以人为中心的安全对企业意味着什么
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
人常被认为是信息安全中的 “最弱一环”。但公司企业一直以来都依赖技术安全控制的有效性,而未试图理解为什么人总容易犯错和被操纵。很明显,我们需要一种新方法,一种能帮助企业理解和管理心理漏洞,进而采用将人类行为也考虑进去的技术和控制措施。
该新方法就是以人为中心的安全。
以人为中心的安全始于理解人类及其与技术、控制和数据的互动。通过识别员工一天中 “触及” 数据的时段和方式,公司企业可发现心理相关过失的触发条件,而这些过失都是可能导致安全事件的。
多年来,攻击者一直在用心理操控方法迫使人们犯错。攻击技术在数字时代持续进化,复杂度、速度和规模均有增加。了解到底是什么触发了人为错误,可以帮助企业做出信息安全方法上的巨大转变。
识别人员漏洞
以人为中心的安全承认员工每天都通过一系列触点与技术、控制和数据交互。这些触点可能是数字的、实体的,或者口头的。员工需在此类交互中做出决策。然而,人类有很多漏洞可能导致决策错误,对公司造成负面影响,比如对外发送包含敏感数据的电子邮件、被人尾随进入公司限制区域,或者在火车上讨论公司并购问题。这些错误也可被投机黑客用于恶意目的。
某些情况下,公司企业可以设置预防性控制措施缓解出错,比如禁止员工向外发送电子邮件、加密笔记本电脑,或设置实体屏障。但错误总会发生,尤其是时间很紧张,或者员工为了更高效地完成任务而决意违反或无视此类控制措施的时候。压力加大的时候错误也会浮现。
若能识别基本人员漏洞,理解人类心理机制,了解哪些东西会触发危险行为,公司企业就会开始理解为什么员工会犯错,然后更有效地管理此类风险。
利用人员漏洞
人类心理弱点为攻击者呈现了影响并利用企业员工为自己谋利的机会。自人类踏入数字时代以来,攻击者利用心理操控的方式就没变过,但攻击技术却是越来越高端、廉价和影响广泛,使攻击者得以有效针对个人或攻击相当广阔的范围。
攻击者利用来自互联网和社交媒体源的大量免费信息,树立可信人物角色和背景,与目标建立起友好关系。该信息被小心谨慎地用于对目标施加压力,触发后续启发式决策响应。攻击者还会用各种攻击技术迫使目标进入特定认知偏差,造成可预测的错误。然后这些错误就会为攻击者所用了。
可被用于操纵人类行为的心理学方法有很多,攻击者可用来影响认知偏差的其中一种就是社会权力。
很多攻击技术都采用这种社会权力方法来利用人员漏洞。攻击技术可以是高度针对性的,也可以是大范围施展的,但它们通常都包含用于唤起认知偏差的触发器,造成可预测的错误。非针对性的 “广撒网” 式攻击仰赖一小部分用户点击恶意链接,而更复杂的社会工程攻击则更为成功,也越来越流行。攻击者已经意识到对人下手远比攻击技术基础设施要简单得多了。
攻击技术利用社会权力触发认知偏差的方式随场景不同而变化。某些情况下,一封电子邮件就足以触发能达到所需效果的认知偏差。其他情况下,攻击可能会在某段时期内用多种技术逐渐操纵目标。保持不变的是攻击都是精心构建且复杂的。通过摸清攻击者采用社会权力等心理学方法触发认知偏差并迫使出错的途径,公司企业可以解构并分析现实世界事件,识别其根源,然后投入最有效的缓解措施。
信息安全项目想要转向以人为中心,公司企业必须意识到认知偏差及其对决策的影响。他们应承认认知偏差既存在于正常工作环境,也可由攻击者采用精心编制的技术操纵而起。然后就可以开始重塑信息安全项目,改善人员漏洞管理,保护雇员不受胁迫性和操纵性攻击的影响。
管理人员漏洞
人员漏洞可致严重影响企业声誉,甚或带来人身安全风险的错误。公司企业可采取多种方法强化信息安全项目,缓解人员漏洞风险,比如采纳更以人为中心的安全意识培育方法,设计覆盖人员行为的安全控制与技术,提升工作环境以降低员工承压的影响等。
审查当前安全文化和对信息安全的接受度,可使企业明确看出哪种认知偏差正在影响公司。提升对人员漏洞及其利用技术的认知,据此设计更以人为中心的安全意识培训,涵盖不同人员类型,应成为强化任何信息安全项目的基本元素。
拥有以人为中心的成功安全项目的公司企业,其信息安全和人力资源部门之间往往高度重合。高级职员与初级雇员之间有力的指导网络,结合工作日和工作环境的结构性改善,应有助于减少不必要的压力,防止触发影响决策的认知偏差。
发展导师和学员间的良好关系,构建知识与理解之间的平衡。营造能够减少压力、疲累、职业倦怠和不良时间管理的工作环境与工作-生活平衡,大幅削减出错概率。最后,考虑工作空间与环境的改善或增强如何降低对员工的压力。考虑对员工而言什么才是最适合的工作环境,因为可选项很多,比如在家工作、远程工作,或者现代化办公空间、工厂或户外场合。
将最弱一环打造成最强资产
深层心理弱点意味着人既容易犯错,又容易受操纵性和胁迫性攻击的影响。错误和操纵如今构成了安全事件的主因,所以,风险是深层次的。通过帮助员工理解这些弱点如何导致不良决策和失误,公司企业可以有效管控内部人无心之失的风险。而要达到这种效果,就需要全新的信息安全方法。
以人为中心的安全方法可以帮助公司企业大幅降低认知偏差的影响,减少出错。企业可通过识别认知偏差和常见行为触发器及攻击技术,往自己的安全意识项目中引入相应的心理培训。校准技术、控制和数据可以解释人类行为,而提升工作环境可以减轻压力。
一旦从心理层面上理解了信息安全,公司企业就能更好地应对人员漏洞所致风险的管理和缓解工作。以人为中心的安全将助力公司企业将最弱一环转变为最强资产。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
新手段:身份识别揭露网络犯罪
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 随着世界逐步数字化,有组织犯罪也日益复杂,犯罪分子利用更先进的技术和更复杂的网络结构模型在全球范围内活动,严重影响了世界范围的公司企业和消费者。 因此,防范未来网络攻击,先机很重要,越早行动,越能够减少个人财产损失,加强个人信息保护。然而,知己知彼才能百战百胜,首先要知道对手是谁,知道网络攻击者的身份至关重要。 过去,有组织犯罪团体利用“Boots on the Ground”(“地面部队”)方法进行攻击,这就更需要组织内部和现场的协调。如今,这种方法不利于更小、更灵活、结构更松散的犯罪团伙,这些犯罪团伙采用先进技术来提升犯罪能力,而不必踏入受害者国家。 网络罪犯可以侵入公司数据库,无论在何地都可以窃取大量敏感信息。因此,网络犯罪技术和组织的复杂性催生了一种现代打击犯罪方法,即将身份识别技术应用于网络防御和犯罪打击。 早在2007年,笔者就以美国空军情报分析员的身份被派往伊拉克,并被分配到联合特种作战司令部(JSOC)工作组,目的是通过瞄准和占领基地组织高级领导人(AQSL)来破坏恐怖活动。笔者试图揭露敌军领导层、...
- 下一篇
智能安全运营,不得不说的秘密
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 很多企业购买了安全产品和安全服务,建立团队来建设和运营安全体系,但是还是遇到诸多问题。比如:企业采购大量异构的安全设备,分散各处,产生海量日志,给日志分析、事件处置带来了困难; IT高层被大量碎片化信息所淹没,无法宏观判断,有效决策;IT运维人员到处救火,每次重大安全事件保障都会手忙脚乱的应对,效率低下,无法真正发挥出设备和平台的能力…… 在复杂且快速变化的大环境中,如何有效地保障企业安全,是摆在每个企业面前的关键问题。 安全运营新趋势 企业购买安全产品和安全服务,花钱雇佣安全工程师,目标是要解决问题,而解决问题不仅仅是把一个安全产品买回来、拿到一份安全报告就结束的事情。随着安全管理和技术的发展,安全运营被提到越来越重要的地位。 在管理学中,对运营有个定义“运营就是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称”。而安全运营,就是为了实现安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。通过安全运营过程的统筹管理,满足企业安全的动...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群