技术设计师首先构建产品并在用户身上进行测试。 产品第一; 用户输入用于确认其可行性并对其进行改进。 这种方法是有道理的。 麦当劳和星巴克也是如此。 人们无法想象新产品,就像他们无法想象菜谱一样,不去体验它们。
但该范式也已扩展到安全技术的设计,我们在其中构建用于保护用户的程序,然后要求用户应用它们。 这没有意义。
安全不是概念上的想法。 人们已经在使用电子邮件、浏览网页、使用社交媒体以及共享文件和图像。 安全性是对用户在发送电子邮件、浏览和在线共享时已经做的事情进行分层的改进。 这类似于要求人们系好安全带。
是时候以不同的方式看待安全了
然而,我们的安全方法就像是在教导司机安全的同时忽视人们的驾驶方式。 这样做几乎可以确保用户要么盲目地接受某些东西,认为它更好,要么另一方面,当被迫时,只是遵守它。 无论哪种方式,结果都不是最理想的。
以 VPN 软件为例。 这些都大力推广 对用户来说是必备的安全和数据保护工具,但大多数都有 限于无效. 他们让相信他们的保护措施的用户面临更大的风险,更不用说相信这种保护措施的用户承担更多的风险了。 此外,请考虑现在许多组织强制要求的安全意识培训。 那些发现培训与他们的特定用例无关的人会找到解决方法,这通常会导致无法计数的安全风险。
这一切都是有原因的。 大多数安全流程都是由具有开发技术产品背景的工程师设计的。 他们将安全视为一项技术挑战。 用户只是进入系统的另一种行为,与可以编程以执行可预测功能的软件和硬件没有什么不同。 目标是包含基于适合输入的预定义模板的操作,以便结果变得可预测。 这一切都不是以用户的需求为前提,而是反映了预先设定的编程议程。
这方面的例子可以在当今许多软件中编程的安全功能中找到。 以电子邮件应用程序为例,其中一些应用程序允许用户检查传入电子邮件的源标头,这是可以揭示发件人身份的重要信息层,而其他应用程序则不允许。 或者以移动浏览器为例,其中一些浏览器允许用户检查 SSL 证书质量,而另一些则不允许,即使用户在不同浏览器中有相同的需求。 这不像某人仅在特定应用程序上时才需要验证 SSL 或源标头。 这些差异反映的是每个编程组对用户应该如何使用他们的产品的不同看法——产品至上的心态。
用户购买、安装或遵守安全要求,相信不同安全技术的开发人员会兑现他们的承诺——这就是为什么一些用户在使用这些技术时在网上行动中更加漫不经心的原因。
是时候采用用户至上的安全方法了
我们必须颠倒安全范式——把用户放在第一位,然后围绕他们建立防御。 这不仅是因为我们必须保护人们,还因为通过培养错误的保护意识,我们正在煽动风险并使他们更加脆弱。 组织也需要它来控制成本。 即使世界经济因流行病和战争而摇摇欲坠,但组织安全支出在过去十年中呈几何级数增长。
用户至上的安全性必须从了解人们如何使用计算技术开始。 我们不得不问:是什么让用户容易通过电子邮件、消息、社交媒体、浏览、文件共享受到黑客攻击?
我们必须理清风险的基础并找到其行为、大脑和技术根源。 这是开发人员在构建安全产品时长期忽略的信息,这就是为什么即使是最注重安全的公司仍然会遭到破坏的原因。
注意上网行为
很多这样的问题 已经回答了. 安全科学已经解释了是什么让用户容易受到社会工程学的攻击。 由于社会工程针对各种在线行为,因此可以应用这些知识来解释广泛的行为。
确定的因素包括 网络风险信念—— 用户对在线行为风险的看法,以及 认知加工策略—— 用户如何认知处理信息,这决定了用户在线时对信息的关注程度。 另一组因素是 媒体习惯和仪式 这部分受设备类型的影响,部分受组织规范的影响。 信念、处理方式和习惯共同影响一段在线交流——电子邮件、消息、网页、文本——是否触发 怀疑.
训练、测量和跟踪用户怀疑
疑是遇事时的不安,是不对劲的感觉。 它几乎总是会导致信息搜索,如果一个人拥有正确类型的知识或经验,就会导致欺骗检测和纠正。 通过衡量怀疑以及导致网络钓鱼漏洞的认知和行为因素, 组织可以诊断是什么让用户容易受到攻击. 这些信息可以量化并转换成风险指数,他们可以使用该指数来识别风险最大的人—— 最薄弱的环节 ——更好地保护他们。
通过捕获这些因素,我们可以跟踪用户如何通过各种攻击被拉拢,了解他们为什么会被欺骗, 并制定解决方案以减轻它. 我们可以围绕最终用户遇到的问题制定解决方案。 我们可以废除安全要求,代之以与用户相关的解决方案。
在花费数十亿美元为用户提供安全技术之后,我们仍然容易受到网络攻击 出现在 1990 年代的 AOL 网络中. 是时候改变这一点了——围绕用户构建安全性。
