“人会犯错” 是一个常识,但这也是被网络犯罪分子恶意利用的一点,有更多的人正在利用简单的人为错误成功发动攻击。
信息安全论坛 (Information Security Forum, ISF) 在今天发布了新报告,探讨了 “以人为中心的安全:应对心理弱点” 的主题。人类的弱点,无论是由工作压力还是攻击者引发的,都可能会使公司暴露于网络犯罪中。随着越来越多的组织机构担心 “意外的内部人员”,应对人的心理弱点变得至关重要。
ISF 在报告中引用了 FireEye 的一项数据,该公司去年报告称,10% 的攻击都涉及到了病毒、勒索软件和间谍软件等恶意软件。90% 的事件更具针对性——例如,冒充诈骗、鱼叉式网络钓鱼攻击和 CEO 欺诈。
ISF常务董事Steve Durbin表示:
我很清楚的一点是,如果我们真的要试图解决一些针对个人的新兴威胁,那么我们需要了解用户的一些行为模式以及他们为什么会这样做。他指出可以通过对员工进行管理来优化安全问题,从而实现 “全面转变”。毕竟,他说大多数人并不是每天都抱着损害公司的意图来上班的。
在人们做出决定之前,大脑必须处理大量的信息;然而,人类利用现有数据做出选择的时间是有限的。这就是为什么大脑会寻求认知捷径,或 “启发式” 来减轻决策的负担。启发式帮助人们更有效地解决问题和学习新事物,但也可能导致认知偏差,导致错误的判断或决策。
研究人员表示,只要企业不理解认知偏差可能带来的结果,它们就会持续构成重大的安全风险。ISF 的报告列出了 12 种偏差,所有这些偏差都会对安全产生不同的影响。其中一个例子是 “有限理性” (bounded rationality),即某人根据自己必须做出决定的时间做出 “最优” 决策的倾向。
在网络攻击期间,有限理性被证明可能是危险的,因为在网络攻击期间,紧张局势加剧,分析师可能会根据手头的数据和工具做出 “最优” 决策。
在工作场所中另一个常见的偏差是 “决策疲劳”,即在一系列重复的选择之后可用心理资源的减少。在漫长的一天结束时,员工往往倾向于做出更轻松的决定,而这可能不是最佳决定。Durbin 解释道:攻击者知道在下午晚些时候发动攻击,因为会导致糟糕的决策。
为攻击者创造优势
上述的每一个心理弱点都给了攻击者一个发动攻击的机会。虽然他们大多数人的策略没有发生什么变化,但他们在攻击复杂性和成本效益方面有所进步。犯罪分子可以利用 “社会权力” 对他人施加影响,操纵他人犯错。
社会权力分为六种不同类型:奖赏权力 (Reward Power),承诺在任务完成时给予奖励;强制权力 (Coercive Power),通过惩罚来影响行为;参照权力 (Referent Power),利用 “个人崇拜” 操纵榜样的追随者;信息权力 (Information Power),利用特定的信息使目标相信攻击者是合法的;以及专家权力 (Expert Power),攻击者利用这种力量来冒充具备专业知识的人——可以信任的人。
精通心理的攻击者可以在不同类型的攻击中利用这些策略。Durbin 表示,鱼叉式网络钓鱼最常见,而且越来越流行,但其他技术也越来越流行。例如,网络捕鲸是钓鱼邮件的一种,攻击往往针对一个高价值目标,通常是高级管理人员或具有访问权限的人。犯罪分子通过长期的计划,在一段时间内通过不同的社会权力来建立信任。
诱饵是另一种策略,类似于网络钓鱼,但它会通过奖励引诱目标:免费的音乐或电影下载可能会泄露某个网站的凭证。短信诈骗,通过短信进行的社会工程可能会越来越流行,因为人们对短信形式的网络攻击觉察程度较低。语音钓鱼,或者是通过电话进行社交工程,可以让攻击者利用他们的声音来建立一种融洽的关系。一些犯罪分子正在通过人工智能使自己变得更加具有说服力。
我们所见过的商业网络钓鱼和攻击场景中,手机往往被排除在外。我们现在开始看到针对手机的攻击出现。
虽然语音模仿策略需要合适的技术,但他预计这一领域将会发展。运用适当的技术,发起攻击并不困难。
他接着说道关于以人为中心的网络犯罪,重要的是要记住这与员工不够聪明或粗心大意无关。
这是人性。如果你在错误的日子,或者以某种方式找上了我们,我们就会做出相应的举动。你实际上并不知道一个人在特定一天的感受。
你能做些什么
研究人员建议,自上往下检查组织机构的安全文化。这样可以更好地了解不同部门是如何评估安全性的,并查明哪些地方会发生更多的人为错误。安全主管可以从这些环节开始识别威胁,调整响应,并帮助员工应对压力大的情况。
安全管理员还应该了解员工是如何使用技术、实施控制和利用数据的。思考这些交互行为在不同地点和文化背景下的区别,并集思广益如何围绕使用它们的人设计控制和技术。
相关阅读
