所有网络诈骗的背后都涉及到了心理学,贪欲、恐惧、感情、好奇心、同理心是网络犯罪分子能够利用的情愫,国外网络安全研究员埃里克·J·霍夫曼对此深以为然。
霍夫曼在他的TED演讲《人类黑客:网络安全背后的心理学》中介绍了自己的亲身经历,他说自己曾收到过一封来自其“母亲”的电子邮件,邮件里的“母亲”需要钱,并要求立刻转账,同时邮件中其他的描述内容,不止一次提醒了霍夫曼,他母亲为这个家庭做了多少贡献。霍夫曼说:“当我在电脑屏幕上阅读这封邮件时,我似乎听到了母亲的声音。所以,尽管从未问我要过钱,我还是回复了‘需要多少’。”
直到又一封电子邮件的催促来临,才使得霍夫曼从“情境”中脱离开来并产生了质疑。“他们问我多久能汇款。这几个字中不再有母亲对儿子的温情或说带着歉意的‘请求’,好像就只是想知道我何时能把钱给‘她’。”
在TED演讲和后续的采访中,霍夫曼解释了他差点上当受骗的原因:一方面,邮件描述关于母亲的付出和委屈非常真实,让人阅读时会自然进入那份自责中,所以会忽视这份“请求”的真实性;另一方面,作为安全人员每天都会在忙碌中,所以对这样突发事件的危机意识较为薄弱,容易造成“不假思索”的状况。
网络钓鱼利用的是自古以来人类的DNA
现实证明,霍夫曼并不是唯一有这种感受的受害者,国外其他网络安全负责人表示,贪欲、恐惧、感情、好奇心、同理心等是人类DNA的组成部分,人们尚未进化成能在遇到网络诈骗时触发“应急响应”和“自动识别”,而这一事实也激发了新的安全研究方向,即人类行为科学该如何为网络安全学科提供信息和改进。
诺丁汉特伦特大学网络心理学高级讲师Lee Hadlington表示:“人们的行为方式是不可预测的,因此,尽管企业拥有了多因素身份验证和其他安全技术,但只要某员工哪天回复了一封不该回复的电子邮件,就一定会使企业面临风险。这是网络安全风险中,最为复杂的人为因素,也是CISO必须要思考的问题。”
网络安全与心理学相结合
心理学家和安全从业者都在强调,需要更多地了解人们与技术之间互动,这可让我们创造出更强大的网络安全态势。国外相关人员指出,相关数据统计数据,大多数违规行为都会涉及到人为失误,比如Verizon的《2023年数据泄露调查报告》显示,74%的数据泄露由人为因素造成,其中包括了滥用特权、使用被盗凭据或参与社会工程。
正如霍夫曼所说:“黑客不想与企业的防火墙针锋相对,他们想挑战的不是防病毒软件,因为这非常困难,而且根本没必要,所以真正厉害的黑客只会利用目前地球上所有网络中最大的漏洞:人。由此看来,网络罪犯不仅仅是在入侵计算机,他们同时也在入侵人类。因为与计算机不同,人类更容易‘回应’黑客。”
作为网络安全服务公司Handshake Leadership的创始人,霍夫曼表示,心理学告诉我们,人之所以会行动、会反应、会回馈,都是有具体成因的。Huffman、Hadlington和其他研究人员认为,上当受骗的心理原因多由生活环境所造成。
Hadlington指出:“许多员工点击了不该点击的链接,这是因为他们专注于自己的工作,他们只是想快点完成自己的工作,好向上级交代。还有员工会认为这只是一次意外,因为他们也只是在按要求办事,比如公司会要求员工尽快回复邮件等,没人会和自己的工作过不去。”
员工没有“提防的陌生人”的意识
霍夫曼说,员工们还没有习惯对陌生人保持警惕,和现实中不同,似乎一旦坐在电脑屏幕的前方,人们就会下意识地认为自己是安全的,而其实放松戒备的那一刻就是最容易上当受骗的时候。
Hadlington解释道:“一旦脱离现实,员工们就会认为‘这种事不会发生在我身上,我想得越少,我就越不会成为目标’。”
IBM首席人事Stephanie Carruthers说,黑客们知晓这一切“人之常情”,因此他们会设计攻击,制造恐惧感、紧迫感或权威感,让人们深陷其中。Carruthers说,这就是为什么,那些写着“如果你今天不填写这些表格,你将失去福利”的信息是有效的,这样的信息劫持了读者大脑中关于检测和应对威胁的能力。“人越是在乎什么就越专注什么,当你对某些内容会产生强烈的情绪时,你就不会再关注所谓的危险信号。”
为什么要把心理学纳入安全?
国外专家表示,将心理学应用于网络安全,有助于安全从业人员了解他们该从哪里开始建立安全计划,又该如何建立有效的安全计划,以及告诉了他们为什么有时会事半功倍。网络安全培训平台制造商Immersive Labs的心理学主任John Blythe表示:“我们需要在设计安全时考虑到心理和情感因素,因为如果安全对人们的心理不起作用,那安全本身就毫无意义了。”
Blythe以弱密码为例,比如很多企业要求密码得包含字母、数字和符号,越复杂越好,并额外需要频繁更改,最终,这样的规定相反使得员工会使用弱密码,同时还会将其写下来,便于记忆。Blythe说,这就是为什么英国国家网络安全中心提出,使用三个随机单词才最有利于人类的记忆和安全,因为由三个单词组成的密码在大多数情况下都已“足够长”,也“足够强”了。
霍夫曼举了另外一个例子,他说,心理学表明安全心理有和其本身自相矛盾的地方。他解释说,有些安全从业者会说:“什么时候会出现漏洞?”这和那些说“如果企业出现漏洞”的对话是不一样的,皮格马利翁效应证明,设定高期望就会带来更好的表现,而低预期只会得到更差的结果。
霍夫曼补充:“当我们不说如果,而是说何时的时候,就好比把控制权让了出来。所有人遵循最佳安全实践的动机是什么,尤其是当这些实践需要额外的努力时,如果他们被告知总有一天会发生安全事件,总有一天会遇到漏洞,他们还会去遵循安全规划吗?所以我们要在心理上赋予每位员工控制权,并告诉他们‘只要做好安全实践,我们就可以阻止这些攻击,所有的漏洞、安全事件永远只存在‘如果’中,因为我们会遵循正确的流程,避免所有的错误和失误’。”
心理安全是有效的安全
作为RevolutionCyber的首席执行官和创始人,Juliet Okafor曾帮助组织大大提升了网络安全意识,并提供了部分商业信息安全官(BISO)服务。Okafor也是一名具有通信背景的律师,她专注于建立网络弹性组织,在借鉴了市场营销和销售原则后,她开始说服人们购买相关服务。
Okafor说:“我们的主营业务大多是在说服客户做出他们平时不会做出的决定,而网络安全也是一样。在说服人们‘网络安全是工作的一部分’时,必须用到心理学,只有心理学才能更好地打动他人。”
Okafor会开发并使用人物模型,来帮助她向个人传递网络安全信息。这些人物模型包含了性格、外观、动机,以及他们喜欢的学习方式等其他因素。她说:“这是一种个性化宣传活动,可以让人们更容易接受和自己相似的人物模型,同时也能更好地提高安全意识,降低风险。”
Okafor说,网络心理学家也可利用他们的培训来识别企业的漏洞。她指出,研究表明,一天中的某些固定时刻,比如午餐前和下班前,员工更容易点击电子邮件,这是网络钓鱼攻击的高发时段。“安全团队可以对这些情况做出相应的改进,比如通过调整其安全信息和事件管理(SIEM)平台,为电子邮件在这些时间内的传播创造更多的通道。”
网络心理学在训练中发挥作用
Okafor还将心理学应用于培训安全团队,比如举办攻防对抗大赛,然后要求获胜者分享他们的策略。很显然,举办比赛利用的是安全人员的竞争心,而分享策略满足的是安全人员的虚荣心和分享欲。Okafor说:“我们需要了解人们是如何工作的,并制定相应的政策来确保正确的控制措施到位。”
UniSuper的网络弹性经理克里斯蒂·威尔逊表示,她也将心理学纳入了组织的安全计划。威尔逊拥有社会学学士学位和研究生文凭,近期她正在努力分析、预测人类的互动、动机和脆弱性,她表示这是抵御网络威胁和设计有效安全措施的重要因素。“这有助于开展安全意识培训,并能更好地与人们产生共鸣,客户因此才能理解为什么需要购买我司的网络弹性计划。”
人是攻击目标,不是薄弱环节
这种心态甚至让威尔逊调整了她对人们的看法,她指出:“人们并不是最薄弱的一环,而是主要的攻击目标,在进行安全意识培训时,我们必须理解这一点。作为安全从业人员,我们需要设身处地为他人着想,对我们来说,安全可能是世界上最重要的事,但对其他人来说,安全可以是阻碍,可以是新型科研,可以是口号,等等。因此,我们要理解,行为的改变需要动机、能力和提示,这才是网络弹性计划的关键组成部分。”
Blythe说,CISO可邀请网络心理学家加入其安全计划,其他人对此表示同意,但几乎所有人都认为此要求很难做到。首先,很少有人接受过这方面的培训。Hadlington指出,网络心理学关注的是人们与技术互动时所产生的心理反应和情感反应,这仍然是一个相对较新的领域。此外,并非所有网络心理学家和网络心理学项目都关注网络安全,在安全预算较为微薄的现实中,CISO可能没有钱邀请这样的角色。
然而,尽管如此,有关心理学和网络安全相结合的信息仍在传播中。培训组织SANS研究所将在2023年8月举办“管理人类风险峰会”,该峰会将把网络心理因素纳入主要研究内容。
为安全部门添加心理学
国外专家表示,CISO可以将心理学纳入他们的安全计划,以提高工作的有效性。Hadlington建议CISO应和员工多做沟通,询问员工“他们最不适应的安全控制是什么”、“为什么要规避安全政策”、“在模拟或现实网络钓鱼骗局中,为什么点击链接”、“又是什么促使他们注重起安全的”等等。
“CISO要告知员工解决问题的方法,并阐明员工在安全方面的作用。这种反馈循环非常关键,因为员工会想知道自己为什么要做这些,做好安全实践对个人有什么好处,以及自己做出的行为是否有效。”
此外,霍夫曼说,CISO可以与他们的营销团队合作,像营销团队对其受众所策划的那样,安全也可以个性化或定制化培训。
国内安全专家的建议
对于心理学如何融入安全文化,又会在网络安全的哪些环节上发挥作用,国内安全专家如此建议。
对此,有网友就“社工”和“网安”之间的区别提出了自己看法,他表示,社工(心理学或社会工程学)和网安(网络安全)在某些方面有关联,但它们是两个不同的领域。
社工(Social Engineering)是指利用社会心理学和人际交往技巧,通过欺骗、操纵或胁迫他人,以获取信息、获取非法利益或实施其他不当行为的活动。社工攻击通常通过与目标进行交流、建立信任关系和获取敏感信息来实施。
网安(网络安全)是指保护计算机系统和网络免受未经授权的访问、破坏、篡改或泄露的威胁的一系列防护措施和技术。它涉及到网络架构、防火墙、加密、漏洞修补、入侵检测等方面的工作,旨在确保网络的安全性和保护用户的数据和隐私。
尽管社工和网安都与安全有关,但它们的重点和方法不同。社工更注重利用人的弱点和社会工作技巧来进行攻击,而网安则更注重技术和系统层面的安全防护。
在实际应用中,社工和网安可以相互配合,以共同保护系统和网络的安全。例如,网安团队可以通过分析社工攻击的手段和模式,加强系统的安全性和用户的防范意识,从而减少社工攻击的成功率。
总之,社工和网安虽然有关联,但它们是不同的领域,各自有着独特的研究和应用范围。
而知乎相关专家“静静”表示,自己作为心理咨询师就和安全文化融合得很好。她表示,网络安全行业有很多人其实都存在心理问题,而其实心理问题不代表有病,每个人多少都会有心理上的隐患,只是有的问题严重点,有的比较轻微。
作为专业的心理咨询师,静静认为,可以在网络安全工程师的养成过程中人为干预,使安全人员成为心理健康,有能力胜任工作的中流砥柱。
“同时,在他们成为网络安全工程师之前,由于我不停的宣导和科普心理学知识,加上会带他们投入实践,比如抓搞小破坏的‘间谍’等,久而久之,悟性高的人会将心理学知识运用到黑客技术里,像一些社工、溯源之类,特别是现在很多的红队渗透其实大部分都是靠社工,这是非常需要心理学知识作为依托的。个人认为,心理咨询和网络安全培训相结合的方式,会是接下去的趋势。“
某集团安全专家梁龙亭表示,心理学融入安全文化能够起到“不战而屈人之兵”的效果,安全控制类型中的“威慑性”控制就是心理学,它是代价最小,成果最显著的安全控制措施之一,但心理学的运用需建立在扎实的安全技术和管理基础之上的,不能独立存在,需要与预防、检测、纠正性措施共同结合。
梁龙亭指出,通过打好“心理战”可以使企业内部员工“不敢为”,这也体现在了安全文化建设的各个环节。比如法律意识宣传,保密协议签署,安全行为守则宣讲,已实施的安全监控技术向员工介绍等,都在心理上起到了威慑作用,为内部员工标明了红线;同时,通过打好“心理战”还可以使外部黑客心有忌惮,退避三舍。
而其中“不想为”的意义在于,日常安全工作做得好,即会使黑客在“信息收集”的初始阶段就失去信心,一鼓作气,所获寥寥,再而衰,三而竭,彼竭我盈,故克之!故无患于外!
而某金融科技公司安全专家蔚晨指出,心理学在安全领域的应用,虽然没有明确的研究成果,但自始至终都在潜移默化的被使用着。以人员安全为例,为防止内部员工进行信息泄露或离职前的恶意使用业务数据,安全人员必须具备一些模仿心理学的设定,带入到相应的角色中,执行违规操作,并且将规则设置到控制措施中,预防和发现这些恶意操作。比如,大量文件的下载拷贝、频繁访问数据文件等等。
一个优秀的安全管理者,不仅仅要有能力规范正确的行为,同时需要在心理上具备犯罪者的心态模拟,将异常行为模式提取出来,并通过各种手段和工具加以防范。所以了解并掌握一些心理学知识对于更好地开展安全工作是非常有必要的。
而除了预防发现,蔚晨还表示,在模拟攻防领域时也会应用到心理学知识。现在大量的钓鱼事件,都是利用薪资调整、热点事件、内部八卦等话题,加以社会工程学的应用,然后才排查摸底到关键岗位人员并实施攻击。安全人员应该通过外部威胁情报,利用犯罪心理学先行排查出企业内部高危人员一般集中在哪里,然后对这些岗位人员进行专项培训,以降低钓鱼风险。
“心理学在安全中的应用是一个很好的课题,斗智斗勇的过程也是两个知识领域的碰撞,这个领域值得安全人员去多加思考。”
编者说
笔者曾自学过数年的心理学,对国内外安全专家的建议表示有所共鸣。事实上,心理学应和安全文化一样融入各行各业,因为在当下这个瞬息万变的时代里,人们常因为忙于适应环境而忽略了自身的心理状况,其实驱动人们去发展、去改变、去提升的源动力正是心理,也就是说,只有情感方向正确,行为方向才会正确,否则一旦知行悖离,就会引发许多意外和失误。
结合国情,需知“一个人的心理趋向是由从小到大的生活环境决定的”,在我们的工作环境中,其实更需要心理辅导,这样一方面能端正员工看待安全问题、安全意识的态度,另一方面也能极大地减少内部威胁,比如盗窃、删库等恶性事件。而企业文化也可以将心理辅导提升到战略地位,多关注员工的心理状态和生活环境,以此作为个人安全意识培训的基点,便可由内而外为员工建设合格的安全作风,为企业塑造优秀的办公氛围,而只有在这样的环境下,员工才会重视企业,重视发展的每一个历程。
参考资料:
《Why cyberpsychology is such an important part of effective cybersecurity》
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。