网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法

admin 2022年5月15日01:19:03评论58 views字数 1302阅读4分20秒阅读模式

4.1 支持安全意识和行为改变的新方法

越来越多地使用模拟和游戏,以使安全意识更具吸引力,并有助于更复杂的教育措施和行为改变。

旨在教导员工不要点击可疑链接的反网络钓鱼模拟可能是当今组织中使用最广泛的。它们的受欢迎程度源于它们提供了衡量干预影响的能力,并且它们往往会在短期内显示点击率下降。论点是,被钓鱼的经历是一个“可教的时刻”,可以吸引员工的注意力并说服他们
网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法
图 3:RISCS 白皮书 中的行为改变模型

通过所提供的教育工作。但是,最先引入“触发时刻”概念(在最新的 Fogg 行为模型中称为鼓励(提示),参见图4 )的 Fogg 非常清楚,只有当人具有足够的水平时,它们才会导致行为改变参与所提供培训的动力,以及应用所教授技能的能力。Joinson 认为,社会工程攻击者使用的某些情绪和上下文触发因素非常有针对性和强大(例如,声称在工作日结束前不久有关于交通或公共交通中断的信息的通知),它们无法通过培训来预防。

从人为因素的角度来看,反网络钓鱼模拟可能存在问题:1)因为员工可能认为这是受到他们自己的组织的攻击,这会降低信任和2)他们可能会导致员工变得非常不愿意点击链接他们不会对可能很重要的真实电子邮件采取行动。在任何此类模拟的设计中都需要仔细考虑这些因素。此外,正如我们上面所讨论的,使用DMARC等机制可以减少用户需要关注的可疑电子邮件的数量,从而使教育和培训能够面向解释社会工程和操纵技术。
网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法
图 4:Fogg 行为模型具有三个因素:动机、能力和触发器

安全意识游戏Capture The Flag (CTF) 游戏旨在提高对漏洞以及如何利用漏洞的意识。这个想法是,通过了解他们如何利用漏洞来攻击系统,防御者学会了不将它们合并到他们自己的系统中。但是,重点是培训那些负责保护组织的人员,而不是更广泛的用户和员工。

有一些桌面纸牌游戏旨在为组织内更广泛的用户群提供安全意识,例如 Ctrl-Alt-Hack 、dox3d!a和其他专门针对ICT专家和开发人员,例如 Microsoft 的微软特权的提升。还有一些棋盘游戏旨在由工作组玩,以提高对网络安全威胁和网络风险决策复杂性的认识,例如决策和中断。如果在团体环境中玩,所有这些游戏都具有提供社交学习体验的潜在优势。但是,如果将它们作为一次性练习提供,它们不太可能产生持久的效果。

总体而言,游戏和模拟具有提供引人入胜的新元素的潜力,这些元素可以部署在行为改变模型的不同阶段(见图3),但它们需要成为计划的行为转变计划的一部分,而不是一次性干预。

网络安全知识体系1.1人为因素(一):了解安全中的人类行为

网络安全知识体系1.1人为因素(二):可用的安全性——基础

网络安全知识体系1.1人为因素(三):可用的安全性——目标和任务

网络安全知识体系1.1人为因素(四):可用的安全性——交互上下文

网络安全知识体系1.1人为因素(五):可用的安全性——设备的功能和限制
网络安全知识体系1.1人为因素(六):人为错误
网络安全知识体系1.1人为因素(七):网络安全意识和教育

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月15日01:19:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识体系1.1人为因素(八):网络安全意识和教育——支持安全意识和行为改变的新方法http://cn-sec.com/archives/1006831.html

发表评论

匿名网友 填写信息