤。當經驗較少的人因為缺乏重要知識或不遵守特定規則而犯網絡安全錯誤時,就會發生這種情況。
例如,即使您不知道會發生什么,您也可以點擊來自未知聯系人的電子郵件中的鏈接。這可能會導致您被黑客入侵并損失您的金錢和數據,因為該鏈接可能包含危險的惡意軟件。
傳統方法的不足
組織和政府在網絡安全教育計劃方面投入了大量資金,以解決人為錯誤。然而,這些計劃已經充其量是喜憂參半的結果.
這部分是因為許多計劃采用以技術為中心、一刀切的方法。它們通常側重于特定的技術方面,例如改善密碼安全機制或實施多重身份驗證.
然而,它們并沒有解決影響人們行為的潛在心理和行為問題。
現實情況是,改變人類行為遠比簡單地提供信息或強制要求某些做法要復雜得多。在網絡安全的背景下尤其如此。
澳大利亞和新西蘭的“Slip, Slop, Slap”防曬安全倡議等公共衛生活動說明了什么是有效的。
自四十年前這項運動開始以來,這兩個國家的黑色素瘤病例已大幅下降.行為改變需要持續投資于提高意識。
同樣的原則也適用于網絡安全教育。僅僅因為人們了解最佳實踐并不意味著他們會始終如一地應用它們——尤其是在面臨相互競爭的優先事項或時間壓力時。
新法律不足
澳大利亞政府提議網絡安全法專注于幾個關鍵領域,包括:
- 打擊勒索軟件攻擊
- 加強企業和政府機構之間的信息共享
- 加強能源、運輸和通信等關鍵基礎設施領域的數據保護
- 擴大網絡事件的調查權力
- 正在推出智能設備的最低安全標準.
這些措施至關重要。然而,與傳統的網絡安全教育計劃一樣,它們主要涉及網絡安全的技術和程序方面。
美國正在采取不同的方法。其聯邦網絡安全研發戰略計劃將“以人為本的網絡安全”作為其首要也是最重要的優先事項。
計劃說
需要更加強調以人為本的網絡安全方法,其中人們的需求、動機、行為和能力是決定信息技術系統的設計、操作和安全的最前沿。
以人為本的網絡安全的 3 條規則
那么,我們如何才能充分解決網絡安全中的人為錯誤問題呢?以下是基于最新研究.
- 最大限度地減少認知負荷.網絡安全實踐的設計應盡可能直觀和輕松。培訓計劃應側重于簡化復雜概念并將安全實踐無縫集成到日常工作流程中。
- 培養積極的網絡安全態度.教育不應依賴恐懼策略,而應強調良好網絡安全實踐的積極成果。這種方法可以幫助激勵人們改善他們的網絡安全行為。
- 采用長遠的眼光.改度和行為不是一個單一的事件,而是一個持續的過程。網絡安全教育應持續進行,并定期更新以應對不斷變化的威脅。
歸根結底,創建真正安全的數字環境需要一種整體方法。它需要結合強大的技術、合理的政策,最重要的是,確保人們受過良好的教育并具有安全意識。
如果我們能夠更好地了解人為錯誤背后的原因,我們就可以設計出更有效的培訓計劃和安全實踐,與人性相處,而不是違背人性。
鐘吉 Jay Jeong, 計算機與信息系統學院高級研究員,墨爾本大學
提供云服務支持