בנה אבטחה סביב משתמשים: גישה ראשונה אנושית לחוסן סייבר של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

בנה אבטחה סביב משתמשים: גישה אנושית ראשונה לחוסן סייבר

חותמת זמן: 4 בנובמבר 2022 10:00

מעצבי טכנולוגיה מתחילים בבניית מוצר ובדיקתו על משתמשים. המוצר מגיע ראשון; קלט המשתמש משמש כדי לאשר את הכדאיות שלו ולשפר אותו. הגישה הגיונית. מקדונלד'ס וסטארבקס עושות את אותו הדבר. אנשים לא יכולים לדמיין מוצרים חדשים, בדיוק כמו שהם לא יכולים לדמיין מתכונים, מבלי להתנסות בהם.

אבל הפרדיגמה הורחבה גם לעיצוב טכנולוגיות אבטחה, שבהן אנחנו בונים תוכניות להגנה על משתמשים ואז מבקשים מהמשתמשים ליישם אותן. וזה לא הגיוני.

אבטחה היא לא רעיון מושגי. אנשים כבר משתמשים בדוא"ל, כבר גולשים באינטרנט, משתמשים במדיה חברתית ומשתפים קבצים ותמונות. אבטחה היא שיפור שרובד על משהו שמשתמשים כבר עושים בעת שליחת אימיילים, גלישה ושיתוף באינטרנט. זה דומה לבקש מאנשים לחגור חגורת בטיחות.

הגיע הזמן להסתכל על אבטחה אחרת

עם זאת, הגישה שלנו לאבטחה היא כמו ללמד בטיחות לנהג תוך התעלמות מאיך שאנשים נוהגים. עשיית כל זה פרט לכך שהמשתמשים יאמצו משהו באופן עיוור, מאמינים שהוא טוב יותר, או שבצד השני, כאשר הם נאלצים, פשוט יעמדו בו. כך או כך, התוצאות אינן אופטימליות.

קח את המקרה של תוכנת VPN. אלה מקודמים בכבדות למשתמשים ככלי אבטחה והגנת נתונים חובה, אך לרובם יש מוגבל ללא תוקף. הם מעמידים משתמשים המאמינים בהגנות שלהם בסיכון גדול יותר, שלא לדבר על כך שמשתמשים לוקחים יותר סיכונים, מאמינים בהגנות כאלה. כמו כן, שקול את ההכשרה למודעות אבטחה המוטלת כעת על ידי ארגונים רבים. אלה שמוצאים שההכשרה אינה רלוונטית למקרי השימוש הספציפיים שלהם מוצאים דרכים לעקיפת הבעיה, שלעתים קרובות מובילות לסיכוני אבטחה בלתי נספרים.

יש סיבה לכל זה. רוב תהליכי האבטחה מתוכננים על ידי מהנדסים עם רקע בפיתוח מוצרים טכנולוגיים. הם מתייחסים לאבטחה כאתגר טכני. משתמשים הם רק עוד פעולה במערכת, לא שונה מתוכנה וחומרה שניתן לתכנת לבצע פונקציות צפויות. המטרה היא להכיל פעולות המבוססות על תבנית מוגדרת מראש של אילו תשומות מתאימות, כך שהתוצאות יהיו ניתנות לחיזוי. כל זה אינו מבוסס על מה שהמשתמש צריך, אלא משקף אג'נדה תכנותית שנקבעה מראש.

דוגמאות לכך ניתן למצוא בפונקציות האבטחה המתוכנתות בחלק גדול מהתוכנות של היום. קחו אפליקציות דוא"ל, שחלקן מאפשרות למשתמשים לבדוק את כותרת המקור של דוא"ל נכנס, שכבה חשובה של מידע שיכולה לחשוף את זהות השולח, בעוד שאחרות לא. או קחו דפדפנים ניידים, שבהם, שוב, חלקם מאפשרים למשתמשים לבדוק את איכות אישור ה-SSL בעוד שאחרים לא, למרות שלמשתמשים יש אותם צרכים בכל הדפדפנים. זה לא שמישהו צריך לאמת את ה-SSL או את כותרת המקור רק כאשר הוא נמצא באפליקציה ספציפית. ההבדלים הללו משקפים את ההשקפה הייחודית של כל קבוצת תכנות לגבי האופן שבו המוצר שלהם צריך לשמש את המשתמש - מנטליות של מוצר ראשון.

משתמשים רוכשים, מתקינים או מצייתים לדרישות האבטחה מתוך אמונה שהמפתחים של טכנולוגיות אבטחה שונות מספקים את מה שהם מבטיחים - וזו הסיבה שחלק מהמשתמשים נהנים אפילו יותר בפעולות המקוונות שלהם בזמן שהם משתמשים בטכנולוגיות כאלה.

הגיע הזמן לגישת אבטחה ראשונה למשתמש

זה הכרחי שנהפוך את פרדיגמת האבטחה - לשים את המשתמשים במקום הראשון, ולאחר מכן לבנות סביבם הגנה. זה לא רק בגלל שאנחנו חייבים להגן על אנשים, אלא גם בגלל, על ידי טיפוח תחושת הגנה מזויפת, אנחנו מעוררים סיכון והופכים אותם לפגיעים יותר. ארגונים זקוקים לכך גם כדי לשלוט בעלויות. גם כשהכלכלות בעולם התנודדו ממגיפות ומלחמות, הוצאות האבטחה הארגוניות בעשור האחרון גדלו מבחינה גיאומטרית.

אבטחה ראשונה למשתמש חייבת להתחיל בהבנה כיצד אנשים משתמשים בטכנולוגיית מחשוב. עלינו לשאול: מה זה שהופך את המשתמשים לפגיעים לפריצה באמצעות דואר אלקטרוני, הודעות, מדיה חברתית, גלישה, שיתוף קבצים?

עלינו לפרק את הבסיס לסיכון ולאתר את השורשים ההתנהגותיים, המוחיים והטכניים שלו. זה היה המידע שמפתחים התעלמו ממנו זמן רב בזמן שהם בנו את מוצרי האבטחה שלהם, וזו הסיבה שאפילו החברות האבטחות ביותר עדיין נפרצו.

שימו לב להתנהגות מקוונת

רבות מהשאלות הללו כבר נענו. מדע האבטחה הסביר מה הופך משתמשים לפגיעים להנדסה חברתית. מכיוון שהנדסה חברתית מכוונת למגוון פעולות מקוונות, ניתן ליישם את הידע כדי להסביר מגוון רחב של התנהגויות.

בין הגורמים שזוהו הם אמונות בסיכון סייבר - רעיונות שמשתמשים מחזיקים במוחם לגבי הסיכון של פעולות מקוונות, וכן אסטרטגיות עיבוד קוגניטיביות - כיצד משתמשים מתייחסים באופן קוגניטיבי למידע, מה שמכתיב את כמות תשומת הלב הממוקדת שמשתמשים מקדישים למידע כשהם מקוונים. קבוצה נוספת של גורמים הם הרגלי תקשורת וטקסים המושפעים בחלקם מסוגי המכשירים ובחלקם מנורמות ארגוניות. יחדיו, אמונות, סגנונות עיבוד והרגלים משפיעים אם יצירת תקשורת מקוונת - דואר אלקטרוני, הודעה, דף אינטרנט, טקסט - מפעילה חשד.

לאמן, למדוד ולעקוב אחר חשדות משתמשים

החשד הוא שאי-נחת כשנתקלים במשהו, התחושה שמשהו כבוי. זה כמעט תמיד מוביל לחיפוש מידע, ואם אדם חמוש בסוגי הידע או הניסיון הנכונים, מוביל להטעיה-גילוי ותיקון. על ידי מדידת חשד יחד עם הגורמים הקוגניטיביים וההתנהגותיים המובילים לפגיעות דיוג, ארגונים יכולים לאבחן מה גרם למשתמשים לפגיעים. ניתן לכמת מידע זה ולהמיר אותו למדד סיכון שבו הם יכולים להשתמש כדי לזהות את אלו שנמצאים בסיכון הגבוה ביותר - החוליות החלשות ביותר - ולהגן עליהם טוב יותר.

על ידי לכידת הגורמים הללו, נוכל לעקוב אחר האופן שבו משתמשים מקבלים שיתוף באמצעות התקפות שונות, להבין מדוע הם מרומים, ולפתח פתרונות למתן אותה. אנו יכולים ליצור פתרונות סביב הבעיה כפי שחווים משתמשי קצה. אנחנו יכולים לבטל את מנדטי האבטחה, ולהחליף אותם בפתרונות הרלוונטיים למשתמשים.

לאחר שבזבז מיליארדים על הצבת טכנולוגיית אבטחה מול המשתמשים, אנחנו נשארים חשופים לא פחות להתקפות סייבר הופיע ברשת AOL בשנות ה-1990. הגיע הזמן שנשנה את זה - ונבנה אבטחה סביב משתמשים.

בול זמן:

עוד מ קריאה אפלה