網(wǎng)絡安全中最大的漏洞是您自己

盡管網(wǎng)絡安全取得了巨大進步，但有一個弱點仍然掩蓋了所有其他弱點：人為錯誤。

研究一直表明，人為錯誤是導致絕大多數(shù)網(wǎng)絡攻擊成功的原因。一個最新報告將這個數(shù)字定為 68%。

無論我們的技術防御變得多么先進，人為因素很可能仍然是網(wǎng)絡安全鏈中最薄弱的一環(huán)。

這個弱點影響到每個使用數(shù)字設備的人，但傳統(tǒng)的網(wǎng)絡教育和意識計劃——甚至新的前瞻性法律– 未能充分解決它。

那么，我們?nèi)绾螒獙σ匀藶楸镜木W(wǎng)絡安全相關挑戰(zhàn)呢？

了解人為錯誤

在網(wǎng)絡安全的背景下，有兩種類型的人為錯誤。

首先是基于技能的錯誤。當人們做日常事情時，就會發(fā)生這種情況——尤其是當他們的注意力被轉(zhuǎn)移時。

例如，您可能忘記備份計算機中的桌面數(shù)據(jù)。你知道你應該去做，也知道怎么去做（因為你以前做過）。

但是因為你需要早點回家，忘記了你上次什么時候這樣做，或者有很多電子郵件要回復，所以你不需要。這可能會使您在發(fā)生網(wǎng)絡攻擊時更容易受到黑客的要求，因為沒有其他方法可以檢索原始數(shù)據(jù)。

第二種類型是基于知識的錯誤。當經(jīng)驗較少的人因為缺乏重要知識或不遵守特定規(guī)則而犯網(wǎng)絡安全錯誤時，就會發(fā)生這種情況。

例如，即使您不知道會發(fā)生什么，您也可以點擊來自未知聯(lián)系人的電子郵件中的鏈接。這可能會導致您被黑客入侵并損失您的金錢和數(shù)據(jù)，因為該鏈接可能包含危險的惡意軟件。

傳統(tǒng)方法的不足

組織和政府在網(wǎng)絡安全教育計劃方面投入了大量資金，以解決人為錯誤。然而，這些計劃已經(jīng)充其量是喜憂參半的結(jié)果.

這部分是因為許多計劃采用以技術為中心、一刀切的方法。它們通常側(cè)重于特定的技術方面，例如改善密碼安全機制或?qū)嵤?a>多重身份驗證.

然而，它們并沒有解決影響人們行為的潛在心理和行為問題。

現(xiàn)實情況是，改變?nèi)祟愋袨檫h比簡單地提供信息或強制要求某些做法要復雜得多。在網(wǎng)絡安全的背景下尤其如此。

澳大利亞和新西蘭的“Slip， Slop， Slap”防曬安全倡議等公共衛(wèi)生活動說明了什么是有效的。

自四十年前這項運動開始以來，這兩個國家的黑色素瘤病例已大幅下降.行為改變需要持續(xù)投資于提高意識。

同樣的原則也適用于網(wǎng)絡安全教育。僅僅因為人們了解最佳實踐并不意味著他們會始終如一地應用它們——尤其是在面臨相互競爭的優(yōu)先事項或時間壓力時。

新法律不足

澳大利亞政府提議網(wǎng)絡安全法專注于幾個關鍵領域，包括：

• 打擊勒索軟件攻擊
• 加強企業(yè)和政府機構(gòu)之間的信息共享
• 加強能源、運輸和通信等關鍵基礎設施領域的數(shù)據(jù)保護
• 擴大網(wǎng)絡事件的調(diào)查權力
• 正在推出智能設備的最低安全標準.

這些措施至關重要。然而，與傳統(tǒng)的網(wǎng)絡安全教育計劃一樣，它們主要涉及網(wǎng)絡安全的技術和程序方面。

美國正在采取不同的方法。其聯(lián)邦網(wǎng)絡安全研發(fā)戰(zhàn)略計劃將“以人為本的網(wǎng)絡安全”作為其首要也是最重要的優(yōu)先事項。

計劃說

需要更加強調(diào)以人為本的網(wǎng)絡安全方法，其中人們的需求、動機、行為和能力是決定信息技術系統(tǒng)的設計、操作和安全的最前沿。

以人為本的網(wǎng)絡安全的 3 條規(guī)則

那么，我們?nèi)绾尾拍艹浞纸鉀Q網(wǎng)絡安全中的人為錯誤問題呢？以下是基于最新研究.

1. 最大限度地減少認知負荷.網(wǎng)絡安全實踐的設計應盡可能直觀和輕松。培訓計劃應側(cè)重于簡化復雜概念并將安全實踐無縫集成到日常工作流程中。
2. 培養(yǎng)積極的網(wǎng)絡安全態(tài)度.教育不應依賴恐懼策略，而應強調(diào)良好網(wǎng)絡安全實踐的積極成果。這種方法可以幫助激勵人們改善他們的網(wǎng)絡安全行為。
3. 采用長遠的眼光.改度和行為不是一個單一的事件，而是一個持續(xù)的過程。網(wǎng)絡安全教育應持續(xù)進行，并定期更新以應對不斷變化的威脅。

歸根結(jié)底，創(chuàng)建真正安全的數(shù)字環(huán)境需要一種整體方法。它需要結(jié)合強大的技術、合理的政策，最重要的是，確保人們受過良好的教育并具有安全意識。

如果我們能夠更好地了解人為錯誤背后的原因，我們就可以設計出更有效的培訓計劃和安全實踐，與人性相處，而不是違背人性。

鐘吉 Jay Jeong， 計算機與信息系統(tǒng)學院高級研究員，墨爾本大學

本文轉(zhuǎn)載自對話根據(jù) Creative Commons 許可。閱讀原創(chuàng)文章.

寶寶起名 起名