信息安全中的八大陷阱
本文是對RSAC2022報告“Users Are Not Stupid: Eight Cybersecurity Pitfalls Overturned”解讀。信息安全不是產品的堆積,信息安全是一個過程,人是信息安全過程中重要的一環,這一點早已經是業界共識。甚至,有的認為人是信息安全中最薄弱的一環。人們通常講人的重要性時,大多從安全管理、安全意識的角度談人的重要性。在這種情況下,側重點在人作為行為主體,對信息安全的作用;要求人/用戶要如何如何做,才能保證安全。然而,用戶的認知水平,用戶的時間、精力、能力是有限的,用戶對安全的需求也是不一樣的,一味地對用戶高要求,是不可行地,是注定要失敗的。業界提出了實用安全、信息安全心理學、信息安全經濟學等概念,從不同的角度分析了一些信息安全措施、流程等失敗的原因,以及更好地實現信息安全的方法等。實用安全,主要研究產品、技術、流程等如何與用戶盡可能地匹配,使得用戶不用付出太多時間、精力、學習等,就可實現安全目的。自2013年第一屆“信息安全中人的因素”國際會議(First International Conference on Human Aspects of Information Security, Privacy and Trust)以來,相關國際會議已召開多屆。這方面的研究大多是針對某個點的,而演講者的本次報告,則試圖從“面”的角度以及部分 “根源”的角度探討一些較為普遍的實用安全問題,具有較高的參考價值。演講者Julie Haney來自于美國國家標準與技術研究所NIST,并領導了一個實用安全研究項目。關于“usable security”,由于研究的都是實用中的問題,沒有太多高深的理論(當然,我們認為這比高深的理論更重要),也就難以發表學術水平高的論文,在論文導向的國內學術界鮮有研究。我們查閱了多個學術數據庫,未見合適的中文翻譯,我們認為將“usable security”翻譯成“實用安全”會比較恰當,純粹按字面翻譯為“可用安全”或“使用安全”都不合適。
一、引子 人的因素及實用安全
這里人的因素指的是影響人們安全行為和他們采用安全解決方案的社會因素和個人因素。
可用性:一個系統、產品或服務能夠使特定的用戶在特定的上下文下有效性、效率和滿意度實現特定目標的程度。
實用安全:安全必須被從非技術用戶到專家和系統管理員的人員使用。此外,系統必須在維護安全性的同時保持可用性。在缺乏實用安全的情況下,最終就達不到有效的安全。當安全變得不實用,當沒有考慮到人的因素時,可能會真的出問題。
既然人的因素如此重要,為什么它經常被忽視呢?主要有如下四個方面的原因:
首先,從本質上講,安全一開始只是一個以技術為中心的領域。
其二,許多安全專業人員沒有接受過任何關于人為因素的培訓,正規教育中沒有這部分,在很多情況下,繼續教育也沒有這部分內容。
其三,以人為中心的方法可能會被視為資源密集型,以及被當作高效部署安全的障礙。
其四,安全專家可能對人的因素有一些誤解,這將是本報告的重點。
二、陷阱與策略
2.1陷阱#1:不能識別與安全相關的所有用戶
當我們提到用戶時,通常只想到“最終用戶”。事實上,除了最終用戶,系統管理員、系統開發者都是用戶。我們傾向于把這些用戶放在一起而不考慮他們之間的任何差異。事實上,不同的用戶,對安全的需求以及理解都是不同的。例如,在一個組織機構中,可能會有不同業務部門的人,根據他們的業務部門和他們所做的工作,他們會有非常不同的安全動機、需求和行為。
2.2陷阱#2:認為用戶是愚蠢的或無可救藥的
這個陷阱是將用戶視為“最薄弱的環節”和所有問題的根源所在。與用戶對立,把自己和用戶區別開來。傲慢、敵對地對待用戶,這勢必使用戶站在對立面,這顯然不利于安全目標的達成。事實上,不是用戶愚蠢,而是他們不知所措,他們想做正確的事情,但他們不知如何做或者沒有能力做到。一個典型例子是,用戶受到各種要求的轟炸而過度勞累(注:事實上,入侵檢測系統過多的報警,使得真正有用的信息常常被無用信息淹沒,從而極大地降低了其作用),使其無法進行有效的、合理的操作。
圖1 過度勞累(演講者原圖)
2.3陷阱#3:機械而不靈活的溝通方式
“知識的詛咒”(注:有時候,安全“磚家”與普通用戶間難以溝通),作為安全專業人士,我們發現很難將高度技術性的語言即我們使用的術語轉化為我們的普通能夠理解語言,特別是當他們沒有相關知識或技能情況下能夠理解的語言。另外,用戶需要能夠看到安全與他們的工作職責和個人生活有關,如果我們不把它們聯系起來,就難以激勵人們采取行動。再多的策略和流程。如果不能以用戶能理解的語言傳達給用戶,不能與用戶的工作生活關聯,就是毫無價值了。
2.4克服第1-3個陷阱
1.富有同理心
要意識到我們都是人,是人就有局限,有做不到的地方,有犯錯誤的可能。要尋求根本原因,例如,用戶的難處是什么,為什么會有這些難處。并且與用戶建立聯系。
2.結合上下文
這里的上下文包括,您的用戶是誰?使用環境是什么樣的?有哪些限制?與安全相關的交互點和影響在哪里?
3.做一個好的解說員
使用恰當的語言,不要用高深的專業術語。向用戶提供容易理解的建議,告訴用戶為什么,而不僅僅是做什么。與用戶交流的過程中,還可以尋求幫助,因為并非所有人都擅長交流,也即不是所有用戶都擅于交流。我們在發布規則、要求之前,可以先與部分用戶代表進行交流,獲得反饋。
4.綜合使用上述措施
使用各種方式來傳播信息,并且盡可能適應不同的偏好和條件。
2.5陷阱#4:給用戶帶來太多的負擔
給用戶太多的負擔,從而超越了用戶的承受極限,包括時間方面、精力方面、認知方面等的極限。這樣會導致用戶犯錯,并使用戶沮喪、焦慮等,進而會犯更多的錯。
2.6陷阱#5:糟糕的可用性,使用戶成為內部威脅
不實用的安全可能會適得其反。過于嚴苛的安全要求會有礙業務的開展。而用戶更在意的是完成其業務工作。于是,為了應付,用戶可能會采取變通辦法或做出危險的舉動,因為他們可能不了解這些舉動的后果。
圖2 口令安全要求(演講者原圖)
2.7陷阱#6:認為最安全的解決方案是最好的
作為安全人員,我們希望一切都是安全的。這是我們的工作,所以我們傾向于推薦最安全的解決方案。然而,這種一刀切的方法,可能難以適用于不同的環境。高級別的安全不是對每個人/每個組織機構都實用或必要的,因為不是每個人每個組織機構都有相同的風險水平。
2.8克服第4-6個陷阱
1.進行基本的可用性測試
你不必成為可用性專家,你不需要做任何正式的事情。選取一些有代表性的用戶試用你提出的解決方案,看看他們犯什么樣的錯誤,征求他們的意見并調整方案,使其更實用。然后再把它推向更廣泛的用戶。
2.使其可操作
為用戶提供一些好的工具和可操作的、可實現的指導。把事情分解成可管理的、有優先級的部分,這樣有利于用戶實施。
3.盡可能減輕用戶負擔
不要期待不可能或難以實現的事情,否則事情會更糟。把困難的任務交給電腦或能力更強的人。
4.采取基于風險的方法
避免“一刀切”的解決方案,應基于環境及其安全需求進行調整。
2.9陷阱#7:通過懲罰迫使用戶遵守規定
通過懲罰用戶的錯誤或失誤,以此來嚇唬人們采取正確的行動。由于一些不實用的安全措施,用戶難以承受,而我們期望他們做得好,當他們做不到的時候,就對他們進行懲罰。這樣的效果通常會適得其反。
2.10陷阱#8:不考慮用戶反饋和以用戶為中心的有效性衡量
從技術的角度來看,安全指標和衡量安全投資回報是非常困難的,但是,如果不以用戶為中心,不考慮用戶的反饋,必定導致對用戶的影響、行為和態度等方面的盲點。
2.11克服第7-8個陷阱
1.不要只依靠用戶的恐懼
恐懼是一種非常強大的情緒,但研究人員發現,恐懼并不總是會促使人們采取行動。
誠實地溝通風險,不要夸大它,但用戶需要意識到風險得存在。給用戶工具和指導,使其建立信心和能力去做好相應的事情。
2.正向思維,積極一點
識別出良好的安全行為,予以鼓勵和表彰。而不是等待有人犯錯,再進行懲罰。
3.收集以用戶為中心的數據
通過收集用戶安全事件或違反安全的數據來識別用戶存在的問題,找到根本原因。讓用戶參與進來,提供反饋。然后改進安全解決方案,并告訴用戶,你做過了調查也得到了用戶的反饋,這樣還可增加用戶的認同敢。
三、總結
本演講主要討論了信息安全工作者常犯的與用戶相關的非技術性錯誤。這些錯誤的根本原因是信息安全工作者以自我為中心,按自己的思維辦事,而沒有以用戶為中心。從而不僅僅是給用戶帶來不便、困擾,更是給安全帶來危害。演講者分析了這些錯誤的原因,并給出了解決辦法,值得參考。
