기술 설계자는 제품을 만들고 사용자에게 테스트하는 것으로 시작합니다. 제품이 우선입니다. 사용자 입력은 실행 가능성을 확인하고 개선하는 데 사용됩니다. 접근 방식은 의미가 있습니다. 맥도날드와 스타벅스도 마찬가지다. 사람들은 경험하지 않고는 레시피를 상상할 수 없듯이 새로운 제품을 상상할 수 없습니다.
그러나 그 패러다임은 또한 사용자 보호를 위한 프로그램을 구축한 다음 사용자에게 적용하도록 요청하는 보안 기술 설계로 확장되었습니다. 그리고 이것은 말이 되지 않습니다.
보안은 개념적 아이디어가 아닙니다. 사람들은 이미 이메일을 사용하고, 웹을 탐색하고, 소셜 미디어를 사용하고, 파일과 이미지를 공유합니다. 보안은 사용자가 이메일을 보내고, 검색하고, 온라인으로 공유할 때 이미 수행하고 있는 것 위에 겹쳐지는 개선 사항입니다. 사람들에게 안전벨트를 착용하라고 요구하는 것과 비슷합니다.
보안을 다르게 바라볼 시간
그러나 보안에 대한 우리의 접근 방식은 사람들이 운전하는 방식을 무시하면서 운전자 안전을 가르치는 것과 같습니다. 이 모든 것을 수행하는 것은 사용자가 무언가를 맹목적으로 채택하고 그것이 더 낫다고 믿거나 반대로 강요될 때 단순히 준수하도록 보장합니다. 어느 쪽이든 결과는 차선책입니다.
VPN 소프트웨어의 경우를 생각해 보십시오. 이들은 크게 홍보 필수 보안 및 데이터 보호 도구로 사용자에게 제공하지만 대부분은 무효로 제한. 이러한 보호를 믿는 사용자가 더 많은 위험을 감수한다는 것은 말할 것도 없고, 자신의 보호를 믿는 사용자를 더 큰 위험에 빠뜨립니다. 또한 현재 많은 조직에서 의무화하고 있는 보안 인식 교육을 고려하십시오. 교육이 특정 사용 사례와 관련이 없다고 생각하는 사람들은 해결 방법을 찾아 헤아릴 수 없는 보안 위험을 초래하는 경우가 많습니다.
여기에는 다 이유가 있습니다. 대부분의 보안 프로세스는 기술 제품 개발 경험이 있는 엔지니어가 설계합니다. 그들은 기술적인 도전으로 보안에 접근합니다. 사용자는 시스템에 대한 또 다른 작업일 뿐이며 예측 가능한 기능을 수행하도록 프로그래밍할 수 있는 소프트웨어 및 하드웨어와 다르지 않습니다. 목표는 어떤 입력이 적합한지 미리 정의된 템플릿을 기반으로 하는 작업을 포함하여 결과를 예측할 수 있도록 하는 것입니다. 이 중 어느 것도 사용자가 필요로 하는 것을 전제로 하는 것이 아니라 미리 설정된 프로그래밍 의제를 반영합니다.
이에 대한 예는 오늘날 많은 소프트웨어에 프로그래밍된 보안 기능에서 찾을 수 있습니다. 이메일 앱을 예로 들어보자. 그 중 일부는 사용자가 발신자의 신원을 드러낼 수 있는 중요한 정보 계층인 수신 이메일의 소스 헤더를 확인할 수 있게 해주는 반면 다른 앱은 그렇지 않다. 또는 사용자가 여러 브라우저에서 동일한 요구 사항을 가지고 있음에도 불구하고 일부는 사용자가 SSL 인증서 품질을 확인하도록 허용하고 다른 일부는 그렇지 않은 모바일 브라우저를 사용합니다. 누군가가 특정 앱에 있을 때만 SSL 또는 소스 헤더를 확인해야 하는 것과는 다릅니다. 이러한 차이점이 반영하는 것은 사용자가 제품을 사용하는 방법에 대한 각 프로그래밍 그룹의 고유한 관점, 즉 제품 우선 사고 방식입니다.
사용자는 다양한 보안 기술의 개발자가 약속한 바를 제공한다고 믿고 보안 요구 사항을 구매, 설치 또는 준수합니다. 이러한 이유로 일부 사용자는 이러한 기술을 사용하는 동안 온라인 작업에서 훨씬 더 무심합니다.
사용자 우선 보안 접근 방식을 위한 시간
보안 패러다임을 뒤집어 사용자를 우선으로 한 다음 사용자를 중심으로 방어를 구축하는 것이 중요합니다. 이것은 우리가 사람들을 보호해야 하기 때문일 뿐만 아니라 잘못된 보호 의식을 조장함으로써 위험을 조장하고 그들을 더욱 취약하게 만들기 때문입니다. 조직은 또한 비용을 제어하기 위해 이것이 필요합니다. 세계 경제가 팬데믹과 전쟁으로 불안정한 상황에서도 지난 XNUMX년 동안 조직의 보안 지출은 기하급수적으로 증가했습니다.
사용자 우선 보안은 사람들이 컴퓨팅 기술을 사용하는 방식에 대한 이해에서 시작해야 합니다. 우리는 질문해야 합니다. 이메일, 메시징, 소셜 미디어, 브라우징, 파일 공유를 통한 해킹에 사용자를 취약하게 만드는 것은 무엇입니까?
우리는 위험의 기초를 풀고 위험의 행동적, 대뇌적, 기술적 뿌리를 찾아야 합니다. 이것은 개발자들이 보안 제품을 구축할 때 오랫동안 무시해 온 정보였으며, 이것이 가장 보안을 중시하는 회사조차도 여전히 침해당하는 이유입니다.
온라인 행동에 주의를 기울이십시오
이러한 많은 질문들 이미 답변되었습니다. 보안 과학은 무엇이 사용자를 사회 공학에 취약하게 만드는지 설명했습니다. 사회 공학은 다양한 온라인 활동을 대상으로 하기 때문에 지식을 적용하여 광범위한 행동을 설명할 수 있습니다.
확인된 요인 중에는 다음과 같은 것들이 있습니다. 사이버 위험 신념 — 온라인 행동의 위험에 대해 사용자가 생각하는 아이디어 인지 처리 전략 — 사용자가 인지적으로 정보를 다루는 방법, 온라인 상태에서 사용자가 정보에 집중하는 주의의 정도를 나타냅니다. 또 다른 요인 세트는 다음과 같습니다. 미디어 습관과 의례 부분적으로는 장치 유형의 영향을 받고 부분적으로는 조직 규범의 영향을 받습니다. 신념, 처리 스타일 및 습관은 이메일, 메시지, 웹페이지, 텍스트와 같은 온라인 커뮤니케이션의 일부가 트리거되는지 여부에 영향을 미칩니다. 의혹.
사용자 의심 교육, 측정 및 추적
의심은 무언가를 만났을 때의 불안, 무언가가 꺼져 있다는 느낌입니다. 그것은 거의 항상 정보 탐색으로 이어지며, 사람이 올바른 유형의 지식이나 경험으로 무장한 경우 속임수 감지 및 수정으로 이어집니다. 피싱 취약점으로 이어지는 인지적, 행동적 요인과 함께 의심을 측정함으로써, 조직은 무엇이 사용자를 취약하게 만드는지 진단할 수 있습니다.. 이 정보는 정량화되어 가장 위험한 사람들을 식별하는 데 사용할 수 있는 위험 지수로 변환될 수 있습니다. 가장 약한 링크 — 더 잘 보호합니다.
이러한 요소를 포착하여 사용자가 다양한 공격을 통해 어떻게 동조하는지 추적하고 속는 이유를 이해할 수 있습니다. 완화하기 위한 솔루션 개발. 우리는 최종 사용자가 경험한 문제에 대한 솔루션을 만들 수 있습니다. 우리는 보안 명령을 없애고 사용자와 관련된 솔루션으로 대체할 수 있습니다.
사용자에게 보안 기술을 제공하는 데 수십억 달러를 소비한 후에도 우리는 여전히 사이버 공격에 취약합니다. 1990년대 AOL 네트워크에서 등장. 이제 우리가 이것을 바꾸고 사용자 중심으로 보안을 구축할 때입니다.
