为你的公司、你的家庭甚至你自己领导网络安全工作可能是一项吃力不讨好的任务。你的建议真的很好,但没人听。无论你多频繁地阐明创建强大而独特的密码的必要性,有些人就是不会使用密码管理器.你可以警告不要点击可疑的链接,直到你脸色发青,但人们还是会点击。
安全初创公司Copado的副总裁兼安全主管凯尔•托本纳对此提出了质疑黑帽会议参与者改变他们的想法。他认为,假设你无法阻止危险行为,转而努力将负面后果最小化。
通过恐惧来改变行为是行不通的
托伯纳以一段回忆开场。“高一的时候,我们都被拖进礼堂,看一辆被撞坏的汽车,还被告知我们的同学都死了,”他说。他解释说,项目像每15分钟(在一个新窗口中打开),以及D.A.R.E、Scared Straight等方法都是无效的,实际上会让行为变得更糟。
“我为什么要告诉你这些?””,Tobener查询。“为什么这是相关的?在网络安全领域,恐惧是一种常见的策略——只要走进供应商的大厅就行了。我们告诉人们不要做某些事,但如果这样做只会让事情变得更糟呢?我的目标是帮助你提供更好的安全指导,尽你所能,无论你是在财富100强公司,还是试图教你的祖母安全知识。”
托本纳提出了实施减少伤害战略的三点框架:
接受冒险行为的存在。
优先考虑减少负面后果。
在提供指导的同时拥抱同情。
什么是减少危害?
托本纳指出,医疗保健界在近40年的时间里一直在研究这种减少伤害的替代方法,取代了一种无效的、只针对艾滋病毒传播的禁欲运动。知道艾滋病毒通过性行为和共用针头传播,减少使用的方法很简单——无性行为和无毒品。但在现实世界中,复杂的人类不一定会停止高风险行为。
托伯纳解释说:“减少伤害起源于利物浦的针头交换项目。“这可能听起来很激进,但他们所做的是防止了艾滋病毒的爆发。”他接着引用了一项又一项研究,表明通过禁欲来阻止不必要行为的项目是无效的,而且通常是有害的。减少使用不能是唯一的目标。
Tobener说:“要接受这样一个事实:冒险是必须的。”“这些行为的发生是有原因的。告诉人们“不要那样做”并不能解决激励问题。减少使用会带来收益递减和意想不到的后果。”
Tobener引用了禁酒令铁律(在一个新窗口中打开)它的意思是,当你取缔某样东西时,它的效力会增加,变得更难被发现。
Tobener继续说:“还有禁欲违反效应。”“当人们达到不切实际的减少使用量目标时,他们可能会增加有风险的行为。他们无法达到目标,为什么还要尝试呢?”
他指出,广泛的医学研究表明,这在禁酒、预防少女怀孕和禁毒战争中产生了影响。他说:“要承认根除不是目标。“减少使用是相关的,它仍然是首选的结果,但它不能是唯一的目标。”
如何将减害应用于网络安全
Tobener列举了许多安全性指导存在问题的例子。我们告诉人们要让他们的密码独特而复杂,然后如果他们把这些密码写在笔记本上,我们会嘲笑他们。我们想象我们可以结束网络钓鱼告诉人们不要点击不安全的链接。
“人们重复使用简单的密码,因为这节省了他们的时间和精力,”Tobener指出,“一些反钓鱼训练实际上增加了对钓鱼骗局的敏感性。”他还指出,减少使用的策略可能会增加社会耻辱。“当我们点名羞辱某个犯了安全错误的人时,我们会让他们觉得自己不如同龄人。”
托伯纳说:“这让我想到了减少伤害的问题。“这是一套实用的策略和想法,旨在减少与各种人类行为相关的负面后果。它关注的是结果,而不是行为。”
“风险不是二元的,”Tobener说。“谱系上的风险行为有多有少。如果你让冒险者忍受痛苦,因为他们“活该”,你就忽视了他们周围人的伤害。任何降低危害的步骤都是有价值的。你接受这种冒险的行为,并找出任何可以减少负面影响的方法。”
框架的最后一点是在你的指导中拥抱同情。“这有点牵强,”托伯纳承认,“但这很重要。作为一名安全专业人员,您应该尽量不要给这些高风险行为添加污点。关心他人比打架更有趣,它让你成为更好的实践者,并减少精疲力竭。同情让你更有效率。研究支持这一点。”
不要说“不”
Tobener总结道:“减少伤害在医疗保健中是有效的。”“研究支持这一观点。在网络安全领域实施减少危害的做法存在巨大的机会。离开这个房间,我们不会再说“不要那样做”。相反,我们说的是‘尽量不要这样做,但如果你这样做了,这里有一些安全的方法。’”
我相信,对我和其他与会者来说,这是一次大开眼界的会议。在健康和社会环境中,我们都遇到过条件反射式的、基于禁欲的解决方案,我们中的一些人也经历过它们失败的严重程度。我将在今后的安全指导工作中牢记减少伤害的重要性。