以人為中心的安全對(duì)企業(yè)意味著什么
2019年10月18日
人常被認(rèn)為是信息安全中的 “最弱一環(huán)”�。但公司企業(yè)一直以來(lái)都依賴技術(shù)安全控制的有效性,而未試圖理解為什么人總?cè)菀追稿e(cuò)和被操縱�����。很明顯,我們需要一種新方法�����,一種能幫助企業(yè)理解和管理心理漏洞�����,進(jìn)而采用將人類行為也考慮進(jìn)去的技術(shù)和控制措施����。
該新方法就是以人為中心的安全。
以人為中心的安全始于理解人類及其與技術(shù)���、控制和數(shù)據(jù)的互動(dòng)���。通過(guò)識(shí)別員工一天中 “觸及” 數(shù)據(jù)的時(shí)段和方式,公司企業(yè)可發(fā)現(xiàn)心理相關(guān)過(guò)失的觸發(fā)條件��,而這些過(guò)失都是可能導(dǎo)致安全事件的�����。
多年來(lái),攻擊者一直在用心理操控方法迫使人們犯錯(cuò)����。攻擊技術(shù)在數(shù)字時(shí)代持續(xù)進(jìn)化,復(fù)雜度�����、速度和規(guī)模均有增加����。了解到底是什么觸發(fā)了人為錯(cuò)誤,可以幫助企業(yè)做出信息安全方法上的巨大轉(zhuǎn)變�����。
識(shí)別人員漏洞
以人為中心的安全承認(rèn)員工每天都通過(guò)一系列觸點(diǎn)與技術(shù)�、控制和數(shù)據(jù)交互。這些觸點(diǎn)可能是數(shù)字的�����、實(shí)體的�,或者口頭的����。員工需在此類交互中做出決策��。然而�,人類有很多漏洞可能導(dǎo)致決策錯(cuò)誤�,對(duì)公司造成負(fù)面影響,比如對(duì)外發(fā)送包含敏感數(shù)據(jù)的電子郵件���、被人尾隨進(jìn)入公司限制區(qū)域�,或者在火車上討論公司并購(gòu)問(wèn)題�����。這些錯(cuò)誤也可被投機(jī)黑客用于惡意目的���。
某些情況下�,公司企業(yè)可以設(shè)置預(yù)防性控制措施緩解出錯(cuò)�,比如禁止員工向外發(fā)送電子郵件、加密筆記本電腦���,或設(shè)置實(shí)體屏障��。但錯(cuò)誤總會(huì)發(fā)生��,尤其是時(shí)間很緊張���,或者員工為了更高效地完成任務(wù)而決意違反或無(wú)視此類控制措施的時(shí)候���。壓力加大的時(shí)候錯(cuò)誤也會(huì)浮現(xiàn)。
若能識(shí)別基本人員漏洞��,理解人類心理機(jī)制�����,了解哪些東西會(huì)觸發(fā)危險(xiǎn)行為���,公司企業(yè)就會(huì)開(kāi)始理解為什么員工會(huì)犯錯(cuò)��,然后更有效地管理此類風(fēng)險(xiǎn)�。
利用人員漏洞
人類心理弱點(diǎn)為攻擊者呈現(xiàn)了影響并利用企業(yè)員工為自己謀利的機(jī)會(huì)��。自人類踏入數(shù)字時(shí)代以來(lái)�,攻擊者利用心理操控的方式就沒(méi)變過(guò),但攻擊技術(shù)卻是越來(lái)越高端�����、廉價(jià)和影響廣泛�,使攻擊者得以有效針對(duì)個(gè)人或攻擊相當(dāng)廣闊的范圍。
攻擊者利用來(lái)自互聯(lián)網(wǎng)和社交媒體源的大量免費(fèi)信息��,樹(shù)立可信人物角色和背景����,與目標(biāo)建立起友好關(guān)系。該信息被小心謹(jǐn)慎地用于對(duì)目標(biāo)施加壓力��,觸發(fā)后續(xù)啟發(fā)式?jīng)Q策響應(yīng)��。攻擊者還會(huì)用各種攻擊技術(shù)迫使目標(biāo)進(jìn)入特定認(rèn)知偏差����,造成可預(yù)測(cè)的錯(cuò)誤。然后這些錯(cuò)誤就會(huì)為攻擊者所用了��。
可被用于操縱人類行為的心理學(xué)方法有很多��,攻擊者可用來(lái)影響認(rèn)知偏差的其中一種就是社會(huì)權(quán)力����。
很多攻擊技術(shù)都采用這種社會(huì)權(quán)力方法來(lái)利用人員漏洞。攻擊技術(shù)可以是高度針對(duì)性的���,也可以是大范圍施展的�,但它們通常都包含用于喚起認(rèn)知偏差的觸發(fā)器,造成可預(yù)測(cè)的錯(cuò)誤�。非針對(duì)性的 “廣撒網(wǎng)” 式攻擊仰賴一小部分用戶點(diǎn)擊惡意鏈接,而更復(fù)雜的社會(huì)工程攻擊則更為成功����,也越來(lái)越流行。攻擊者已經(jīng)意識(shí)到對(duì)人下手遠(yuǎn)比攻擊技術(shù)基礎(chǔ)設(shè)施要簡(jiǎn)單得多了�。
攻擊技術(shù)利用社會(huì)權(quán)力觸發(fā)認(rèn)知偏差的方式隨場(chǎng)景不同而變化。某些情況下���,一封電子郵件就足以觸發(fā)能達(dá)到所需效果的認(rèn)知偏差���。其他情況下,攻擊可能會(huì)在某段時(shí)期內(nèi)用多種技術(shù)逐漸操縱目標(biāo)��。保持不變的是攻擊都是精心構(gòu)建且復(fù)雜的�。通過(guò)摸清攻擊者采用社會(huì)權(quán)力等心理學(xué)方法觸發(fā)認(rèn)知偏差并迫使出錯(cuò)的途徑,公司企業(yè)可以解構(gòu)并分析現(xiàn)實(shí)世界事件���,識(shí)別其根源��,然后投入最有效的緩解措施�����。
信息安全項(xiàng)目想要轉(zhuǎn)向以人為中心���,公司企業(yè)必須意識(shí)到認(rèn)知偏差及其對(duì)決策的影響。他們應(yīng)承認(rèn)認(rèn)知偏差既存在于正常工作環(huán)境����,也可由攻擊者采用精心編制的技術(shù)操縱而起。然后就可以開(kāi)始重塑信息安全項(xiàng)目��,改善人員漏洞管理����,保護(hù)雇員不受脅迫性和操縱性攻擊的影響。
管理人員漏洞
人員漏洞可致嚴(yán)重影響企業(yè)聲譽(yù)��,甚或帶來(lái)人身安全風(fēng)險(xiǎn)的錯(cuò)誤�����。公司企業(yè)可采取多種方法強(qiáng)化信息安全項(xiàng)目�,緩解人員漏洞風(fēng)險(xiǎn),比如采納更以人為中心的安全意識(shí)培育方法����,設(shè)計(jì)覆蓋人員行為的安全控制與技術(shù)���,提升工作環(huán)境以降低員工承壓的影響等。
審查當(dāng)前安全文化和對(duì)信息安全的接受度�,可使企業(yè)明確看出哪種認(rèn)知偏差正在影響公司。提升對(duì)人員漏洞及其利用技術(shù)的認(rèn)知����,據(jù)此設(shè)計(jì)更以人為中心的安全意識(shí)培訓(xùn),涵蓋不同人員類型�����,應(yīng)成為強(qiáng)化任何信息安全項(xiàng)目的基本元素�。
擁有以人為中心的成功安全項(xiàng)目的公司企業(yè),其信息安全和人力資源部門(mén)之間往往高度重合�����。高級(jí)職員與初級(jí)雇員之間有力的指導(dǎo)網(wǎng)絡(luò)����,結(jié)合工作日和工作環(huán)境的結(jié)構(gòu)性改善,應(yīng)有助于減少不必要的壓力,防止觸發(fā)影響決策的認(rèn)知偏差���。
發(fā)展導(dǎo)師和學(xué)員間的良好關(guān)系�����,構(gòu)建知識(shí)與理解之間的平衡。營(yíng)造能夠減少壓力����、疲累、職業(yè)倦怠和不良時(shí)間管理的工作環(huán)境與工作-生活平衡��,大幅削減出錯(cuò)概率����。最后,考慮工作空間與環(huán)境的改善或增強(qiáng)如何降低對(duì)員工的壓力����。考慮對(duì)員工而言什么才是最適合的工作環(huán)境��,因?yàn)榭蛇x項(xiàng)很多��,比如在家工作、遠(yuǎn)程工作���,或者現(xiàn)代化辦公空間�、工廠或戶外場(chǎng)合����。
將最弱一環(huán)打造成最強(qiáng)資產(chǎn)
深層心理弱點(diǎn)意味著人既容易犯錯(cuò),又容易受操縱性和脅迫性攻擊的影響��。錯(cuò)誤和操縱如今構(gòu)成了安全事件的主因����,所以,風(fēng)險(xiǎn)是深層次的�。通過(guò)幫助員工理解這些弱點(diǎn)如何導(dǎo)致不良決策和失誤,公司企業(yè)可以有效管控內(nèi)部人無(wú)心之失的風(fēng)險(xiǎn)���。而要達(dá)到這種效果���,就需要全新的信息安全方法。
以人為中心的安全方法可以幫助公司企業(yè)大幅降低認(rèn)知偏差的影響���,減少出錯(cuò)���。企業(yè)可通過(guò)識(shí)別認(rèn)知偏差和常見(jiàn)行為觸發(fā)器及攻擊技術(shù)����,往自己的安全意識(shí)項(xiàng)目中引入相應(yīng)的心理培訓(xùn)�����。校準(zhǔn)技術(shù)���、控制和數(shù)據(jù)可以解釋人類行為,而提升工作環(huán)境可以減輕壓力��。
一旦從心理層面上理解了信息安全�,公司企業(yè)就能更好地應(yīng)對(duì)人員漏洞所致風(fēng)險(xiǎn)的管理和緩解工作。以人為中心的安全將助力公司企業(yè)將最弱一環(huán)轉(zhuǎn)變?yōu)樽顝?qiáng)資產(chǎn)�����。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
