信息安全论坛 (Information Security Forum, ISF) 在今天发布了新报告，探讨了 “以人为中心的安全：应对心理弱点” 的主题。人类的弱点，无论是由工作压力还是攻击者引发的，都可能会使公司暴露于网络犯罪中。随着越来越多的组织机构担心 “意外的内部人员”，应对人的心理弱点变得至关重要。

ISF 在报告中引用了 FireEye 的一项数据，该公司去年报告称，10% 的攻击都涉及到了病毒、勒索软件和间谍软件等恶意软件。90% 的事件更具针对性——例如，冒充诈骗、鱼叉式网络钓鱼攻击和 CEO 欺诈。

ISF常务董事Steve Durbin表示：

我很清楚的一点是，如果我们真的要试图解决一些针对个人的新兴威胁，那么我们需要了解用户的一些行为模式以及他们为什么会这样做。他指出可以通过对员工进行管理来优化安全问题，从而实现 “全面转变”。毕竟，他说大多数人并不是每天都抱着损害公司的意图来上班的。

在人们做出决定之前，大脑必须处理大量的信息；然而，人类利用现有数据做出选择的时间是有限的。这就是为什么大脑会寻求认知捷径，或 “启发式” 来减轻决策的负担。启发式帮助人们更有效地解决问题和学习新事物，但也可能导致认知偏差，导致错误的判断或决策。

研究人员表示，只要企业不理解认知偏差可能带来的结果，它们就会持续构成重大的安全风险。ISF 的报告列出了 12 种偏差，所有这些偏差都会对安全产生不同的影响。其中一个例子是 “有限理性” (bounded rationality)，即某人根据自己必须做出决定的时间做出 “最优” 决策的倾向。

在网络攻击期间，有限理性被证明可能是危险的，因为在网络攻击期间，紧张局势加剧，分析师可能会根据手头的数据和工具做出 “最优” 决策。

在工作场所中另一个常见的偏差是 “决策疲劳”，即在一系列重复的选择之后可用心理资源的减少。在漫长的一天结束时，员工往往倾向于做出更轻松的决定，而这可能不是最佳决定。Durbin 解释道：攻击者知道在下午晚些时候发动攻击，因为会导致糟糕的决策。

为攻击者创造优势

上述的每一个心理弱点都给了攻击者一个发动攻击的机会。虽然他们大多数人的策略没有发生什么变化，但他们在攻击复杂性和成本效益方面有所进步。犯罪分子可以利用 “社会权力” 对他人施加影响，操纵他人犯错。

社会权力分为六种不同类型：奖赏权力 (Reward Power)，承诺在任务完成时给予奖励；强制权力 (Coercive Power)，通过惩罚来影响行为；参照权力 (Referent Power)，利用 “个人崇拜” 操纵榜样的追随者；信息权力 (Information Power)，利用特定的信息使目标相信攻击者是合法的；以及专家权力 (Expert Power)，攻击者利用这种力量来冒充具备专业知识的人——可以信任的人。

精通心理的攻击者可以在不同类型的攻击中利用这些策略。Durbin 表示，鱼叉式网络钓鱼最常见，而且越来越流行，但其他技术也越来越流行。例如，网络捕鲸是钓鱼邮件的一种，攻击往往针对一个高价值目标，通常是高级管理人员或具有访问权限的人。犯罪分子通过长期的计划，在一段时间内通过不同的社会权力来建立信任。

诱饵是另一种策略，类似于网络钓鱼，但它会通过奖励引诱目标：免费的音乐或电影下载可能会泄露某个网站的凭证。短信诈骗，通过短信进行的社会工程可能会越来越流行，因为人们对短信形式的网络攻击觉察程度较低。语音钓鱼，或者是通过电话进行社交工程，可以让攻击者利用他们的声音来建立一种融洽的关系。一些犯罪分子正在通过人工智能使自己变得更加具有说服力。

我们所见过的商业网络钓鱼和攻击场景中，手机往往被排除在外。我们现在开始看到针对手机的攻击出现。

虽然语音模仿策略需要合适的技术，但他预计这一领域将会发展。运用适当的技术，发起攻击并不困难。

他接着说道关于以人为中心的网络犯罪，重要的是要记住这与员工不够聪明或粗心大意无关。

这是人性。如果你在错误的日子，或者以某种方式找上了我们，我们就会做出相应的举动。你实际上并不知道一个人在特定一天的感受。

你能做些什么

研究人员建议，自上往下检查组织机构的安全文化。这样可以更好地了解不同部门是如何评估安全性的，并查明哪些地方会发生更多的人为错误。安全主管可以从这些环节开始识别威胁，调整响应，并帮助员工应对压力大的情况。

安全管理员还应该了解员工是如何使用技术、实施控制和利用数据的。思考这些交互行为在不同地点和文化背景下的区别，并集思广益如何围绕使用它们的人设计控制和技术。

文章来源：安全牛，发布此信息的目的在于传播更多信息，如有侵权请联系删除。