无意的内部威胁：社会工程-5

4.2组织因素研究

组织因素是指管理实践、政策、工作环境、工作量和工作场所的相关方面，这些因素可能会导致绩效缺陷和人为失误，而这些因素又是某些类型UIT事件的基础。在网络安全和内部威胁领域的已发表研究中，很少直接提及此类组织因素，尽管这些因素在关于安全和人为错误的科学文献中发挥着重要作用（例如，Dekker 2002）。

在调查事件（如事故、安全事件、内部威胁事件）时，深层次的组织因素往往被忽视的一个可能原因是最容易确定失败的直接原因或点（如人为错误）；组织因素更抽象，更难识别，因为它们的失败往往嵌套在更广泛的组织方面，如团队管理、公司政策、公司政策执行以及管理系统和实践。产生人为错误或人为表现不足的恶劣工作条件可以用各种问题来描述，包括与任务及其目标有关的沟通不畅、程序或方向混乱、降低可用性的系统设计错误（例如，缺乏适当的反馈）、完成任务的资源不足、环境压力源（噪音、温度）、由于不切实际的任务截止日期导致的日常或工作压力的变化，或糟糕的安全实践或系统（例如，如Pond和Leifheit[Pond 2003]的工作所示）。这些情况的根本原因通常可以追溯到管理实践或管理系统，因此我们将这些因素归类为组织问题。

虽然旨在定义人为错误调查中涉及的因果因素的研究（例如，Pond和Leifheit[Pond 2003]的工作）通常会引用大量可能的促成因素，但我们发现，关于UIT事件的可用信息通常不够详细，无法进行如此精细的区分。因此，我们将原来的组织因素列表重新组织和分类为一般类型，这些类型似乎对指导我们收集和跟踪UIT事件的工作最有用。

4.2.1管理和管理体系不健全

我们定义了管理和管理系统不足的广泛类别，包括许多增加个人犯错可能性的组织陷阱。有效的管理包括确保合格工作人员的可用性、将任务分配给具有适当能力和经验的工作人员以及提供完成任务的材料和资源的做法[Leka 2004]。这些方面的失败都可能导致员工的不满、压力和态度问题（如不满）。以下是根据Pond和Leifheit[Pond 2003]的工作改编的管理和管理系统的例子，这些系统不仅降低了生产力和工作满意度，而且创造了助长人为错误的条件：

• 与任务相关的沟通不畅

• 混淆程序或指示

• 存在设计缺陷的工具或系统（如用户界面差、系统反馈或状态不足）

• 工作环境问题（如噪音、高温、低温）

• 材料或资源不足（资源不足，无法成功高效地完成工作）

这些情况大多对员工的工作表现和士气产生多重有害影响；一个特别有害的影响是增加工作压力[Leka 2004]。反过来，压力会对认知过程产生负面影响（稍后在第4.3节“人为因素”中描述）。

根据世界卫生组织的说法，研究结果表明，“压力最大的工作类型是重视与工人的知识和能力不匹配的过度需求和压力，几乎没有机会进行任何选择或控制，也几乎没有来自他人的支持”[Leka 2004，第5页]。许多网络钓鱼调查研究的普遍观察结果是，人们对网络钓鱼威胁的性质或如何识别社会工程计划知之甚少[Damija 2006，Mohebzada 2012]。缺乏网络钓鱼等社会工程方案知识的用户更容易受到影响。例如，Downs及其同事发现，能够正确定义网络钓鱼的用户在角色扮演场景中不太容易受到网络钓鱼攻击，有网络钓鱼网站经验的参与者也不太可能点击网络钓鱼链接[Downs 2007]。然而，有关计算机风险和概念（如cookie、间谍软件、病毒）的一般知识与网络钓鱼易感性无关。各组织应注意提供足够的培训，以提高对社会工程风险的认识。

4.2.2安全系统、政策和实践不足

与组织因素相关的另一个考虑因素是安全实践、策略和工具的有效性。对于普通计算机用户来说，安全实践往往是困难和令人困惑的，由这些困难的安全系统引起的使用错误可能会产生严重后果[Whitten 1999]。此外，一个组织可能通过其政策（例如，是否要求用户定期更改密码）或其技术和防御措施（例如防火墙或其他计算机安全系统）提供不充分或无效的安全。另一方面，安全系统、政策或实践可能过于严格或难以让大多数员工遵守，这也可能破坏组织安全。难以理解或使用的系统会被用户负面感知，不太可能被使用[Venkatesh 2003]。使用安全系统的困难也可能鼓励用户在这些系统过程中使用快捷方式，这可能会使他们更容易受到UIT事件的影响。大量研究表明，可用性和安全性在计算机系统中并不经常共存。例如，易于使用的密码并不总是安全的，但安全的密码通常不容易使用[Zurko 1996]。我们认识到，系统安全策略和实践可能无法防止向用户发送最先进、高度模糊的社会工程消息。

4.2.3工作压力

许多工作场所和环境条件被认为是员工压力和疲劳的来源。尽管压力的定义在各个研究领域各不相同，但对于导致压力的条件，人们达成了广泛的共识。研究一致表明，时间压力和工作量是压力的主要来源。时间压力甚至会对训练有素的个人的表现产生负面影响[Lehner 1997]。繁重和长时间的工作量会导致工人疲劳，从而对工作表现产生不利影响[Soetens 1992]。很明显，工作场所的压力源会对人的表现和失误率产生不利影响。

正如我们在这项工作的第一阶段[CERT 2013]中所指出的，对人为错误的新观点是，当用户错误是由系统设计中的缺陷引起时，仅仅责怪用户是不够的[Deker 2002]。正如Zurko所说：“当安全漏洞被认为是由‘用户错误’引起时，所希望的含义是，漏洞不是（计算机）系统的责任，而是用户的责任。接受这种含义是对可用安全的巨大挑战的障碍之一”[Zurko 2005，p.189]。

如果漏洞或UIT事件可以追溯到计算机系统设计和可用性、安全控制不足、增加工作压力的管理做法等，那么问题就是组织问题。

4.2.4总结

总之，组织因素可能会产生系统漏洞，对手可能会直接或更典型地间接利用这些漏洞，利用人为错误和判断失误的可能性增加，使压力重重的员工面临被社会工程骗局欺骗的风险。管理和管理系统可能无法指派足够合格的人员执行任务；提供的材料或资源不足；建立不充分或不可用的信息安全系统或政策；以及目前的工作环境或工作规划和控制系统，这些系统会对员工满意度产生负面影响或造成压力，从而导致人为错误或判断失误。

然而，我们认识到，组织因素很难确定为社会工程开发的促成因素，也很难改变。例如，UIT和社会工程类的漏洞利用发展如此之快，以至于组织政策和实践无法迅速创建以保护组织。此外，组织人员配备涉及各种教育背景，通常不是计算机科学背景，这可能会阻碍识别潜在漏洞并对其进行警告。组织通常必须平衡运营目标（例如，短产品开发周期、每个季度多个产品发布日期）与安全目标（例如保护知识产权和其他资产免受对手攻击），以保持市场竞争优势；从历史上看，许多组织都将运营目标置于安全目标之上。这些导致社会工程UIT增加的组织因素很难解决。

4.3人为因素研究

尽管组织尽了最大努力来教育用户或实施安全实践、安全控制系统和保障措施，但社会工程骗局，尤其是网络钓鱼计划，仍在继续取得成功。许多研究和研究论文强调，需要更好地了解社会工程利用的心理方面——人们为什么会上当受骗——以开发更有效的安全实践、系统和培训方法来打击这些骗局。大部分研究都集中在网络钓鱼和鱼叉式网络钓鱼攻击上，尽管这些发现可能适用于社会工程威胁。研究表明，在UIT事件中，人为因素可能会导致人为错误的增加。

4.3.1缺乏关注

Dhamija及其同事研究了网络钓鱼网站的特征，以确定用户在评估网站合法性时参与了哪些活动[Damija 2006]。向参与者展示了20个网站，并要求他们确定哪些是欺诈网站，哪些是真实网站。他们发现，在22名参与者中，23%的人忽略了基于浏览器的安全提示（地址栏、状态栏、安全套接字层SSL挂锁图标）；这些人有40%的时间做出了错误的选择。除了对安全提示缺乏关注的问题外，Dhamija和同事们还发现，钓鱼者实施的视觉欺骗甚至可以欺骗最老练的用户。最近，Erkkila报告称，用户可能没有注意到或阅读安全警告或其他安全指示灯，因此当他们应该出现时，他们没有注意到没有安全指示灯（例如，状态栏中的SSL挂锁图标）[Erkkila 2011]。

Jakobsson进行和报告的研究考察了在评估电子邮件和网站合法性时导致安全决策的线索和设计问题[Jakobsson 2007]。Jakobsson发现，拼写是用来评估电子邮件合法性的主要特征。与普遍持有的信念相反，Jakobsson及其同事发现，参与者确实会检查URL（那些在电子邮件中显示为鼠标悬停的URL和那些显示在网页地址栏中的URL）。参与者对这些地址中的拼写错误持怀疑态度，而且他们对长URL比对短URL更持怀疑态度。

尽管这些研究表明，注意力或感知错误在评估电子邮件和网站的合法性方面可能发挥作用，但高度模糊的网络钓鱼活动可能会诱使即使是训练有素的个人相信信息是真实的；这样的活动可能没有相关的线索来判断消息或网站是非法的。在许多情况下，除了注意力和感知判断之外，其他可能更微妙、更复杂的因素也在起作用，比如紧迫感。紧迫性是受害者帮助有需要的人的同理心或倾向，是成功的钓鱼电子邮件的一个特别有效的特征[Milletary 2005，Chandrasekaran 2006]。Vishwanath及其同事的一项研究表明，个人过分关注紧急提示，往往忽略了电子邮件的其他元素，如来源、语法和拼写[Vishwanath2011]。由于这些其他因素有助于检测欺骗性刺激[Jakobsson 2007]，个人对这些因素缺乏关注可能会增加个人对网络钓鱼的易感性。此外，Vishwanath发现，当个人面临大量电子邮件时，他们更有可能回复钓鱼电子邮件。这些结果与上一节中描述的关于注意力和认知负荷的研究一致，表明高工作量会缩小注意力[Houston 1969，Stokes 1994]。

4.3.2知识缺乏和记忆力减退

与认为用户没有注意到应该揭示可疑或欺诈性网络钓鱼网站的线索的研究一致，Sharek及其同事[Sharek 2008]报告称，用户对区分真实和虚假错误消息的设计不一致性缺乏了解。据报告，用户对互联网和计算机系统的总体结构缺乏知识和基本理解[Erkkila 2011]，尽管如前所述，有关计算机风险和概念（如cookie、间谍软件、病毒）的一般知识似乎与网络钓鱼易感性无关[Downs 2007]。基于将注意力过程与网络钓鱼易感性相关的研究，关键知识要素包括关于安全特征的知识以及对URL和域名语法的理解[Damija 2006，Downs 2006]。此外，如上所述，经历工作量或其他类型压力的人更有可能遭受注意力或记忆缺陷，这增加了社会工程利用的脆弱性。研究支持这样一种说法，即体验确实会产生积极影响：以前接触过网络钓鱼攻击会使用户在未来不太可能对网络钓鱼漏洞做出反应[Downs 2007]。

4.3.3错误推理或判断

当个体经历认知偏差时，可能会出现判断和推理错误。存在几种类型的认知偏见，但最突出的类型包括注意力偏见、记忆偏见和决策偏见。Kahneman和Tversky已经表明，人们的决策往往是有偏见的，并且不是纯粹理性的（即，所有的决策选项都被系统地考虑，决策都是基于事实推理做出的）[Cahneman 1979]。决策偏见的一个例子是，当个人倾向于认为威胁极不可能发生时（例如，他们低估了社会工程攻击者的能力，高估了组织安全系统的防御能力），从而忽视了此类威胁[Sandouka 2009]。此外，一些用户认为使用强大的安全功能会阻碍他们的工作[Erkkila 2011]。对弹出消息的厌烦实际上可能会导致（不耐烦的）用户点击虚假弹出消息[Sharek 2008]，这导致在评估风险时判断失误。

Jakobsson及其同事对注意力偏见的研究考察了评估可能威胁的一些思维过程[Jakobsson 2007]。重要的是，Jakobsson及其同事报告说，人们在判断真实性之前先判断相关性；换句话说，参与者对电子邮件或网站合法性的决定通常是基于内容，而不是真实性的线索和迹象。例如，参与者认为一个提供金钱奖励的网站是“虚假的”，无论它看起来是否真实。同样，参与者认为预先要求密码的电子邮件是“虚假的”，而他们认为只包含信息的电子邮件是安全的。Jakobsson及其同事指出的问题是，用户可能会被一封看似仅供参考的电子邮件吸引到一个网站，一旦到达这个被认为值得信赖的网站，他们可能会被要求提供凭据或私人信息。

Watters通过考虑建立和评估电子邮件中的信任和可信度所涉及的认知来解决网络钓鱼问题[Watters 2009]。他认为，随着时间的推移，电子邮件的积极体验（即没有负面的网络钓鱼后果）往往会通过一个习惯化过程（如Staddon和Higa[Staddon1996]所述）逐渐建立信任，这会使用户对电子邮件的某些网络钓鱼相关特征不敏感。由于用户依赖习惯和经验（其中绝大多数涉及无欺诈电子邮件和网站），这种习惯化过程往往会降低对网络钓鱼线索的认知处理水平，从而忽略重要的、有时是明显的线索[Watters 2009]。例如，当用户粗略地看了一眼电子邮件的“发件人”或“主题”字段，并通过（不恰当地）点击正文中的链接快速做出响应时，可能会出现浅层次的处理。对消息进行更深入的认知处理将涉及用户“仔细阅读内容，仔细交叉检查电子邮件中的声明，然后验证显示的链接是否与相关服务的已知良好链接匹配”[Watters 2009，第4页]。最后，如前所述，判断错误也可能是由工作压力等因素引起的注意力或记忆障碍造成的。

4.3.4风险承受能力和风险感知能力差

在研究UIT时，还应考虑对冒险行为中个体差异（即个体行为如何不同）的心理学研究。美国国家标准与技术研究所（NIST）将风险定义为脆弱性行使的净负面影响，同时考虑发生的概率和影响[NST2002]。从认知过程的角度来看，冒险行为是风险感知（决策者对一种情况下固有风险的评估）、风险倾向（承担或避免风险的普遍趋势）和决策过程（决定在面临风险的情况下如何行动）的功能。考虑到风险倾向，尽管接受了网络安全培训，但高风险或承受风险的个人可能会承担巨大风险，而厌恶风险的个人不太可能在知情的情况下采取风险行动。正如我们在描述网络钓鱼研究时所注意到的，用户在很大程度上忽视了针对网络钓鱼企图的警告通知[Mohebzada 2012]。可能的原因有很多，包括缺乏如上所述的注意力或习惯、缺乏耐心和高度冒险倾向。风险厌恶程度较低的人更容易上当受骗；那些更厌恶风险的人就越不可能这样做[Seng 2010]。风险感知和风险决策是未来描述性认知模型的重要组成部分，该模型可以阐明对手对人类行为的了解如何使UIT得以利用。组织可以使用这种类型的模型来确定可能的缓解策略和对策。

4.3.5对合规性的随意价值观和态度

员工的态度和信念与公司的安全实践和政策不一致，因此未能遵守这些做法和政策，这是对信息系统安全的主要威胁。员工的态度（例如，对一个人或一件事的态度、性格、感觉和立场）和规范性信念（即对其他人的看法）可能会影响遵守信息系统安全政策的意图[Pahnila 2007，Bulgurcu 2010]。最终，遵守有效的安全政策可以减少社会工程UIT漏洞的发生率。

在一项研究中，制裁并没有显著影响员工遵守规定的意愿，奖励对实际遵守规定也没有显著影响[Pahnila 2007]。最近的一项研究得出结论，对顺从的态度可以追溯到先前存在的信念。例如，对后果进行全面评估的信念是态度的直接影响因素，因此激励员工遵守信息系统安全政策的因素超出了制裁和奖励[Bulgurcu 2010]。后一项研究实证发现，合规成本对实际合规的影响与合规效益和不合规成本的影响一样强烈。这一结果突出了合规和不合规的成本和收益概念在信息安全态度研究中的重要性。虽然奖励不一定会让员工相信信息系统安全策略是强制性的，但它们会影响对合规好处的看法，进而影响员工对合规的态度。此外，由于员工认为信息安全合规成本高昂（即阻碍了与工作相关的职能），因此组织必须分配一定的员工时间来满足合规要求，使合规工作不会与日常工作职能相竞争[Bulgurcu 2010]。Bulgurcu及其同事认为，在组织内部建立一种安全意识文化将提高信息安全。组织应为员工提供培训和意识计划，以确保他们知道需要做些什么来遵守信息安全规则和条例。

4.3.6压力和焦虑

正如前面在讨论组织因素时所指出的，工作场所的条件，如繁重或长时间的工作量和持续的时间压力，都是压力的来源。然而，工作带来的压力不一定会转化为更高水平的内在压力或主观心理工作量。研究发现，即使是训练有素的个人，工作带来的时间压力也会对其表现产生负面影响[Lehner 1997]。此外，繁重和长期的主观心理工作量会导致员工疲劳，从而对绩效产生不利影响[Soetens 1992]。工作场所的压力源（例如组织施加的时间压力）导致更高水平的主观心理工作量，缩小视觉注意力，从而可能错过归因于恶意活动的重要线索[Houston 1969，Stokes 1994]，并通过减少有效工作表现所需的认知资源[Davies 1982，Hockey 1986，Wachtel 1968]。一个明显的含义是，通过调整时间压力和工作量来降低与工作相关的压力水平是降低UIT事件可能性的一种方法。

4.3.7物理损伤

虽然没有研究将身体状态与社会工程脆弱性具体联系起来，但有大量证据表明，身体状态[1]可能会影响人类表现。药物滥用可能对认知功能产生负面影响。例如，一项关于神经认知障碍的研究报告称，在进入为期14天的药物滥用住院病房的患者中，约有三分之二的患者神经认知能力受损；最常受损的功能领域包括注意力、记忆、计算、抽象、遵循复杂命令的能力和视觉空间技能[Meek 1989]。药物和酒精滥用可能与生产力下降等问题有关[HealthyPeople.gov 2013]。药物影响不仅限于药物滥用者；遭受身体伤害或疾病的人可能会服用对认知表现（如判断、记忆、冒险行为）有有害影响的处方药。药物可以通过降低抑制或降低风险感知敏感性来降低个体的风险阈值（例如，可能会增加攻击性并分散某人对风险的感知）。荷尔蒙，尤其是多巴胺，也会影响人们承担的风险程度[Park 2008]。Zald及其同事发现，多巴胺在冒险者的大脑中更为普遍，或者他们的多巴胺抑制受体更少[Zald 2008]。他们得出的结论是，多巴胺水平较高的人更有可能承担滥用药物和其他不安全行为等风险。对毒品教育和政策的影响是显而易见的（零容忍，以及可用的康复员工援助计划）。这些政策应该鼓励建立一个无毒环境，减少吸毒对冒险行为的有害影响。

4.3.8总结

总之，许多研究强调需要更好地了解社会工程利用的心理方面，以便开发更有效的安全实践、系统和训练方法来对抗社会工程。一些社会工程活动可能精心策划，无论采取何种对策（如培训、政策等），个人仍可能被利用。对于那些提供信息可能被利用的可察觉线索的不太复杂的活动，上面讨论的一些人为因素可能会预测被利用的概率。几项研究报告称，用户往往会忽视或无法识别特定社交工程消息是恶意的。一个可能的原因包括对这些线索缺乏关注，或者对信息的利用性质缺乏了解。此外，高认知负荷（高主观心理负荷）会加剧注意力的缩小。有必要进行更多的研究，以确定对这一结果的其他可能解释。

无论如何，钓鱼者利用网络用户的这些认知限制，通过视觉欺骗来欺骗合法的电子邮件或网站。此外，网络钓鱼计划利用了人类过度关注紧急提示的趋势（即，信息敦促读者迅速采取行动）。对社会工程攻击的易感性也可能归因于判断力差或认知偏见的问题：人们有时低估了威胁的可能性，从而忽视了威胁。由于绝大多数电子邮件和在线体验都是无欺诈的，人们可能会习惯于提示，从而错过钓鱼提示，这是高工作量条件下的常见现象。

风险承受能力和风险感知是应对社会工程威胁时需要考虑的其他重要人为因素。研究表明，风险承受能力和网络钓鱼易感性之间存在负相关，因此风险厌恶程度较低的人更有可能上当受骗。另一个需要考虑的因素与员工对信息安全的价值观和态度有关：由于员工通常认为信息安全合规成本高昂（即干扰工作职能），因此组织必须分配一定的员工时间来满足合规要求。最后，由于与工作相关的压力对认知过程和人的表现具有有害影响，可能导致人为错误和UIT事件，因此组织应采用有效的管理实践来创造最大限度地减少压力的工作环境（例如，最大限度地减少时间压力和优化工作量）。

在社会工程UIT事件中使用欺骗和混淆，特别是网络钓鱼，对旨在制定有效缓解策略的研究提出了特殊挑战。利用人类心理局限性和脆弱性的欺骗行为更具挑战性，因为对手不断改变战术。无论组织的员工多么熟练、精明或训练有素，网络钓鱼活动总是有成功的机会，尤其是因为只需要一个人就可以屈服于骗局，为社会工程师攻击者打开新的机会，对组织进行进一步的攻击。因此，研究界、负责任的组织和利益攸关方有义务继续进行研究和信息收集，为制定有效的培训和缓解工具提供信息。事实上，社会工程攻击日益复杂的一个含义是需要继续检查这些威胁，以便将新信息纳入培训和缓解策略的更新中。下一节提供了我们迄今为止观察到的特征和模式的最新情况，基于一小部分但不断增长的社会工程UIT案例研究。

[1] 我们所说的身体状态指的是疲劳、疾病和伤害，以及药物或激素失衡的影响。

原文始发于微信公众号（老烦的草根安全观）：无意的内部威胁：社会工程-5