为什么我们没法做toC的网络安全?

admin 2024年4月13日00:08:41评论10 views字数 7328阅读24分25秒阅读模式

为什么我们没法做toC的网络安全?

长期以来,我们的目光一直关注2B的网络安全市场,在杀毒软件走向免费之后,建立一家企业对用户(B2C)的安全公司并不是一个好主意。对于许多安全从业人员来说,仅仅认为个人对保护自己的数据不感兴趣是没有任何意义的。在隐私保护意识逐渐兴起的当下,人们会意识到了解隐私和安全的重要性,并在这种意识的驱使下采取措施,养成正确的习惯。然而,现在这种意识还并没有成为集体认知,人们依旧被隐私泄露所困扰,也很少有人真的会涂抹快递面单,真的会打开APP的隐私说明并逐一阅读。在这篇文章中,我们会了解到人们为什么不关注安全,哪些类型的B2C安全产品得到了采用,哪些没有,以及以消费者为中心的安全的未来是什么样的。

为什么我们没法做toC的网络安全?

人们不善于估计和理解风险

有很多研究解释了为什么人类不善于估计和理解风险。我们喜欢把自己想象成根据事实信息做出决策的理性行为者,而实际上,我们依赖于被称为启发式的思维捷径,并受到不同类型认知偏差的影响,如可用性偏差、幸存者偏差和光环效应偏差。
美国国家安全委员会的一张信息图表很好地说明了美国人经常担心错误的事情。例如,它强调:
为什么我们没法做toC的网络安全?

乘坐汽车时死亡的概率(1/470)远高于雷击死亡的概率(1/164,968)。

与遭到枪支袭击的概率(1/358)相比,意外死亡的几率要高得多(1/31)。

与被蜜蜂、大黄蜂或黄蜂蜇伤的概率(1/55,764)相比,在走路或过马路时遇害的几率要高得多(1/704)。

为什么我们没法做toC的网络安全?来源:美国国家安全委员会

另一个资料来源说明了美国人应该更害怕吃糖和久坐不动的生活方式,而不是恐怖主义的威胁。

为什么我们没法做toC的网络安全?来源:美国国家安全委员会

隐私安全只是大量亟须解决的问题之一

每天,安全从业人员都会被大量影响全球数千万人的重要漏洞和安全事件所淹没。在 2017 年披露的雅虎数据泄露事件中,一群黑客入侵了30 亿个账户。2020 年,成人视频流网站 CAM4 的服务器被攻破,100 多亿条记录曝光。2021 年,超过 7 亿(92%)LinkedIn 用户的数据被发布到暗网上出售。2022 年,中国某电子商务企业遭遇重大数据泄露事件,11 亿客户的数据被曝光。2023 年,在 DarkBeam 数据泄露事件中,超过 38 亿条记录被曝光。
这些只是一些头条新闻,我们每天都会收到这样的新闻,现在看来,具有一定规模公司或多或少都被入侵过。即使是以提供安全服务为己任的公司,如 SolarWinds、Kaseya、Okta 和 Microsoft 等,也遭遇了严重的安全事件。
由于绝大多数安全从业人员会频繁看到或听到这些事件,所以相对于普通人来说,安全从业者更具紧迫性。然而,现实情况是,安全领域以外的人甚至连这些新闻的 5% 都看不到。社交媒体的算法和严密的网络让人感觉新闻铺天盖地,而安全领域以外的每个人都选择不看这些新闻。
相反,有许多充满激情的变革者试图让世界关注他们的事业:医学专家谈论健康是一个国家安全问题;气候活动家谈论人类对地球的影响以及我们自身在气候变化中的生存能力;经济学家解释为什么贫困和房地产价格是一场国家安全灾难;创新型教育家为年轻人的未来敲响警钟,因为他们正在接受相同的科目、相同的理念以及他们的祖辈在前计算机时代接受的相同教育方式,等等。
对我们行业来说看似头号问题的隐私安全,其实只是我们社会许多方面的问题之一,也是许多需要解决的问题之一

大多数人没有体验到安全事件的伤害

大多数人不仅没有听说过重大的安全漏洞事件,而且当自己的数据被泄露时,绝大多数人也没有感受到任何痛苦。例如,有人获取了他们的电子邮件地址并用来发送垃圾邮件,虽然这肯定会造成不便,但通常不会对受害者造成无法弥补的伤害。点击某些链接会在受害者的电脑上安装广告软件。实际上,这意味着人们偶尔会看到右下角弹出一些恼人的信息,他们需要关闭这些信息。这很不方便,但并不致命。人们的信用卡数据被泄露的情况并不少见,这通常会导致他们的银行账户被欺诈性扣款。我也遇到过好几次这样的情况;通常情况下,银行会发行一张新卡并退还损失的金额。
当然,确实有一些家庭失去了几十年积攒的所有积蓄,一些人的生活隐私被泄露,造成无法弥补的伤害,甚至失去生命。然而,大多数人都认为这些事件是反常现象,不会对他们造成切身影响。
所以我们无法责怪人们缺乏安全意识。虽然我们的数据在暗网上以几分钱的价格出售,但大多数人除了收到泄露通知邮件和一些免费的身份监控解决方案外,从未感受到Uber或Equifax黑客事件的影响,并且大多数人不了解这些方案的价值。大企业的安全事件虽然被认为具有“历史意义”,但从个人角度来看,并没有完全影响或改变生活。

缺乏与安全相关的教育和媒体报道

大众市场对安全重要性的认识水平相当低。造成这种情况的主要原因有两个:缺乏与安全相关的教育和媒体报道。
尽管我们无论走到哪里都会被数字技术所包围,但迄今为止,我们还没有把学习如何安全可靠地使用数字技术放在首位。
近十年前,以色列将网络安全作为高中入学考试的一门选修课。如今,美国的“网络爱国者”(CyberPatriot )、“安全网上冲浪”(SOS)和 “网络起步美国”(CyberStart America),加拿大的“网络泰坦”(CyberTitan)和 “网络起步加拿大”(CyberStart Canada),英国的“网络第一”(CyberFirst)以及中国的“网络安全宣传周”等项目都在帮助年轻人学习网络安全知识。此外,非营利组织和影响中心(如古拉科技基金会)推动广泛的社会变革,从让更多少数民族参与网络安全到教育公众使用密码管理器的重要性。
种种这些例子不一而足,然而,这些自愿性计划并没有惠及每个人,也不足以让更多的人去主动了解安全问题并掌握保护数据的技能。甚至,有人提议向幼儿传授网络安全知识,但实际做到的并不多。
另一个未能提高大众安全意识的机构是媒体。就媒体而言,主要原因是缺乏激励措施。电视和广播的激励机制是讨论观众和听众认为吸引人的故事,这样他们就会继续观看中间的付费广告。大多数人并不觉得网络安全是一个有趣的话题:它涉及的技术很少有人了解,它不会影响他们的生活(或者他们是这么认为的)。在这种情况下,许多人并不完全对此感到不安。
为了说明在犯罪问题上媒体报道与现实情况的错位程度,我们不妨将美国暴力和财产犯罪率的趋势与网络犯罪的趋势作一比较。皮尤研究中心(Pew Research Center)根据联邦调查局(FBI)和联邦司法统计局(BJS)的数据绘制的图表显示,自 20 世纪 90 年代以来,美国的暴力和财产犯罪率大幅下降。

为什么我们没法做toC的网络安全?来源:皮尤研究中心

另一方面,根据Beyond Identity 总结的《消费者哨兵网络年度报告》数据,美国的身份盗窃和欺诈行为从 2010 年至 2020 年增加了 300%。

为什么我们没法做toC的网络安全?

美国的电视和广播网络让人感觉似乎每个社区都充斥着危险和犯罪,而网络安全事件却无关紧要。实际上,我们看到的情况恰恰相反。通过优化收视率和参与度,媒体公司对其服务对象造成了极大的伤害。

建立企业对消费者(B2C)安全公司的艰难历程

消费者不了解安全的重要性,不相信自己会受到安全事件的影响,也没有因为自己最敏感的数据被曝光而遭受损失,因此向他们销售安全产品是非常困难的。唯一获得消费者主流采用的安全解决方案是虚拟专用网络(VPN)。具有讽刺意味的是,这种情况的出现与安全并无多大关系:个人使用 VPN 在境外观看盗版电影和流媒体电影,或是在一些国家观看成人内容和访问被审查机构封锁的网站。
近年来,人们一直在推动密码管理器的应用,但进展并不顺利。尽管做出了种种努力,但 B2C 安全初创企业发现,让足够多的消费者采用安全工具是一场艰苦的战斗。有两个因素导致向消费者推销安全产品尤其困难:
人们不喜欢为软件付费。几十年的“免费”解决方案让公司通过向广告商出售客户数据或推销自己的产品来实现盈利,这造成了消费者期望软件免费提供的局面。
安全解决方案会带来摩擦,而人们非常不喜欢摩擦,因此他们会想尽一切办法避免摩擦。花钱购买一个让他们的生活变得更困难的工具是一个艰难的要求。
一些公司已经尝试绕过这些限制。例如,美国国家航空航天局(Agency)将安全作为员工福利,个人无需为软件付费。为高管提供安全保护的BlackCloak 公司也采取了类似的方法。面临的挑战是,尽管已经尽了最大努力使安全产品对个人“免费”,但事实上,这些产品不断引入摩擦,使主流采用成为一项艰巨的任务。

为什么我们没法做toC的网络安全?

接受和包容人性的本来面目

虽然保护个人的业务和让个人帮助保护企业看起来是两个不同的问题,但它们有共同的因素:人性。我们会受大量认知偏见的影响,再加上我们与生俱来的避免痛苦和逃避摩擦的驱动力,以及我们无法理解风险的能力。几十年来,网络安全学科一直专注于解决技术问题,将人视为“最薄弱的环节”,并认为只要强迫他们提高安全“意识”,就可以改变他们的本性。
这是不可能的。对手之所以能战胜安全团队,其核心原因之一就是他们了解人、人的恐惧、动机和行为驱动因素,并学会利用这些因素来实现自己的目标。当人们被催促快速行动时,当他们受到威胁时,当他们好奇或害怕时,他们往往会做出非理性的行为。任何安全意识都无法改变这一点。
因此,我们要设计一个更安全的未来,第一步就是接受人性,为人性设计安全,而不是反对人性。首先,这意味着在设计安全措施时要充分认识到,人们总是会寻找最简单的方法来实现自己的目标。这也意味着,我们不能指望消费者购买单独的安全工具,而是要在当前的基础设施中构建安全,并将其作为默认(也是唯一)选项。

让技术提供商承担起保护个人安全的责任

在大多数初创企业只考虑大型企业需求的行业中,我们也要对那些敢于解决消费者安全问题的创始人充满敬意和钦佩。尽管如此,以消费者为中心的安全工具的未来可能充满荆棘,消费者不太可能购买安全解决方案,但个人使用的技术在设计时必须内置安全功能。
每家科技公司不仅要保护客户的数据,还要帮助客户避免成为攻击者的猎物。安全不能是一种选择性功能,它必须成为设计软件产品的基本属性。坏消息是,这需要一些投资。好消息是,这并不难。
这里有一个例子,说明 Monzo 银行如何让用户轻松验证自称代表 Monzo 的来电者是否合法。希望其他机构也能效仿这个想法,甚至将其标准化,为消费者提供一种验证来电者真伪的简便方法。

为什么我们没法做toC的网络安全?来源:LinkedIn 上的 Monzo

乌克兰网上银行Monobank 为客户提供三种 CVV/CVC 码(银行卡验证码/代码)中的一种选择:
为什么我们没法做toC的网络安全?

标准 CVV/CVC(自动生成的 3 位数代码)

动态 CVV/CVC(每小时变化一次的 3 位数代码,使在线交易更加安全)

用户自定义 CVV/CVC(可在移动应用程序中设置的 3 位数代码)

HubSpot有一个“安全中心得分”的概念,旨在鼓励用户在使用产品和处理客户数据时实施最佳实践。
这些只是其中的一些例子。软件供应商帮助客户保护数据安全的最简单方法就是要求每个人都设置多因素身份验证(MFA)。2024 年,在任何持有敏感或潜在敏感客户数据的应用程序中,MFA 都不应该是可选项。

为什么我们没法做toC的网络安全?

技术供应商有能力解决许多最严重的安全问题,但有时他们却选择不优先考虑这些问题。最近,Teneo 风险情报部副总裁Paul Raffil就一种杀害全美儿童的犯罪敲响了警钟--金融色情勒索。正如Paul 在他的 LinkedIn 帖子中所解释的,根据 NCMEC 的数据,这种犯罪已经激增了 7200%。
然而,只需要一个单一的产品功能就能让这种犯罪更难实施。Paul 表示,Instagram只需做一个简单的隐私更改,就能减少绝大多数色情信息勒索事件:允许用户始终保持其关注者和关注列表的私密性,并将此作为未成年人的默认设置。目前,Instagram 用户一旦接受骗子的关注请求,他们的关注者/关注列表就会暴露给犯罪分子。这一隐私变更将减少绝大多数色情信息勒索案件。Meta 允许 Facebook 用户对好友列表进行真正的隐私保护,但在 Instagram 上却没有为青少年提供同样的隐私设置,为什么?

生态系统参与者的关键作用

苹果、微软、谷歌和 Meta 等以消费者为目标的大型技术生态系统参与者在将安全推向大众市场方面发挥着特殊作用,它们是提高隐私和安全行为标准的捷径。我们不必说服数以亿计的用户为每件产品创建一个带有高强度密码的新账户,他们可以使用“用苹果登录”。与说服用户购买密码管理器相比,谷歌等公司可以找到更好、更安全的方式来存储用户密码,而不是目前容易受到密码窃取者和各种攻击类型影响的浏览器内功能。

为什么我们没法做toC的网络安全?来源:苹果公司

许多面向大众市场的安全创新必须来自生态系统的参与者,因为他们拥有早期初创公司所不具备的实力。例如,有人曾多次说过,我们所熟悉的密码方式已经过时,无密码身份验证才是未来的趋势。虽然这很有可能是真的,但很难想象一家新成立的小公司能轻易说服全世界采用一种新的身份验证方式。而苹果、谷歌和 Meta 等公司,凭借其影响力、信誉和资源,可以更容易地实现这一目标。
安全措施的成本过去和将来都会转嫁给消费者。不过,重要的是,这些成本应被计入整个产品的价格中,而不是作为一个可选的、只有选择权的细列项目,让人们明确同意付费。

实现以人为本的安全

为了帮助人们养成保护自己数据的正确习惯和技能,我们必须让安全变得触手可及。我们需要让人们参与决策,让他们在安全问题上有发言权。
好消息是,在许多发达国家,我们已经见证了一个行业转型的意义,在这个行业中,一方比另一方拥有更多的相关信息,并被视为该领域的权威,那就是医疗保健行业。不久前,医生还在代表病人做决定,并以医生认为对病人正确的方式指导病人的治疗。几十年后,我们采用了“以人为本”的护理理念,即关注的是整个人,而不仅仅是医疗状况。
以下是《内科医生实践》对“以患者为中心”这一概念的解释:“以患者为中心的护理并不意味着医生必须给予患者完全的决策自主权,正如常规护理并不要求医生提供完全的决策权一样。事实证明,许多要求某些护理的病人,如在没有必要的情况下使用抗生素的病人,确实会对适当的沟通和解释为什么不值得使用抗生素做出反应。承认他们的愿望是至关重要的,但也应在知情的情况下讨论为何该要求不合适。这实际上就是‘以病人为中心的护理’的定义--让病人与医生一起做出明智的决定。一种相互尊重、相互信任的关系显然能改善这种讨论,让患者更愿意听取医学证据和专业知识,但即使是在尚未建立长期关系的更急迫的环境中,也能在这些方面取得成功”。
我们需要推动整个行业采用类似的以人为本的安全理念。安全是需要与个人一起发生的事情,而不是对个人。

投资于安全教育和消费者意识

仅靠安全教育无法解决所有安全问题,但不代表这没有价值。我们需要向最脆弱的人群——儿童、老人和更有可能成为网络犯罪受害者的人群——传授数字安全、隐私保护和安全的基本知识。这意味着要在学校开设课程,并规定每个人都必须参加。重点不应该是把安全作为一种职业来推广,也不应该是尽可能地深入讨论安全的价值,而是要让孩子们掌握保护自己和网络数据的技能和能力。这也意味着要在社区中心、图书馆和政府机构传授数字安全的基本知识。
作为一个行业,我们需要做的事情之一就是消除对安全和伪安全解决方案的误解,并决定什么时候有比没有更好。就像互联网上充斥着伪医学建议一样,互联网上也充斥着伪安全解决方案。把密码写在密码本上比每个账户都重复使用同一个密码更好吗?可能是的,但这是我们应该推广的处理密码的方式吗?也许不是,但亚马逊上却有 2000 多个关于“密码本”的搜索结果。

为什么我们没法做toC的网络安全?来源:亚马逊

即使是安全从业人员自己,也不总是能就哪些措施是好主意达成一致。技术或创新的背后是让人们更简单、更容易普及,而不是相反。频繁地更换密码,利用密码本记录不同的密码,这虽然会让人们更安全,但它并不简单,也不容易普及。
在未来几年里,人们的网络安全意识会越来越强。物理世界和数字世界之间的界限开始变得模糊,网络安全事件开始产生易于理解的现实后果。当安全事件开始导致人们家中断电、医院停止手术、空中交通管制人员让全国所有飞机停飞时,我们很快就会意识到我们的网络行为会带来现实生活中的后果。
网络世界末日可能是虚拟的,但对现实的影响是真实发生的。当这种事件越来越频繁的时候,安全行业或许能够以此为契机,对人们进行数字安全教育,而不是传播恐惧、不确定性和怀疑。

制定保护消费者数据的法规

最后,我们需要继续制定保护消费者数据的法规。目前,美国公民的敏感数据宝库集中在少数大型企业手中。为了鼓励企业发展,美国政府在引入可能扼杀创新的不必要限制时总是犹豫不决。在其他国家,消费者数据的隐私和安全状况也不尽相同:有些国家的机构扮演着类似于数据经纪人的角色,而且往往同样不受监管,而有些国家则对本国公民的数据不采取任何保护措施或采取最基本的保护措施。
23andMe公司的失败就是一个很好的例子,它掌握着数百万美国人的敏感健康数据,却被一家外国公司收购,这将对美国国家安全构成重大威胁。

结语

要帮助确保普通民众的安全,我们首先需要接受现实,并着眼于应对现实,而不是寄希望于轻易改变现实。
由于人们不喜欢摩擦,独立的工具将很难获得采用。如果这些工具没有被“嵌入”到核心产品和工作流程中,那么它们就不会无摩擦。此外,消费者还不习惯为安全付费。由于传统的 B2C 软件盈利方式(如向广告商出售用户数据)的核心与隐私理念背道而驰,因此我们将继续努力通过 B2C 安全解决方案赚钱。
我们当然必须尽我们所能提高大众对隐私、安全和数字安全的认识,但我们需要明确的是,技术提供商,尤其是大型生态系统参与者,将最终负责确保其生态系统中的用户安全无虞。
原文地址:

原文链接:

https://ventureinsecurity.net/p/the-business-of-protecting-individuals

原文作者:

为什么我们没法做toC的网络安全?

Ross Haleliuk
Ross Haleliuk 最初是一家 B2B 教育科技公司的联合创始人,之后在多个行业担任产品负责人,职业生涯长达十年,最后进入网络安全行业。他的专长领域包括市场推广和产品战略、战略定位、产品与市场契合度拓展、增长、运营和筹资。

原文始发于微信公众号(安在):为什么我们没法做toC的网络安全?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月13日00:08:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为什么我们没法做toC的网络安全?https://cn-sec.com/archives/2653224.html

发表评论

匿名网友 填写信息