以人為中心的安全對企業(yè)意味著什么
2019年10月18日
人常被認(rèn)為是信息安全中的 “最弱一環(huán)”���。但公司企業(yè)一直以來都依賴技術(shù)安全控制的有效性��,而未試圖理解為什么人總?cè)菀追稿e和被操縱��。很明顯�����,我們需要一種新方法�,一種能幫助企業(yè)理解和管理心理漏洞,進(jìn)而采用將人類行為也考慮進(jìn)去的技術(shù)和控制措施�。
該新方法就是以人為中心的安全。
以人為中心的安全始于理解人類及其與技術(shù)�����、控制和數(shù)據(jù)的互動���。通過識別員工一天中 “觸及” 數(shù)據(jù)的時段和方式����,公司企業(yè)可發(fā)現(xiàn)心理相關(guān)過失的觸發(fā)條件,而這些過失都是可能導(dǎo)致安全事件的�����。
多年來���,攻擊者一直在用心理操控方法迫使人們犯錯����。攻擊技術(shù)在數(shù)字時代持續(xù)進(jìn)化���,復(fù)雜度�、速度和規(guī)模均有增加����。了解到底是什么觸發(fā)了人為錯誤,可以幫助企業(yè)做出信息安全方法上的巨大轉(zhuǎn)變�。
識別人員漏洞
以人為中心的安全承認(rèn)員工每天都通過一系列觸點(diǎn)與技術(shù)、控制和數(shù)據(jù)交互�����。這些觸點(diǎn)可能是數(shù)字的、實體的��,或者口頭的��。員工需在此類交互中做出決策����。然而��,人類有很多漏洞可能導(dǎo)致決策錯誤���,對公司造成負(fù)面影響��,比如對外發(fā)送包含敏感數(shù)據(jù)的電子郵件�、被人尾隨進(jìn)入公司限制區(qū)域����,或者在火車上討論公司并購問題。這些錯誤也可被投機(jī)黑客用于惡意目的���。
某些情況下���,公司企業(yè)可以設(shè)置預(yù)防性控制措施緩解出錯��,比如禁止員工向外發(fā)送電子郵件����、加密筆記本電腦�,或設(shè)置實體屏障。但錯誤總會發(fā)生���,尤其是時間很緊張���,或者員工為了更高效地完成任務(wù)而決意違反或無視此類控制措施的時候。壓力加大的時候錯誤也會浮現(xiàn)�����。
若能識別基本人員漏洞�,理解人類心理機(jī)制,了解哪些東西會觸發(fā)危險行為�����,公司企業(yè)就會開始理解為什么員工會犯錯����,然后更有效地管理此類風(fēng)險��。
利用人員漏洞
人類心理弱點(diǎn)為攻擊者呈現(xiàn)了影響并利用企業(yè)員工為自己謀利的機(jī)會�。自人類踏入數(shù)字時代以來��,攻擊者利用心理操控的方式就沒變過����,但攻擊技術(shù)卻是越來越高端、廉價和影響廣泛��,使攻擊者得以有效針對個人或攻擊相當(dāng)廣闊的范圍�����。
攻擊者利用來自互聯(lián)網(wǎng)和社交媒體源的大量免費(fèi)信息���,樹立可信人物角色和背景,與目標(biāo)建立起友好關(guān)系��。該信息被小心謹(jǐn)慎地用于對目標(biāo)施加壓力���,觸發(fā)后續(xù)啟發(fā)式?jīng)Q策響應(yīng)�。攻擊者還會用各種攻擊技術(shù)迫使目標(biāo)進(jìn)入特定認(rèn)知偏差�����,造成可預(yù)測的錯誤。然后這些錯誤就會為攻擊者所用了���。
可被用于操縱人類行為的心理學(xué)方法有很多����,攻擊者可用來影響認(rèn)知偏差的其中一種就是社會權(quán)力��。
很多攻擊技術(shù)都采用這種社會權(quán)力方法來利用人員漏洞��。攻擊技術(shù)可以是高度針對性的��,也可以是大范圍施展的���,但它們通常都包含用于喚起認(rèn)知偏差的觸發(fā)器��,造成可預(yù)測的錯誤����。非針對性的 “廣撒網(wǎng)” 式攻擊仰賴一小部分用戶點(diǎn)擊惡意鏈接�����,而更復(fù)雜的社會工程攻擊則更為成功,也越來越流行����。攻擊者已經(jīng)意識到對人下手遠(yuǎn)比攻擊技術(shù)基礎(chǔ)設(shè)施要簡單得多了。
攻擊技術(shù)利用社會權(quán)力觸發(fā)認(rèn)知偏差的方式隨場景不同而變化���。某些情況下����,一封電子郵件就足以觸發(fā)能達(dá)到所需效果的認(rèn)知偏差��。其他情況下�,攻擊可能會在某段時期內(nèi)用多種技術(shù)逐漸操縱目標(biāo)。保持不變的是攻擊都是精心構(gòu)建且復(fù)雜的��。通過摸清攻擊者采用社會權(quán)力等心理學(xué)方法觸發(fā)認(rèn)知偏差并迫使出錯的途徑����,公司企業(yè)可以解構(gòu)并分析現(xiàn)實世界事件�,識別其根源,然后投入最有效的緩解措施�。
信息安全項目想要轉(zhuǎn)向以人為中心,公司企業(yè)必須意識到認(rèn)知偏差及其對決策的影響�。他們應(yīng)承認(rèn)認(rèn)知偏差既存在于正常工作環(huán)境����,也可由攻擊者采用精心編制的技術(shù)操縱而起����。然后就可以開始重塑信息安全項目,改善人員漏洞管理�,保護(hù)雇員不受脅迫性和操縱性攻擊的影響。
管理人員漏洞
人員漏洞可致嚴(yán)重影響企業(yè)聲譽(yù)�,甚或帶來人身安全風(fēng)險的錯誤。公司企業(yè)可采取多種方法強(qiáng)化信息安全項目��,緩解人員漏洞風(fēng)險�,比如采納更以人為中心的安全意識培育方法,設(shè)計覆蓋人員行為的安全控制與技術(shù)�����,提升工作環(huán)境以降低員工承壓的影響等�。
審查當(dāng)前安全文化和對信息安全的接受度,可使企業(yè)明確看出哪種認(rèn)知偏差正在影響公司��。提升對人員漏洞及其利用技術(shù)的認(rèn)知����,據(jù)此設(shè)計更以人為中心的安全意識培訓(xùn)�����,涵蓋不同人員類型���,應(yīng)成為強(qiáng)化任何信息安全項目的基本元素。
擁有以人為中心的成功安全項目的公司企業(yè)����,其信息安全和人力資源部門之間往往高度重合。高級職員與初級雇員之間有力的指導(dǎo)網(wǎng)絡(luò)���,結(jié)合工作日和工作環(huán)境的結(jié)構(gòu)性改善����,應(yīng)有助于減少不必要的壓力���,防止觸發(fā)影響決策的認(rèn)知偏差���。
發(fā)展導(dǎo)師和學(xué)員間的良好關(guān)系��,構(gòu)建知識與理解之間的平衡。營造能夠減少壓力�����、疲累�����、職業(yè)倦怠和不良時間管理的工作環(huán)境與工作-生活平衡���,大幅削減出錯概率�。最后���,考慮工作空間與環(huán)境的改善或增強(qiáng)如何降低對員工的壓力���。考慮對員工而言什么才是最適合的工作環(huán)境���,因為可選項很多�����,比如在家工作�、遠(yuǎn)程工作,或者現(xiàn)代化辦公空間�、工廠或戶外場合。
將最弱一環(huán)打造成最強(qiáng)資產(chǎn)
深層心理弱點(diǎn)意味著人既容易犯錯����,又容易受操縱性和脅迫性攻擊的影響。錯誤和操縱如今構(gòu)成了安全事件的主因���,所以����,風(fēng)險是深層次的���。通過幫助員工理解這些弱點(diǎn)如何導(dǎo)致不良決策和失誤�����,公司企業(yè)可以有效管控內(nèi)部人無心之失的風(fēng)險�����。而要達(dá)到這種效果���,就需要全新的信息安全方法。
以人為中心的安全方法可以幫助公司企業(yè)大幅降低認(rèn)知偏差的影響��,減少出錯���。企業(yè)可通過識別認(rèn)知偏差和常見行為觸發(fā)器及攻擊技術(shù)���,往自己的安全意識項目中引入相應(yīng)的心理培訓(xùn)。校準(zhǔn)技術(shù)��、控制和數(shù)據(jù)可以解釋人類行為�,而提升工作環(huán)境可以減輕壓力。
一旦從心理層面上理解了信息安全�,公司企業(yè)就能更好地應(yīng)對人員漏洞所致風(fēng)險的管理和緩解工作。以人為中心的安全將助力公司企業(yè)將最弱一環(huán)轉(zhuǎn)變?yōu)樽顝?qiáng)資產(chǎn)����。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
