瑞安·莱特(Ryan Wright)和马修·延森(Matthew Jensen)在过去的十年里通过网络钓鱼获取了成千上万人的信息,短期内也不打算收手。
他们并不是瞄准钱财或想利用数据牟利的黑客,而是与全球各地的公司、政府和大学合作的研究人员,目的是了解为什么我们经常被网络钓鱼攻击所欺骗,以及组织如何减轻这种威胁。企业安全部门花了很大的力气来教育人们防范网络钓鱼,但还是有约30%的欺诈性电子邮件会被打开,网络钓鱼占了所有数据被盗事件的90%。一次成功的攻击平均会造成380万美元的损失,代价之高令人不安。随着网络犯罪分子对疫情所造成破坏的利用,及在家办公人数的激增,这种情况可能会增加。在家工作的人注意力容易分散,可能会因此放松警惕。
根据研究结果,莱特[弗吉尼亚大学C·科尔曼·麦吉(C. Coleman McGehee)教席商科教授]和延森(俄克拉荷马大学管理信息系统首席副教授)已经确定了几种提高安全培训有效性的方法。
增加思维模式指导
许多组织要求员工定期完成现成的培训模块——通常是每年一次或两次。研究人员说,这样可以提醒人们注意常见的威胁,并提供基本指导,帮助他们评估自己收到的信息。但研究人员也提醒说,单纯地重复进行只有条条框框的培训,不一定能增加员工对攻击的抵抗力。事实上,这种培训过了某个临界点就会适得其反,使人们失去敏感度,给他们一种已经完全吸取了教训的错觉——然后他们就不再保持警觉。
问题部分在于,以规则为主的培训容易引起诺贝尔奖得主心理学家丹尼尔·卡尼曼(Daniel Kahneman)所说的“系统1思维”。这种快速、自动化的处理方式是有效的,但可能导致粗心的决策,而且会让员工在遇到非常规攻击时容易上当受骗。莱特说:“与其让人们记住一长串不断变化的线索,不如采取更全面的策略”,增加思维模式指导。这一指导的目标是鼓励系统2思维——一种更具有反思性和分析性的思维方式。
在一项涉及355名大学生、大学教师和工作人员的实地研究中,研究人员比较了三组参与者的表现,这些人都接受过基本的安全培训。第一组接受了额外的基于规则的指导。第二组被教导使用简单的思维技巧:如果一封邮件要求你去做一件事,就停下想一想这个要求的性质、时间、目的,判断要求是否正常;如果有任何疑点,就去咨询第三方。第三组没有接受任何额外的培训。十天后,研究人员发起了一次模拟钓鱼攻击。他们发现,接受额外规则培训的人中有13%上当,没有接受额外培训的人中有23%上当,而接受思维模式培训的人只有7%上当。另一名研究人员克里斯托弗·阮(Christopher Nguyen)在后续研究中也得到了类似的结果,并表明这种增强的抵抗力可以持续几个月。
采用团队方法
安全措施经常受到“最薄弱环节”问题的阻碍:只要有一个人对攻击做出回应,攻击就可能成功。为了了解群体动力学机制能否降低这一脆弱性,莱特及其他研究者在一所规模较大的大学中有180人的财务部门进行了为期两年的实地实验。研究人员绘制了员工在工作小组和社交网络中的位置,并对他们进行了多次网络钓鱼,发现越是在工作和社交两种群体中处于中心位置、与他人交往密切的人,遭受攻击的可能性就越小。例如,在工作网络中处于中心位置的员工点击钓鱼信息链接的几率只有14%,而处于底部的员工点击链接的几率为35%。研究人员还发现,一个团队的整体电脑熟练程度越高,每个成员抵御网络钓鱼攻击的能力就越强。
这些发现表明,员工会从团队同事那里以正式或非正式的方式学到有价值的安全教训——管理者可以利用这种现象。“管理者可以指导团队培训,并让每个团队对结果负责,”莱特说,“而不是对员工说,‘又到了每年大家各自抽空完成IT培训的时候’,然后就再也不提。”组织也可以使用网络分析来确定特别易受攻击的员工,并给处于团队外围的人员或新成员提供额外培训。
这项研究还有一个让研究人员吃惊的发现:员工与IT部门的互动越多,甚至信任越深,就越有可能在网络钓鱼中上当。研究人员认为,这些员工可能会觉得自己得到了“保护”,不会受到威胁。
“如果信用卡被盗,信用卡公司会弥补损失,那么人们就会不那么担心如何保护自己的信用卡;我们推测,这个结果也是一样的道理,”莱特解释说,“如果人们认为,‘我点错了什么东西,IT部门会保护我的安全’,他们并不会保护自己的数据,也没有从与IT部门的互动中学习如何保护。”他说,管理人员可以将安全合规作为年度评估的一部分,以此激励员工提高安全意识,而IT部门也可以提醒员工重视自己忽略的警告信号,而不是像以往一样简单地帮助员工解决问题。
采用竞争化培训
另一个利用团队动力学机制的方法是在网络安全演习中加入竞争元素。研究人员进行了三项实验,有568人参与。参与者扮演实习生的角色,被教导如何识别和报告可疑信息,然后接受各种任务,其中包括管理老板的邮箱。参与者在工作中会收到五封钓鱼邮件。前两个实验中,每个人的可疑信息报告都要发在不同设计的排行榜上。第三个实验中,研究人员将排行榜的效果与其他几种反网络钓鱼措施单独进行或组合使用的效果做了比较,如培训视频、在外部邮件上添加“外部”标记,以及给可能是网络钓鱼的可疑邮件加上警告标签。
对比发现,排行榜既能鼓励参与者报告可疑信息,也能非常有效地减少错误报告;只有明确警告电子邮件可能是钓鱼的标签效果比排行榜更好。与培训配合使用时,排行榜的作用尤其强大。但事实证明,有些排行榜的设计效果更好。最理想的设计是,所有人都可以看到报告者的姓名,如果报告是正确的,报告者可以获得加分,误报则会扣分。延森说:“事实证明,外部激励远比内在激励更有效。”
没有人会为了好玩而花时间去搜寻网络钓鱼邮件。但是,组织可以采取以上措施来强调辨别和报告可疑信息的重要性,让网络安全措施发挥更大的作用,借此获得回报。提起员工轻信欺诈性信息的问题,延森说,“这个真的很难杜绝。必须采取分层应对的方法。”
贾慧娟 | 译 蒋荟蓉 | 校 孙燕 | 编辑
关于本研究 《超越个人:IT安全合规的团队视角》(Beyond Individuals: A Group Perspective of IT Security Compliance),作者:瑞安·莱特、史蒂文·约翰逊(Steven L. Johnson)和布伦特·基臣(Brent Kitchen)(工作论文);《筑起人为防火墙:使用排行榜,用集体行动打击网络钓鱼》(Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards),作者:马修·延森等,《管理信息系统杂志》(Journal of Management Information Systems),2017年。
“让课程更加个人化,大家更容易坚持下去”
房利美(Fannie Mae)的首席信息安全官克里斯托弗·波特(Christopher Porter)负责监督近7500名员工以及数千名独立合同员工和顾问的安全培训。最近他接受了《哈佛商业评论》的采访,谈到了该公司是如何抵御钓鱼攻击的。以下是采访节录。
你们会进行何种防钓鱼攻击培训?
整个公司都设有广泛的强制性培训,我们还针对特定部门采取了其他措施。例如,应付账款和财务部门面临独特的攻击,需要培养特殊的防御能力。此外,每个月我们都会围绕特定主题进行一次模拟钓鱼攻击演习。员工点击一个测试邮件,会立即得到反馈——一个简短的视频会告诉他们为什么这条信息是钓鱼攻击。如果员工在一年内有两项或以上的测试不合格,就要参加额外的小组培训来进行补习。最后,我们每周都会进行一次安全意识宣传活动:每周五发布一篇博客,讨论如何识别网络攻击的一些问题,以及在发现网络攻击时应该如何处理——让大家主动报告攻击邮件至关重要。我们在不断地强调员工需要采取什么行动。
你们每月演习的重点是什么?
有三个主题。第一个是损失:攻击者威胁说,如果有人不回应,就会夺走他的某些东西。第二个是承诺:员工被告知点击某个链接就会得到一些东西。第三点与情感有关——试图利用诸如好奇心之类的东西。重要的是要知道员工最容易上哪一种的当,这样才能有针对性地进行培训。我们还会观察在某个特定时段流行什么样的攻击。比如最近,与新冠疫情相关的钓鱼邮件很容易令人上当。
研究发现,简单的思维练习可以增强员工对钓鱼的抵抗力。你们用过这种方法吗?
我们尝试让员工使用“停下,思考,行动”的流程。例如,鼓励他们在看到标记为外部信息的邮件时停下来,在继续阅读或采取任何行动之前问问自己是否在等这封邮件、是否认识发件人、是否有什么事情感觉不对劲。这种做法慢慢提高了我们的抵抗力。
如何防止员工完成了培训却没有真正理解吸收?
首先,试着让培训变得好玩。我们用专业人士制作的动画视频来进行安全培训,有时视频的配音是明星——喜剧演员乔恩·洛维特(Jon Lovett)就配过一次。其次,我们会参考研究成果:如果你教会员工在家里保护自己的信息,他们会把这种经验带到办公室,并应用到公司的信息上。为此,我们向员工展示了如何设置多重因素认证来保护个人财务信息安全。在报税季节,我们会提醒员工注意自称来自美国国税局的诈骗信息。我们做了很多事情来帮助员工保护自己的家人,比如请一位女性来公司讲小时候被网络猎手绑架的经历,以及父母如何保护孩子免受网络犯罪侵害。研究与我们的发现表明,个人化的培训课程更容易让人坚持下去。