逻辑不通
逻辑谬误发生在论点在逻辑上站不住脚的情况下。例如,如果有三个证据表明一个攻击者是美国本土的,但分析人员收集到一个证据表明该攻击者是中国本土的,那么这三个证据就更有说服力(只要它们具有相等的权重),良好的逻辑推理就是这样的。但是,分析师有时候会被个人经验所误导,试图推导出不符合逻辑的分析结论。
同样地,一些事情有可能发生,但可能性并不能作为最终的结论。例如这次入侵来自俄罗斯,但这并不意味着一定是俄罗斯发起的入侵。从逻辑上讲,我们必须对收集到的信息进行分析,再做出最后的判断。
"美国肯定不会攻击同盟国的",这种没有任何证据支撑就否认论点的行为,这种分析方式既有可能是分析师有意识地回避什么,也有可能是他过于局限,无法跳出自己的思维定势。与此同时,在进行分析时,我们要注重证据的质量,而不是证据的数量。
一些抬杠的场景
在分析针对Acme Electronics的Poison Ivy和PlugX变种事件时,一位分析师认为攻击来自中国,这时你让他提供证据来论证这一点,他可能会反问,那你有什么证据证明这个恶意软件和中国无关?
人类的大脑是一个奇妙的东西,它能够适应并加深对我们环境的理解。然而,我们这个物种已经经历了大约一百万年的进化飞跃,使我们取得了显着的进步,但也给我们的日常生活带来了偏见,这些偏见可能会让我们在合理分析情报时产生不利影响。
常见的偏见误区
人类一路成长发展起来适应环境的启发式方法是这些偏见的基础。在这门课程中,有很多不同的认知偏见,太多了,无法在此一一覆盖。我们在他人身上看到并亲身经历的一些最常见的偏见包括:
- 锚定偏见
- 确认偏见
- 一致性偏见
- 事后诸葛亮
- 错觉相关
- 避免混淆
- Cum hoc ergo propter hoc:相关和因果混淆
我们将深入探讨其中的一些内容,因为在日常工作中理解并认识它们对于您作为分析师取得成功至关重要。
镜像思维
一种极其普遍且特别难以改变的认知偏见是镜像思维。如果你仔细想一想就会发现。你正在审查一些你不太了解的情境、人或实体,因此你的头脑开始获取你理解的信息和相关的发现。我不知道伊朗的攻击者会如何行动,但我知道在这种情况下我会怎么做,这肯定是有帮助的,对吗?错了。
镜像思维本质上就是自欺欺人,认为我们正在分析的实体/人物会以我们的思维方式行动,依赖我们的经验、偏见和生活背景。我们必须在被分析的人或事的背景下而不是我们自己的背景中分析,也就是换位思考。
“如果我是攻击者的话,我会....”每当你发现自己在思考或说出类似的话时,就会意识到你正在陷入非常常见的镜像偏见。
图中的片段来自《囚徒》(Prisoner),是由杰森·雷扎伊安(Jason Rezaian)写的,他在伊万监狱被关押了544天。关押他的伊朗拘留者无法理解Kickstarter(美国众筹平台)的概念,认为杰森试图通过他人资助的旅行来获取伊朗牛油果——他们认为一定是一次中情局的行动。当然,这并不是一次中情局的行动,但卡西姆无法从他的世界背景中脱身,看到杰森的世界。更重要的是,这是卡西姆的世界背景与美国人的世界背景有很大不同的一个很好的例子。因此,当我们分析伊朗的行动时,我们在背景和世界观上真的与他们很少有共同之处,这迫使我们必须深刻地了解他们,而不是了解我们自己。
锚定偏见是指从一个假设或评估开始,然后随着新信息的出现调整自己的评估,而不是将信息整体用于评估。这种偏见的自然倾向是过度调整,进而未能充分考虑被视为极不可能发生的情景的可能性。参考文献:“Making Hard Decisions: An Introduction to Decision Analysis”(作者:Robert T. Clemen,Duxbury Press,Pacific Grove,CA,1996,第281-285页)。
在我们的CTI(威胁情报)领域,随着分析的进行,新的信息迅速涌现,这使得锚定偏见难以避免。你不应该在新信息出现时继续使用单一的假设。这会导致对假设的“拟合”或调整,可能会在结论中产生错误,而这些错误可能更适当地通过重新考虑在新信息的背景下所有竞争性假设来解释。
确认偏见相对来说比较直接:这是一种根据证据是否符合首选假设而包括或拒绝证据的倾向。更微妙的是,确认偏见还包括根据证据支持首选假设或结果的程度来赋予更多或更少重要性的倾向。后者在我们的领域很常见且难以识别。避免这种偏见的最佳方法是公正地考虑所有假设,而不考虑它们的影响或被认为可能性有多大。
一致性偏见与确认偏见有关,但以一种更抽象的方式存在。将其应用于我们的情报词汇中,一致性偏见是为了提出没有充分证据的竞争性假设,而寻找不同的方法来呈现测试现有假设的数据。
事后诸葛亮偏见是另一种不言而明的偏见。事后诸葛亮偏见是指把一个不可预测的事件看作是一组条件性的或有明显结果倾向的事件。对于以取证角色审视入侵事件的分析人员来说,往往容易忽视人类行为在计算机上的极度复杂性,并纳闷“怎么会有人如此愚蠢,让这种事情发生”。事后诸葛亮偏见的一个重要影响是责备受害者,这在几乎所有网络入侵中目前都很普遍。管理和保护网络的难度极大,尤其是遭受APT攻击入侵的情况下。鉴于分析人员和网络管理人员在入侵之前可获得的信息,提前预测到APT入侵的发生非常困难。
关联性错觉指的是两个被观察对象明明不存在相关性,但仍然主观地认为他们有关联,特别是当这些观察对象都相对不寻常时。关联性错觉最常被描述为社会刻板印象的基础,但在情报分析中也存在关联性错觉。
关联性错觉通常可以直接与记忆联系起来。研究表明,那些工作记忆负荷较高的人会经历更多的关联性错觉实例。心理学研究表明,我们往往会高估我们容易回忆的事件的重要性,而低估我们难以回忆的事件的重要性。记住的越容易,我们就越有可能在两个弱相关或不相关的事物之间建立牢固的关系。但实际上根本不相关。
典型的分析偏见案例
201年7月8日5日,纽交所因电脑故障而不得不停止交易,联合航空所有航班停飞,《华尔街日报》网站也瘫痪。这些不寻常的事件连续发生引发了人们对广泛网络攻击的担忧,但这一担忧后来被证实是错误的。美联航的服务中断是由全公司网络上的错误的路由配置造成的;而纽约证券交易所的交易系统崩溃原是最近的数据库升级在交易时间内承受压力;而《华尔街日报》的网站变得无法使用是因为太多人希望通过该网站了解纽约证券交易所发生的情况导致服务器连接数过多。
处理个人经验与偏见
对于网络威胁情报分析师来说,能够识别偏见和经验之间的差异非常重要。许多分析师和安全人员都是以丰富的工作经验来获得高额薪水,而这种薪水通常可能被视为存在偏见。例如,如果事件响应人员见过数十起攻击者破坏 VPN,然后在域控制器上获取管理员凭据的案例,那么由于这种经验,他将更加擅长处理此类案例。如果事件响应人员总是发现VPN失陷的情况,他或她就会有一定的偏见,倾向于优先对域控服务器进行排查。
网络威胁分析师的工作就是要克服个人偏见。他们可能已经看到一种恶意软件在一次又一次的攻击活动中被用于与中国有关的行动。但下一次看到该恶意软件被使用时,他们不能立即得出这次攻击背后的行动者是中国人的结论。分析师应该认识到这种偏见,并采用适当的实践。
原文始发于微信公众号(Desync InfoSec):第十四课 情报分析中的偏见
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论