行为专家说,安全行业失败的用户
根据独立网络安全顾问Jessica Barker的说法,信息安全行业并没有以对用户行为产生积极影响的方式接近认识。
“安全行业让人们以一种实际改变行为的方式提高了认识,”她在伦敦Excel的Ipexpo讲述与会者。
由于这个原因,人们继续成为安全的真正的阿基尔脚跟,这要求人们,流程和技术共同努力成功,说。
她说,未能以有效的方式提高意识,因为信息安全专业人员倾向于与用户互动的方式。
“很常见的是听到”用户是愚蠢“的意见,即信息安全性很难,因为用户什么都不知道并且是一个白痴,”巴克说。
“对我来说,这真的很具有挑战性,因为我的工作就是从事用户并赋予他们更好,但谈论用户以消极的方式倾向于占用障碍。”
她说,真正的失败是在没有提供良好的培训,这提高了理解和促进更好的用户行为。
但是,Barker说的好消息是,在提高认识改变用户行为的情况下,攻击者被迫放弃了攻击途径。
“例如,我们已经看到了商业电子邮件妥协的兴起[也称为捕鲸或首席执行官欺诈],因为攻击者意识到使用假Facebook个人资料或垃圾邮件通过Twitter不再工作,因为人们在他们使用的方式变得更加精明社交媒体,“她说。
通过在20世纪70年代的Rosenthal-jacobson研究所证明的情况下,通过具有更高的期望,通过提高更好的行为,呼吁信息安全行业更有效地从事用户更有效的行为。
“你如何对待人,你如何与人们对待有直接影响他们回馈的东西以及他们的表现方式,”她说。
Barker说,信息安全专业人士倾向于谈论良好的用户行为,好像它很容易,但它并不简单或简单。
“我们对用户的要求往往太多,例如期待他们注意到通过代替另一个字母来修改网络地址,”她说。
例如,小写l [l]几乎与大写我[i]几乎相同,但是www.google.com将导致合法站点,www.googie.com可能会导致恶意域。
Barker表示,除了具有不切实际的期望,而不是具有不切实际的期望,而是信息安全专业人员应该寻求为用户提供所需的知识,理解和翻译,他们需要识别威胁并做出更好的决定。
她注意到使用像香烟包上的健康警告一样使用“恐惧上诉”。“如果他们没有以正确的方式使用,”恐惧上诉可能会造成损害,“她说。“如果恐惧没有以一种解释威胁的方式沟通,它如何影响待融资以及你推荐的如何产生积极影响,人们不会与威胁进行威胁并理解危险。”
信息安全专业人员还需要认识到,人类对大自然感到好奇,因为这将倾向于尽情点击链接看,看看发生了什么,看看会发生什么。
“所以我们需要教人们在看看之前思考,我们需要教育他们对真正的威胁,我们需要授权他们,以便我们得到很多回来,”巴克说。
强调了用户参与和理解的重要性,以及美国国家标准和技术研究所(NIST)的新出版的研究的重要性,发现大多数典型的计算机用户体验了往往导致用户有风险的安全疲劳计算行为在工作和个人生活中。
研究人员发现,“安全疲劳”导致辞职和控制丧失的感觉,反过来,这反过来可能导致避免决策,选择替代方案中最简单的选择,使决策受到立即动机的影响,冲动,并无法遵循安全性。规则。
评论网络安全事务所CENSORNET CENO CEO CEO NIST报告的调查结果,表示,安全行业和企业需要努力为公众灌输信心,并鼓励他们使安全成为优先事项。
“安全可能看起来很复杂和耗时,但实际上并非如此,”他说。“公众需要接受教育,如两因素或多因素身份验证和密码管理人员的简单和快速的东西。”
与此同时,Macnair表示更多组织需要强制人们使用这些工具,因此它成为使用几个进程的新规范。
在她在Ipexpo的演示中,Barker还涉及双因素认证,称她在2015年进行的一项研究表明,70%的调查结果不确定两因素认证是什么。
因此,只有超过80%的人受访者表示他们不使用双因素认证。
“这是一个真正推动更好的网络安全的东西的一个例子,这在保护在线账户方面非常有效,但安全行业在沟通它的情况下失败,更不用说让人们实际使用它,”她说。