人为错误:网络安全的最大隐患!?

admin 2020年9月29日11:38:02评论416 views字数 3852阅读12分50秒阅读模式

人为错误:网络安全的最大隐患!?


编者按

人为错误是网络安全的最大隐患及薄弱环节。网络安全的攻防对抗,实质上就是两端人力的较量。英国Tessian公司发布的一份《人为错误心理学》调查报告显示,43%的员工在工作中曾犯过错误,导致出现网络安全问题,对其公司产生影响。研究认为,人为错误是当今网络安全漏洞的主要原因,并分析了为什么人会犯错误,以及如何在错误变成漏洞之前加以预防。


人为错误或人性的弱点,是网络安全的最大隐患及薄弱环节。网络安全的攻防对抗,实质上就是两端人力的较量。2020年RSA大会的主题设定为“人的因素”(Human Element)也是基于这一共同认知。据英国信息专员办公室(ICO)的研究,2019年人为错误导致了90%的数据泄露,比2018年的87%和2017年的61%有所增加。


人为错误:网络安全的最大隐患!?


WannaCry勒索软件攻击影响了全球数十万台计算机,给公司和组织造成数百万美元的损失,然而在Microsoft发布该攻击使用的漏洞更新补丁两个月后,全球仍有许多公司没有更新其系统。此类人为错误(延迟安装更新)会给企业带来可怕的结果。
由人为错误引起的最严重的数据泄露事件之一是,英国国民保健服务局(NHS)的一家机构披露了近千名曾到过艾滋病毒诊所就诊的患者的电子邮件地址及姓名。错误是怎么发生的?员工向HIV患者发送电子邮件通知时,意外地将他们的电子邮件地址输入到“收件人”而不是“密件抄送”,从而使他们的详细信息彼此暴露。这是基于技能的错误的经典示例,因为员工知道正确的操作方法,但是根本没有采取足够的谨慎措施。

英国Tessian公司发布的一份《人为错误心理学》调查报告显示,43%的员工在工作中曾犯过错误,导致出现网络安全问题,对他们自己或他们的公司产生影响。研究认为,人为错误是当今数据漏洞的主要原因,并分析了为什么人会犯错误,以及如何在错误变成漏洞之前加以预防。图1中显示,33%人确定自己的错误导致了公司网络安全的影响,可能没有造成影响的占24%,而对此问题不确定的占33%。


人为错误:网络安全的最大隐患!?

图1|工作中的失误对自己或公司造成网络安全影响的比例


人为错误的类型


人为错误大体上可以分为两种不同的类型:基于技能的错误和基于决策的错误。这两者之间的本质区别主要归结于该人是否具备执行正确行动所需的知识。
基于技能的错误包括执行熟悉的任务和活动时发生的小错误。在这些情况下,最终用户知道正确的操作方法是什么,但是由于暂时的失误,错误或疏忽而无法这样做。发生这种情况的原因可能是员工感到疲劳、注意力不集中、短暂的记忆力下降。

基于决策的错误是指用户做出错误的决策。可能有许多不同的因素在起作用:它常常包括用户没有必要的知识水平、没有关于特定情况的足够信息、或者甚至没有意识到他们是通过他们的不作为来做决定。


人为错误的影响


与电子邮件相关的两个主要人为错误,一个是未能及时准确识别钓鱼邮件而点击恶意链接,另一个则是发送地址错误的邮件。当被问及他们犯了什么样的错误时,四分之一的员工承认在工作中点击了网络钓鱼邮件中的链接。年龄在31-40岁之间的员工点击钓鱼邮件的可能性是51岁以上员工的四倍,而男性点击钓鱼邮件的可能性是女性的两倍。
47%的员工认为分散注意力是诈骗型网络钓鱼的首要原因。紧随其后的是,这封电子邮件看起来合法(43%),41%的人表示,这封网络钓鱼邮件看起来像来自一位高级管理人员或一个知名品牌。
除了点击恶意链接外,58%的员工承认向错误的人发送了一封工作电子邮件,其中17%的电子邮件流向了错误的外部。
这个简单的错误会给个人和公司带来严重的后果,他们必须向监管机构及其客户报告事件。事实上,五分之一的受访者说,他们的公司因为发送错误地址的电子邮件而失去了客户,而12%的员工失去了工作。

造成错误地址电子邮件的主要原因是疲劳(43%),其次是分心(41%)。57%的受访者说他们在家工作时更分心,突然转向远程工作可能会使企业更容易受到人为错误造成的安全事件的影响。


压力如何影响网络安全?


2020年全球新冠病毒大流行,远程办公或居家工作成为新常态。员工面临疫情防控和工作方式变化的多重压力。该报告的调查结果呼吁企业了解压力和工作文化对人为错误和网络安全的影响,特别是考虑到2020年的事件。员工发现,当他们有压力(52%)、疲劳(43%)、分心(41%)和工作节奏加快(36%)时,他们会犯更多的错误。
因此,令人担忧的是,61%的受访者说他们的公司有一种现状文化,使他们的工作时间比他们需要的长,而46%的员工经历了疲劳或倦怠。
企业也应该注意到疫情全球大流行,以及从员工居家工作,这些因素如何影响员工的福利以及与安全的关系。
斯坦福大学教授、社会动力学专家杰夫·汉考克(Jeff Hancock)为这份报告做出了贡献,他表示,“了解压力如何影响行为对于改善网络安全至关重要。”
2020年的事件意味着人们必须应对令人难以置信的压力和许多变化。当人们受到压力时,他们往往会犯错误或做出他们后来后悔的决定。

不幸的是,黑客攻击了正是利用了这个弱点。因此,企业需要对员工进行教育,让他们了解黑客在这段时间里如何利用他们的压力,以及可能由人为错误造成的安全事件。图2表明,发送错误地址的邮件造成的后果,由高到底依次是:组织不得不通知客户(41%)、出错的员工必须发致歉邮件(36%)、组织推动了客户(20%)、隐瞒不报告事件(16%)、丢掉工作(12%)、即使报告也无动于衷(12%)。


人为错误:网络安全的最大隐患!?

图2|发送错误邮件的影响


年龄性别因素的影响


不同年龄阶段、不同性别,对网络安全的认知存在明月的差异。这可能是一些令人意想不到的结果。报告表明,年龄、性别和行业在人们的网络安全行为中起着一定的作用。这从某种程序上证明,一刀切的网络安全培训和意识方法在防止人为错误事件方面行不通。调查结果显示:
  • 18-30岁的员工中有一半说他们犯了损害公司网络安全的错误,而51岁以上的员工中只有10%;
  • 在18-30岁的人中,65%的人说他们发错了邮件,而在51岁以上的人中,这一比例为34%;
  • 70%承认点击钓鱼邮件的员工年龄在18-40岁之间。相比之下,在51岁以上的人中,只有8%;
  • 如图3所示,科技行业的员工最有可能点击网络钓鱼邮件中的链接,该行业47%的受访者承认他们曾经点击过。银行和金融部门的雇员紧随其后(45%),紧随其后的是业务咨询、卫生健康、零售、工程和制造业、公众服务、教育培训和慈善。


人为错误:网络安全的最大隐患!?

图3|不同行业员工点击钓鱼邮件的统计


研究还显示,男性因网络钓鱼被诈骗而中招的可能性是女性的两倍,男性受访者中有34%的人说他们单击了网络钓鱼电子邮件中的链接,而女性受访者中只有17%的人。


人为错误:网络安全的最大隐患!?

图4|不同性别的员工点击钓鱼链接的统计


为了成功防止错误变成严重的安全事故,企业必须采取更人性化的方法,如培训及政策。然而,将其与机器智能技术结合起来,实时提醒员工潜在的网络钓鱼威胁或错误,使员工在做可能后悔的事情之前三思而后行。

Tessian首席执行官蒂姆.萨德勒(Tim Sadler)表示,“网络安全培训需要反映这样一个事实,即不同的时代都以不同的方式通过技术来实现成长。期望每个员工都能100%地发现一个骗局或做出正确的网络安全决策也是不现实的。为了防止简单的错误演变成严重的安全事件,企业必须在人的层面优先考虑网络安全。这需要了解员工个人的行为,并利用这种洞察力调整培训计划和策略,使有效的网络安全实践真正产生共鸣。”


 

关于Tessian公司

Tessian是一家专业从事人员层网络安全的公司,在伦敦和旧金山设立总部。其宣称的任务是保护人员层,开发的技术可以使人们安全地工作,而不会妨碍他们传统的工作方式。Tessian认为在网络威胁普遍存在的情况下,每个人不可能都成为安全专家,也不必成为安全专家。Tessian的人员层安全平台可自动保护员工安全使用电子邮件(通常要花费40%的工作时间),免受数据泄露、意外数据丢失和网络钓鱼等风险。



参考资源

【1】https://www.tessian.com/research/the-psychology-of-human-error/

【2】https://solutionsreview.com/endpoint-security/tessian-study-uncovers-extent-of-human-error-in-cybersecurity/#:~:text=Human%20error%20is%20the%20biggest,data%20breaches%20ana%20non%2Dcompliance.

【3】https://blog.usecure.io/the-role-of-human-error-in-successful-cyber-security-breaches#:~:text=In%20a%20security%20context%2C%20human,security%20breach%20to%20take%20place.&text=This%20all%20adds%20up%2C%20and,make%20life%20easier%20for%20themselves.




往期精选

1

天地和兴与可信计算3.0的“又一次亲密接触”——记沈昌祥院士团队成果亮相院士专家创新成果展

2

【敢为人先】看业内首款增强级工业控制系统专用防火墙是怎样炼成的

3

当心,网络攻击激增!制造OT系统正面临风险......

人为错误:网络安全的最大隐患!?


点击“在看”鼓励一下吧

人为错误:网络安全的最大隐患!?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月29日11:38:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   人为错误:网络安全的最大隐患!?http://cn-sec.com/archives/146031.html

发表评论

匿名网友 填写信息