如何推动 “以人为本的网络安全”,以提高安全产品和服务的可用性和有效性。
许多安全团队往往将非安全领域的同事视为安全计划中的潜在薄弱环节,认为他们难免决策不当。安全团队会引入技术手段,减轻不当决策带来的影响。这种观点不难理解:Verizon发布的《数据泄露调查报告》显示,2023年有68%的安全漏洞与“人为因素”有关,而在2022年这一比例高达74%。
然而,“单纯依靠技术补救不当决策”的方法,正在让那些期望提升网络安全的公司感到失望。在美国国家标准与技术研究院(NIST)发布的名为《用户并不愚蠢》的手册中,NIST提醒组织,糟糕的可用性设计、过度叠加的安全措施以及忽视用户反馈反而会制造出内部威胁。
相反,组织应采取以人为本的网络安全(HCC)方法,重点关注基于用户需求和动机的流程与产品设计,并通过激励机制引导用户实施安全行为。HCC项目通常包括安全意识培训、反网络钓鱼课程、为安全产品增加用户反馈渠道,并力求减少普通员工在安全方面承担的责任。HCC方法中至关重要的工具包括安全监控以及用户/实体行为分析(UEBA)。
NIST信息技术实验室HCC项目负责人Julie Haney强调,HCC不仅仅是寻求以用户为中心或友好的安全产品。Haney表示:“在设计和实施安全措施时,真正重要的是将人放在首位。如果网络安全方案没有以人为中心,忽视了用户的实际需求,最终得到的安全解决方案将无法使用——这样反而更容易让人犯错或做出冒险决策,甚至为了应付任务而选择不那么安全的替代方案。”
2024年10月,NIST推出了“以人为中心的网络安全利益社区”(COI),旨在汇集从业者、学者和政策制定者,共同探讨如何使安全更高效、更贴近用户需求。
网络安全应赋能于人
关注人性化安全设计的并不止是政府机构,越来越多的企业安全团队也开始重视HCC。根据研究机构Gartner的预测,到2027年,半数大型企业的首席信息安全官(CISO)将采用以人为本的实践和设计来提升网络安全。实际上,Gartner在2023年将以人为本的安全设计列为顶级网络安全趋势之一。该公司在今年略微调整了命名,但仍然将“安全行为与文化项目”(SBCP)视为2024年顶级网络安全趋势之一。
Gartner高级首席分析师Victoria Cason指出,安全团队需要停止对员工说教,而是与之建立对话,共同创造以网络安全为核心的文化。
她表示:“采用以人为本的方法意味着我们面对的不是冰冷的机器,而是拥有不同行为、需求和动机的个体。我们需要努力解决他们在最佳安全实践上的需求、愿望和行为,而不仅仅是告诉他们该做什么。”
Gartner认为,SBCP的实施步骤包括威胁模拟、自动化与数据分析的引入,以帮助用户做出安全决策,鼓励员工报告潜在安全事件,以及通过跟踪指标展示SBCP的效果。根据Gartner的数据,近一半实施SBCP的公司已经采取了所有这些步骤。
减少网络安全中的摩擦不仅可以改善公司的安全状况,还能减轻传统对抗性工作模式带来的压力。Gartner预测,2023年至2025年间,半数网络安全领导者将更换工作,其中四分之一将完全离开这个行业,原因是过大的工作压力。
HCC:相关工作正在持续推进
目前,HCC还没有一个标准化的定义,这也是NIST推动进一步研究的原因之一,目的是帮助企业更好地支持员工的安全意识和成长。HCC的核心包括员工对网络安全的态度、他们接受的培训、安全产品的易用性以及政策的制定。
2023年12月,拜登政府发布了最新的《联邦网络安全研究与发展计划》,将HCC确定为国家安全保护的重点任务之一。该计划强调的一个研究方向是开发模型,以评估数字技术的影响并验证其安全属性。
计划指出:“有必要减少网络安全要求对个人、组织、社区和社会造成的负担,并改善数字技术和系统的可用性与用户体验。以人为本的计算研究表明,若在设计和开发的早期阶段融入终端用户的需求,能创造出更加可用的系统,提升用户体验。”
Gartner提出了实施SBCP的独特方法,称之为PIPE框架,四个字母分别代表实践、影响、平台和推动因素。
Victoria Cason表示:“大多数传统的安全意识项目只依赖于年度或季度的培训,但这并不能触及行为背后的根本原因。因此,我们需要超越传统的计算机培训和网络钓鱼模拟,利用现有的工具与能力,如身份与访问管理(IAM)和安全监控,甚至是AI等新兴工具,以提升用户的参与度与效率。”
根据商业情报公司Forrester的说法,HCC的一个关键发展方向可能是“人类风险管理”,这是一种安全意识与培训市场的演进模式,加入了自适应的人类保护机制。Forrester在2月份发布的一份报告中指出,与那些流于形式的安全培训项目不同,人类风险管理专注于积极教育员工,并有效减少其行为带来的安全风险。
员工确实关心网络安全
大多数员工都意识到自己在保护业务安全中的重要作用。他们担心自己可能成为下一次泄露的突破口。根据安永咨询公司对1000名员工的调查,约三分之一(34%)的员工担心自己可能会因某些行为而将组织置于风险之中。
Julie Haney表示,公司应与这些员工合作,找到将担忧转化为积极行动的方式,而不是在出现问题时对他们进行指责。
她说:“如果有人点击了网络钓鱼链接,组织往往将所有责任推给员工,但并没有真正回顾公司内部之前可能存在的程序、流程或人员问题。这不仅仅是最终执行操作的那个人犯的错——往往在此之前已经有很多环节出现了问题。”
网络安全专业人员应努力培养一种文化,摒弃将用户视为敌人或薄弱环节的心态。与用户对话可以发现安全措施中的漏洞,而赋予用户报告问题的权利则能加速问题的早期检测。
最后,随着类似于人类风险分析服务的产品出现,公司在采用这些工具时应持谨慎态度,并设定合理的期望。Julie Haney指出,虽然追踪经常犯错的用户可能有用,但不应带有惩罚性;相反,这种方法应为安全团队提供程序问题的信息,并为额外培训提供可能性。
她总结道:“数据确实很有价值,但你必须谨慎,避免给人贴上‘坏员工’的标签,不要轻易断定某人不擅长安全,而另一个人擅长安全。这是一条需要小心走好的平衡线。”
关 于 作 者
罗伯特•莱莫斯
资深科技记者,从业超过 20 年。前研究工程师。为二十多家出版物撰稿。
文章来源:虎符智库