近日,卡巴斯基发布2019年垃圾邮件和钓鱼邮件分析报告,其中垃圾邮件占邮件总量56.51%,比2018年高4.03%,,有17%的用户经历过网络钓鱼,且垃圾邮件最大来源是中国占21.26%。网络安全事态比你认为的要严重,每天发生的网络攻击在层出不穷上演,以钓鱼邮件、电话诈骗等为代表的网络攻击对社会造成的影响绝不仅仅是信息泄露,也包括极大的经济损失,涉及层面从个人、企事业单位,甚至上升到国家层面。因此迫切找寻网络攻击发生的主因、遏制其带来的不良影响刻不容缓。
谈到这里,作者发现仍有不少人认为技术缺陷是造成网络安全事件的主因,技术更新迭代跟不上黑客的攻击速度,导致企业网络被黑客攻破才造成重要信息泄露。根据Gartner发表的一份报道显示,90%的网络安全事件发生的主要因素是“人”,人的安全意识薄弱才是诱发原因。 在网络安全的防线上,人的漏洞是最难修补的,搞定操作计算机系统的人,和技术上搞定计算机系统是一样的效果。
我们都知道,人进入信息社会才只有短短的五十年时间,但人大脑处理问题的方式可能还停留在1万年前的石器时代,大脑机制的进化速度远远跟不上互联网的发展速度,生存选择积累下来的生理、思维误区在面对高速发展的网络弊端尽显,所以攻击人远比攻击设备要来的简单。人脑就好比是一台超级计算机,我们知道计算机软件存在缺陷,就会导致计算机有安全漏洞,软件就好比人脑的思维误区和情绪等,而这些就是我们的“人脑漏洞”。 对于计算机漏洞,我们可以通过更新软件修复补丁等行为方式来进行修复,但对于人脑漏洞呢?该怎么修复?
谈之修复人脑漏洞之前,我们先了解一下大脑作决定的方式,我们的大脑有快与慢两种作决定的方式,在卡尼曼的《思考,快与慢》一书中,他把它们用系统1和系统2来区分,常用的无意识的“系统1”依赖情感、记忆和经验迅速作出判断,它见闻广博,使我们能够迅速对眼前的情况作出反应。而“系统2”通过调动注意力来分析和解决问题,并作出决定,它比较慢,不容易出错,但它很懒惰,经常走捷径,有时候直接采纳系统1的直觉来判断结果。简单来说,当骗术被伪装成我们所熟悉的某件事或者某个场景时,大脑中的系统1会根据“经验“直接作出判断,这时候大脑2不加思索,让人作出错误决定。比如当你收到一封钓鱼邮件,大脑1告诉你它就是一封普通邮件,不会对人造成什么大影响,而大脑2也不会去分析其中暗藏的危机,致使很多人随意点击这些钓鱼邮件。
世界头号黑客凯文·米特尼克(Kevin Mitnick)也说:最擅长发现的漏洞不是技术问题,而是人性的弱点。在他的畅销书《欺骗的艺术:控制安全的人为因素》中,凯文·米特尼克表示人而不是技术是安全方面最薄弱环节这一观点,书中还揭示了一个事实,即使没有先进的黑客工具,利用社工也可能导致企业大规模违规和数据泄露。
人为因素是影响网络安全的主要因素,这在脑科学中也是可以得到合理的解释。我们知道人的行为是由大脑发出的指令完成的,在大脑的重要区域里,“前额叶”具有让人理性思考、帮助人判断、分析的功能,它在人们的思维和行为中起着非常突出的作用,同样作为人脑重要区域之一的“杏仁核”则是处理情绪,尤其是恐惧方面具由突出作用。当杏仁核处理强烈的感觉与情绪时,理性思维跟不上杏仁核的处理进度,此时人的行为就凭感性做事。
修复“人脑漏洞”的关键就在于处理问题时,大脑杏仁核处理速度慢下来,便于大脑可以理性思考问题,简单来说就是“多思考,别急于做决定!”人在遇事前能进行以下三个思考动作,实际上是能识别大多数骗术的:“Stop”、 “Think”、 “Connect”,即停下来、想一想,再决定下一步的动作,但问题在于普通人没有经过教育并不会产生这样的意识行为。
目前想要改变这种情况,主要通过意识教育改变员工认知,进而改变员工不正确的行为。而开展意识教育的关键在于效果,对企业来说,盲目开展相关工作既浪费时间又没有效果。对企业来说也不是没有办法,术业有专攻,与其浪费时间筹划没经验不在行的事,倒不如请专业机构帮忙开展。并且这种投入所获得的回报是长久的,因为通过意识教育让员工改变错误行为是持续的,这也是建立良好的企业安全文化的基础。
来源:freebuf.com 2020-08-19 15:04:41 by: 易念科技
请登录后发表评论
注册