人常被认为是信息安全中的 “最弱一环”。但公司企业一直以来都依赖技术安全控制的有效性,而未试图理解为什么人总容易犯错和被操纵。很明显,我们需要一种新方法,一种能帮助企业理解和管理心理漏洞,进而采用将人类行为也考虑进去的技术和控制措施。
该新方法就是以人为中心的安全。
以人为中心的安全始于理解人类及其与技术、控制和数据的互动。通过识别员工一天中 “触及” 数据的时段和方式,公司企业可发现心理相关过失的触发条件,而这些过失都是可能导致安全事件的。
多年来,攻击者一直在用心理操控方法迫使人们犯错。攻击技术在数字时代持续进化,复杂度、速度和规模均有增加。了解到底是什么触发了人为错误,可以帮助企业做出信息安全方法上的巨大转变。
识别人员漏洞
以人为中心的安全承认员工每天都通过一系列触点与技术、控制和数据交互。这些触点可能是数字的、实体的,或者口头的。员工需在此类交互中做出决策。然而,人类有很多漏洞可能导致决策错误,对公司造成负面影响,比如对外发送包含敏感数据的电子邮件、被人尾随进入公司限制区域,或者在火车上讨论公司并购问题。这些错误也可被投机黑客用于恶意目的。
某些情况下,公司企业可以设置预防性控制措施缓解出错,比如禁止员工向外发送电子邮件、加密笔记本电脑,或设置实体屏障。但错误总会发生,尤其是时间很紧张,或者员工为了更高效地完成任务而决意违反或无视此类控制措施的时候。压力加大的时候错误也会浮现。
若能识别基本人员漏洞,理解人类心理机制,了解哪些东西会触发危险行为,公司企业就会开始理解为什么员工会犯错,然后更有效地管理此类风险。
利用人员漏洞
人类心理弱点为攻击者呈现了影响并利用企业员工为自己谋利的机会。自人类踏入数字时代以来,攻击者利用心理操控的方式就没变过,但攻击技术却是越来越高端、廉价和影响广泛,使攻击者得以有效针对个人或攻击相当广阔的范围。
攻击者利用来自互联网和社交媒体源的大量免费信息,树立可信人物角色和背景,与目标建立起友好关系。该信息被小心谨慎地用于对目标施加压力,触发后续启发式决策响应。攻击者还会用各种攻击技术迫使目标进入特定认知偏差,造成可预测的错误。然后这些错误就会为攻击者所用了。
可被用于操纵人类行为的心理学方法有很多,攻击者可用来影响认知偏差的其中一种就是社会权力。
很多攻击技术都采用这种社会权力方法来利用人员漏洞。攻击技术可以是高度针对性的,也可以是大范围施展的,但它们通常都包含用于唤起认知偏差的触发器,造成可预测的错误。非针对性的 “广撒网” 式攻击仰赖一小部分用户点击恶意链接,而更复杂的社会工程攻击则更为成功,也越来越流行。攻击者已经意识到对人下手远比攻击技术基础设施要简单得多了。
攻击技术利用社会权力触发认知偏差的方式随场景不同而变化。某些情况下,一封电子邮件就足以触发能达到所需效果的认知偏差。其他情况下,攻击可能会在某段时期内用多种技术逐渐操纵目标。保持不变的是攻击都是精心构建且复杂的。通过摸清攻击者采用社会权力等心理学方法触发认知偏差并迫使出错的途径,公司企业可以解构并分析现实世界事件,识别其根源,然后投入最有效的缓解措施。
信息安全项目想要转向以人为中心,公司企业必须意识到认知偏差及其对决策的影响。他们应承认认知偏差既存在于正常工作环境,也可由攻击者采用精心编制的技术操纵而起。然后就可以开始重塑信息安全项目,改善人员漏洞管理,保护雇员不受胁迫性和操纵性攻击的影响。
管理人员漏洞
人员漏洞可致严重影响企业声誉,甚或带来人身安全风险的错误。公司企业可采取多种方法强化信息安全项目,缓解人员漏洞风险,比如采纳更以人为中心的安全意识培育方法,设计覆盖人员行为的安全控制与技术,提升工作环境以降低员工承压的影响等。
审查当前安全文化和对信息安全的接受度,可使企业明确看出哪种认知偏差正在影响公司。提升对人员漏洞及其利用技术的认知,据此设计更以人为中心的安全意识培训,涵盖不同人员类型,应成为强化任何信息安全项目的基本元素。
拥有以人为中心的成功安全项目的公司企业,其信息安全和人力资源部门之间往往高度重合。高级职员与初级雇员之间有力的指导网络,结合工作日和工作环境的结构性改善,应有助于减少不必要的压力,防止触发影响决策的认知偏差。
发展导师和学员间的良好关系,构建知识与理解之间的平衡。营造能够减少压力、疲累、职业倦怠和不良时间管理的工作环境与工作-生活平衡,大幅削减出错概率。最后,考虑工作空间与环境的改善或增强如何降低对员工的压力。考虑对员工而言什么才是最适合的工作环境,因为可选项很多,比如在家工作、远程工作,或者现代化办公空间、工厂或户外场合。
将最弱一环打造成最强资产
深层心理弱点意味着人既容易犯错,又容易受操纵性和胁迫性攻击的影响。错误和操纵如今构成了安全事件的主因,所以,风险是深层次的。通过帮助员工理解这些弱点如何导致不良决策和失误,公司企业可以有效管控内部人无心之失的风险。而要达到这种效果,就需要全新的信息安全方法。
以人为中心的安全方法可以帮助公司企业大幅降低认知偏差的影响,减少出错。企业可通过识别认知偏差和常见行为触发器及攻击技术,往自己的安全意识项目中引入相应的心理培训。校准技术、控制和数据可以解释人类行为,而提升工作环境可以减轻压力。
一旦从心理层面上理解了信息安全,公司企业就能更好地应对人员漏洞所致风险的管理和缓解工作。以人为中心的安全将助力公司企业将最弱一环转变为最强资产。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】