每隔一段时间,我都会讨论以消费者为中心的网络安全问题,而每次讨论的结论都是一样的:建立一家B2C安全公司,并不是一个好主意。
对于许多安全从业人员来说,认为普通人对保护自己的数据不感兴趣,没有任何意义。显而易见,每个人都应该了解隐私和安全的重要性,并在这种认识的驱使下采取措施,养成正确的习惯。我必须说,这是一个非常合乎逻辑的假设,在这一假设的指导下,安全行业转向了承诺提高意识的公司,但却发现仅有意识是不够的。
本文,我将探讨以消费者为中心的安全的现实情况、人们为什么不关注安全、哪些类型的B2C安全产品被采用,哪些没有,以及以消费者为中心的安全的未来是什么样的。
消费者历来不重视安全的原因
人们不善于估计和理解风险
已经有很多研究解释了为什么人类在估计和理解风险方面是出了名的差劲。我们喜欢把自己想象成理性的行为者,根据事实信息做出决策,而实际上,我们依赖于被称为启发式的思维捷径,并受到不同类型的认知偏差的影响,如可用性偏差、幸存者偏差和光环效应偏差。
美国国家安全委员会的一张信息图表很好地说明了美国人经常担心错了事情。例如,它强调:
与雷击死亡的几率(1/164,968)相比,乘车死亡的几率要高得多(1/470)。
与被枪支袭击的几率(1/358)相比,被无意杀害的几率要高得多(1/31)。
与被蜜蜂、大黄蜂或黄蜂蜇伤的几率(1/55,764)相比,走在路上或过马路时被蜇伤的几率要高得多(1/704)。
Source: American National Safety Council
如下是个很好的资料,说明美国人应该更害怕吃糖和久坐不动的生活方式,而不是恐怖主义的威胁。
Source: Business Insider
世界上的求助信息过多,大多数人都没有听说过网络安全事件
每天,安全从业人员都会收到大量影响全球数千万人的重要漏洞和安全事件。在2017年披露的雅虎数据泄露事件中,一群黑客入侵了30亿个账户。2020年,成人视频流网站CAM4的服务器被攻破,100多亿条记录曝光。2021年,超过7亿(92%)LinkedIn用户的数据被发布到暗网上出售。2023年,在DarkBeam数据泄露事件中,超过38亿条记录被曝光。这些只是一些头条新闻;我们每天都会收到这样的新闻,现在看来,每家大公司肯定都被入侵过。就连SolarWinds、Kaseya、Okta和微软等以提供安全服务为己任的公司也遭遇了严重的安全事件。
因为绝大多数安全从业人员每周都会听到数十起事件,感觉整个世界都在崩溃。然而,现实情况是,安全领域以外的人甚至连这些新闻的5%都看不到。社交媒体的算法和我们严密的网络让人感觉新闻铺天盖地,而安全领域以外的每个人都选择不看这些新闻。相反,有许多充满激情的变革者试图让世界关注他们的事业:医学专家谈论健康是一个国家安全问题;气候活动家谈论人类对地球的影响以及我们自身在气候变化中的生存能力;经济学家解释为什么贫困和房地产价格是一场国家安全灾难;创新型教育家为年轻人的未来敲响警钟,因为他们正在接受相同的科目、相同的理念以及他们的祖辈在前计算机时代接受的相同教育方式,等等。
看似我们行业的头号问题,其实只是我们社会许多方面中的一个,也是许多需要解决的问题中的一个。
大多数人没有感受过安全事故的痛苦
不仅大多数人没有听说过重大的安全漏洞事件,而且绝大多数人也没有感受过自己的数据被泄露时的痛苦。以下是普通人受到安全和隐私相关问题影响的一些方式:
有人获取了他们的电子邮件地址,并利用它发送垃圾邮件。虽然这肯定会造成不便,但通常不会对受害者造成无法弥补的伤害。
点击某些链接就会在受害者的电脑上安装广告软件。实际上,这意味着人们偶尔会看到右下角弹出一些恼人的信息,他们需要关闭这些信息。这很不方便,但并不致命。
信用卡数据泄露导致银行账户被盗刷的情况并不少见。我也遇到过几次这样的情况;在每次这种情况下,银行一般都会发行一张新卡,并退还损失的金额。
我无意低估安全事件对人们生活的影响。确实有这样的案例,一些家庭失去了几十年积攒的所有积蓄,一些人的生活隐私被泄露,造成无法弥补的伤害,甚至失去生命。然而,大多数人都认为这些故事只是反常现象,不会对他们造成切身影响。
很难责怪人们缺乏这种意识。虽然我们的数据在暗网上被以几分钱的价格出售,但大多数人除了收到泄露通知邮件和一些免费的身份监控解决方案外,从未感受到Uber或Equifax黑客攻击事件的影响,而大多数人并不了解这些方案的价值。这些和解虽然被认为具有"历史意义",但从个人角度来看,并没有完全改变生活。
缺乏与安全有关的教育和媒体报道
大众市场对安全重要性的认识水平相当低。造成这种情况的主要原因有两个:缺乏与安全有关的教育和媒体报道。
尽管我们无论走到哪里都被数字技术所包围,但迄今为止,我们还没有优先学习如何安全可靠地使用数字技术。一些国家比其他国家走得更快。近十年前,以色列将网络安全作为高中入学考试的一门选修课。如今,美国的CyberPatriot、SOS和CyberStart America,加拿大的CyberTitan和CyberStart Canada,以及英国的CyberFirst等项目都在帮助年轻人学习网络安全知识。非营利组织和影响中心(如古拉科技基金会)推动广泛的社会变革,从让更多少数民族参与网络安全到教育公众使用密码管理器的重要性,不一而足。然而,这些自愿性计划并不能惠及所有人,也不足以让更多的人了解安全问题,并掌握保护数据的技能。多年来,人们一直在讨论,我们需要开始向幼儿传授网络安全知识,但做得并不多。
另一个未能提高普通民众安全意识的实体是媒体。就媒体而言,我认为主要原因是缺乏激励机制:电视和广播的激励机制是讨论观众和听众认为吸引人的故事,这样他们就会继续观看中间的付费广告。大多数人并不觉得网络安全是一个有趣的话题:它涉及的技术很少有人了解,它不会影响他们的生活(或者他们是这么认为的),而且它会导致大公司亏损,在严重两极分化的社会中,许多人对此并不太感到不安。
为了说明在犯罪问题上媒体报道与现实情况的错位程度,我们不妨将美国暴力和财产犯罪率的趋势与网络犯罪的趋势作一比较。Pew Research Center根据联邦调查局(FBI)和联邦司法统计局(BJS)的数据绘制的图表显示,自20世纪90年代以来,美国的暴力和财产犯罪率大幅下降。
Source: Pew Research Center
另一方面,根据Beyond Identity总结的Consumer Sentinel Network年度报告数据,2010年至2020年,美国的身份盗窃和欺诈行为增加了300%。
美国的电视和广播网络让人感觉每个社区都充斥着危险和犯罪,而网络安全事件却无关紧要。实际上,我们看到的情况恰恰相反。通过优化收视率和参与度,媒体公司对其服务对象造成了极大的伤害。
建立B2C安全公司的艰难历程
消费者不了解安全的重要性,不相信自己会受到安全事件的影响,也没有因为自己最敏感的数据被泄露而遭受损失,因此向他们推销安全产品是很困难的。唯一获得消费者主流采用的安全解决方案是VPN。具有讽刺意味的是,这种情况的出现与安全并无多大关系:个人使用VPN在美国境外观看盗版电影和流媒体电影,在一些国家观看成人内容和访问被审查机构封锁的网站。近年来,人们一直在推动密码管理器的应用,但进展并不顺利。尽管做出了种种努力,但B2C安全初创企业发现,让足够多的消费者采用安全工具是一场艰苦的战斗。
有两个因素导致向消费者推销安全产品尤其困难:
人们不喜欢为软件付费。几十年的"免费"解决方案中,公司通过将客户数据出售给广告商或推销自己的产品来实现盈利,这就造成了消费者期望软件免费提供的局面。
安全解决方案会带来摩擦,而人们非常不喜欢摩擦,因此他们会想尽一切办法避免摩擦。花钱购买一个会让他们的生活变得更困难的工具是一个艰难的要求。
一些公司已经尝试绕过这些限制。例如,美国国家航空航天局将安全作为员工福利,个人无需为软件付费。为高管提供安全保护的BlackCloak公司也采取了类似的做法。面临的挑战是,尽管已经尽了最大努力使安全产品对个人"免费",但事实上,这些产品不断引入摩擦,使主流采用成为一项艰巨的任务。
走向未来:解决“人的问题”的秘诀
接受和拥抱人的本性
虽然保护个人的业务和让个人帮助保护企业看起来是两个不同的问题,但它们有共同的原因:我们的人性。我们受到一长串认知偏见的影响,再加上我们与生俱来的避免痛苦和逃避摩擦的驱动力,以及我们无法理解风险的能力。几十年来,网络安全学科一直专注于解决技术问题,将人视为“最薄弱的环节”,并认为只要强迫他们提高安全“意识”,就能神奇地改变他们的本性。
这是不现实的。
对手之所以能战胜安全团队,其核心原因之一就是他们了解人、人的恐惧、动机和行为驱动因素,并学会利用这些因素来实现自己的目标。当人们被催促快速行动时,当他们受到威胁时,当他们好奇或害怕时,他们往往会做出非理性的行为。任何安全意识都无法改变这一点。
我们要设计一个更安全的未来,第一步就是接受人性,并为其设计安全措施,而不是对抗它。首先,这意味着在设计安全措施时要充分认识到,人们总是会寻找最简单的方法来实现自己的目标。这也意味着我们不能指望消费者购买单独的安全工具,我们需要在当前的基础设施中构建安全,并将其作为默认(也是唯一)选项。
以人为本:以消费者为中心的安全未来
让技术提供商承担保护个人安全的责任
在大多数初创公司只考虑大型企业需求的行业中,我对那些敢于解决消费者安全问题的创始人的工作充满敬意和钦佩。
尽管如此,我并不看好以消费者为中心的安全工具的未来。在我看来,消费者不太可能开始购买安全解决方案。相反,个人使用的技术在设计时必须内置安全功能。
每家科技公司不仅要保护客户的数据,还要帮助客户避免成为攻击者的猎物。安全不能只是一种选择性功能,它必须成为我们设计软件产品的基本属性。
坏消息是,这需要一定的投资。
好消息是,这并不难。
这里有一个例子,说明Monzo银行如何让用户轻松验证自称代表Monzo的来电者是否合法。我希望其他机构也能效仿这个想法,甚至将其标准化,为消费者提供一种验证来电者真伪的简便方法。
Source: Monzo on LinkedIn
乌克兰网上银行Monobank为客户提供三种CVV/CVC码(银行卡验证码/代码)中的一种选择:
标准CVV/CVC(自动生成的3位数代码)
动态CVV/CVC(每小时更改一次的3位数代码,使在线交易更安全)
用户自定义CVV/CVC(可在手机应用程序中设置的3位数代码)
HubSpot有一个“安全中心得分”的概念,旨在鼓励用户在使用产品和处理客户数据时实施最佳实践。
这些只是其中的一些例子。软件提供商帮助客户保护数据安全的最简单方法,就是要求每个人都设置多因素身份验证(MFA)。2024年,在任何持有敏感或潜在敏感客户数据的应用程序中,MFA都不应该是可选项。
技术提供商有能力解决许多最严重的安全问题,但有时他们却选择不优先考虑这些问题。最近,Teneo风险情报部副总裁Paul Raffile就一种杀害全美儿童的犯罪敲响了警钟——金融色情勒索。正如Paul在他的LinkedIn帖子中所解释的,根据NCMEC的数据,这种犯罪已经激增了7200%。让这个故事变得特别难以处理的是,一个单一的产品功能就能让这种犯罪更难实施。保罗说:“现在,Instagram只需做出一个简单的隐私更改,就能减少绝大多数色情信息勒索事件:允许用户始终保持其关注者和关注列表的私密性,并将此作为未成年人的默认设置。目前,Instagram用户一旦接受骗子的关注请求,他们的关注者/关注列表就会暴露给犯罪分子。这一隐私变更将减少绝大多数色情信息勒索案件。Meta允许Facebook用户对好友列表进行真正的隐私保护,但在Instagram上却没有为青少年提供同样的隐私设置。为什么?”
生态系统参与者在将安全推向大众市场方面的关键作用
以消费者为目标的大型技术生态系统参与者,如苹果、微软、谷歌和Meta等,在将安全推向大众市场方面发挥着特殊作用。它们是提高隐私和安全行为标准的捷径。我们不必说服数以亿计的用户为每件产品创建一个带有高强度密码的新账户,他们可以使用“苹果登录”。与说服用户购买密码管理器相比,谷歌等公司可以找到更好、更安全的方式来存储用户密码,而不是目前容易受到密码窃取者和各种攻击类型影响的浏览器内功能。
Source: Apple
许多面向大众市场的安全创新必须来自生态系统的参与者,因为他们拥有早期初创企业所不具备的实力。例如,有人曾多次说过,我们所熟悉的密码方式已经过时,无密码身份验证才是未来的趋势。虽然这很有可能是真的,但很难想象一家新成立的小公司能轻易说服全世界采用一种新的身份验证方式。而像苹果、谷歌和Meta这样的公司,凭借其影响力、信誉和资源,可以更容易地实现这一点。
安全措施的成本过去和将来都会转嫁给消费者。然而,重要的是,这些成本已经包含在整个产品的价格中,而不是作为一个可选的、只有选择权的细列项目列出,人们必须明确同意为此付费。
逐步实现以人为本的安全
为了帮助人们养成保护自身数据的正确习惯和技能,我们必须让安全变得触手可及。我们需要让人们参与决策,让他们在安全问题上有发言权。
好消息是,在许多发达国家,我们已经见证了一个行业的转型意味着什么,在这个行业中,一方比另一方掌握了更多的相关信息,并被视为该领域的权威。我说的是医疗保健行业。不久前,医生还在代表病人做决定,并以医生认为对病人正确的方式指导他们的治疗。几十年后,我们采用了"以人为本"的护理理念,即关注整个人,而不仅仅是医疗状况。
以下是《内科医生实践》对“以病人为中心的护理”这一概念的解释:以患者为中心的护理并不意味着医生必须给予患者完全的决策自主权,正如常规护理并不要求医生提供完全的决策权一样。事实证明,许多要求某些护理的病人,如在没有必要的情况下使用抗生素的病人,确实会对适当的沟通和解释为什么不值得使用抗生素做出反应。承认他们的愿望是至关重要的,但也应在知情的情况下讨论为何该要求不合适。这实际上就是"以病人为中心的护理"的定义--让病人与医生一起做出明智的决定。一种相互尊重、相互信任的关系显然会改善这种讨论,并使病人愿意听取医学证据和专业知识,但即使是尚未建立长期关系的急诊环境,也能在这些方面取得成功。
我们需要推动整个行业采用类似的以人为本的安全理念。安全工作需要与个人共同完成,而不是针对个人。
投资于安全教育和消费者意识
仅靠安全教育无法解决所有安全问题,但我们需要做得更多,而不是更少。我们需要从向最脆弱的人群——儿童、老人和更有可能成为网络犯罪受害者的人群传授数字安全、隐私保护和安全的基本知识开始。这意味着要在学校开设课程,让每个人都必须参加。重点不应该是将安全作为一种职业来推广,也不应该是尽可能地深入(虽然这些也很重要!),而是要为孩子们提供保护自己和网络数据的技能和能力。这也意味着要在社区中心、图书馆和政府机构教授数字安全的基本知识。
作为一个行业,我们需要做的事情之一就是消除对安全和伪安全解决方案的误解,并决定什么时候有比没有更好。就像互联网上充斥着伪医学建议一样,互联网上也充斥着伪安全解决方案。把密码写在密码本上比每个账户都重复使用同一个密码更好吗?可能是的,但这是我们应该推广的处理密码的方式吗?也许不是,但亚马逊上却有2000多个关于“密码本”的搜索结果。
Source: Amazon
即使是安全从业人员自己,也不总是能就哪些措施是好主意达成一致。如果我们在不断学习和研究的情况下,仍然每隔几个月就强制重置密码,并坚持进行网络钓鱼模拟,那么我认为我们就不应该对密码本之类的东西那么挑剔了。
我预计,在未来几年里,人们对网络安全的认识水平将会提高。物理世界和数字世界之间的界限开始变得模糊,网络安全事件开始产生易于理解的现实后果。当安全事件开始导致人们家中断电、医院停止手术、空中交通管制人员让全国所有飞机停飞(就像这次发生的非安全原因)时,我们很快就会意识到我们的网络行为会带来现实生活中的后果。虽然我不相信所谓的网络世界末日,但我确实认为,我们将开始看到越来越多的网络安全事件的影响蔓延到现实生活中。当这种情况发生时,我希望我们能以此为契机,对人们进行数字安全教育,而不是传播恐惧、不确定性和怀疑。
设计保护消费者数据的法规
最后重要的一点是,我们需要继续制定保护消费者数据的法规。目前,美国公民的敏感数据宝库集中在少数大型企业手中。为了鼓励企业发展,美国政府在引入可能扼杀创新的不必要限制时总是犹豫不决。在其他国家,消费者数据的隐私和安全状况也不尽相同:有些国家的机构扮演着类似于数据经纪人的角色,而且往往同样不受监管,而其他国家对本国公民的数据则没有采取任何保护措施或采取最基本的保护措施。
23andMe公司的失败就是一个很好的例子,它掌握着数百万美国人的敏感健康数据,却被一家外国公司收购,这将对美国国家安全构成重大威胁。Will Manidis是这样解释X上发生的事情的。
Source: Will Manidis
结语
为了帮助确保普通民众的安全,我们首先需要接受现实,并着眼于应对现实,而不是寄希望于轻易改变现实。
由于人们不喜欢摩擦,独立的工具将很难获得采用。如果不将这些工具“嵌入”到核心产品和工作流程中,它们就无法提供无摩擦的保护。此外,消费者还不习惯为安全付费。由于传统的B2C软件盈利方式(如向广告商出售用户数据)的核心与隐私理念背道而驰,我们将继续努力通过B2C安全解决方案赚钱。
我们当然必须尽我们所能提高普通大众对隐私、安全和数字安全的认识,但我们需要明确的是,技术提供商,尤其是大型生态系统参与者,将最终负责确保其生态系统中的人们安全无虞。
原文链接:
https://ventureinsecurity.net/p/the-business-of-protecting-individuals
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。