为你的公司、你的家庭甚至你自己领导网络安全工作可能是一项费力不讨好的任务。你提出了非常好的建议,但没人听从。不管你多频繁地强调需要创建强大而独特的密码,有些人就是不使用密码管理器.你可以警告不要点击可疑的链接,直到你脸色发青,但人们还是会点击。
安全初创公司Copado的副总裁兼安全主管凯尔·托本纳对此表示质疑黑帽与会者改变他们的想法。他认为,假设你无法阻止危险行为,而是努力将负面后果降至最低。
通过恐惧来改变行为是行不通的
托伯纳开始回忆。“高一的时候,我们都被拖进了礼堂,展示了一辆被撞坏的汽车,并被告知我们的同学都死了,”他说。他解释说,项目像每15分钟(在新窗口打开),以及D.A.R.E,直吓之类的,都是无效的,实际上会让行为变得更糟。
“我为什么要告诉你这些?”托伯纳问。“为什么这是相关的?在网络安全领域,恐惧是一种常见的策略——走一走供应商大厅就知道了。我们告诉人们不要做某事,但如果这样做只会让事情变得更糟呢?我的目标是帮助你提供更好的安全指导,尽你所能,无论你是在财富100强公司工作,还是试图教你的祖母有关安全的知识。”
Tobener阐述了实施减少伤害战略的三点框架:
接受冒险行为的存在。
优先减少负面后果。
在提供指导的同时,要有同情心。
什么是减少危害?
Tobener指出,近40年来,医疗保健界一直在研究这种减少伤害的替代方法,取代了一种无效的禁欲运动,以防止艾滋病毒的传播。知道艾滋病毒通过性行为和共用针头传播,减少使用的解决方案很简单——无性和无毒品。但在现实世界中,复杂的人类不一定会停止高风险行为。
Tobener解释说:“减少伤害起源于利物浦的针头交换项目。“这听起来可能很激进,但他们所做的是防止艾滋病毒爆发。”他接着引用了一项又一项研究,表明通过禁欲来阻止不想要的行为的计划是无效的,实际上往往是有害的。减少使用并不是唯一的目标。
托本纳说:“接受冒险的现实吧。“这些行为的发生是有原因的。告诉人们“不要那样做”并不能解决激励问题。减少使用会带来收益递减和意想不到的后果。”
Tobener引用了禁酒铁律(在新窗口打开)该法律规定,当你宣布某物为非法时,它的效力会增加,变得更难被发现。
“还有违背禁欲的效应,”Tobener继续说道。“当人们达到不切实际的减少使用目标时,他们可能会增加有风险的行为。他们无法达到目标,那为什么还要尝试呢?”
他指出,广泛的医学研究表明,这在禁酒令、预防青少年怀孕和禁毒战争中都有效果。他说:“接受根除不是目标这一事实。“减少使用是相关的,它仍然是首选的结果,但它不能是唯一的目标。”
如何将减害应用于网络安全
Tobener列举了许多有问题的安全指导的例子。我们让人们设置独特而复杂的密码,然后如果他们把这些密码写在笔记本上,我们就会嘲笑他们。我们想象我们可以结束网络钓鱼告诉人们不要点击不安全的链接。
“人们重复使用简单的密码,因为这节省了他们的时间和精力,”托本纳指出,“一些反钓鱼培训实际上增加了对钓鱼骗局的敏感性。”他还指出,减少吸毒策略可能会增加社会污名。“当我们指名道姓并羞辱一个犯了安全错误的人时,我们会让他们觉得自己不如同龄人。”
托本纳说:“这让我想到了减少伤害。“这是一套实用的策略和想法,旨在减少与人类各种行为相关的负面后果。它关注的是结果,而不是行为。”
“风险不是二元的,”托本纳说。“在这个范围内,风险行为有多有少。如果你只是让冒险者受苦,因为他们“活该”,你就忽略了他们周围人的伤害。任何降低伤害的步骤都是有价值的。你接受这种冒险行为,并找出任何可以减少负面影响的方法。”
框架中的最后一点是在你的指导中拥抱同情。托伯纳承认:“这有点煽情,但很重要。作为一名安全专业人员,您应该尽量不要给这些高风险行为增添污点。关心别人比打架更有趣,它会让你成为一个更好的从业者,它会减少倦怠。同情心让你更有效率。研究支持这一点。”
不要说“不”
“减少伤害在医疗保健中是有效的,”Tobener总结道。“研究支持这一观点。在网络安全领域实施减少伤害的做法存在巨大的机会。离开这个房间,我们不再说“不要那样做”。相反,我们说的是‘尽量不要这样做,但如果你这样做了,这里有一些安全的方法。’”
这对我来说是一次大开眼界的会议,我敢肯定,对其他与会者来说也是如此。在健康和社会环境中,我们都遇到过条件反射式的、基于禁欲的解决方案,我们中的一些人经历过它们失败得有多严重。在今后的安全指导尝试中,我将把减少伤害放在心上。