安全对企业意味着什么
 的,或者口头的。员工需在此类交互中做出决策。然而,人类有很多漏洞可能导致决策错误,对公司造成负面影响,比如对外发送包含敏感数据的电子邮件、被人尾随进入公司限制区域,或者在火车上讨论公司并购问题。这些错误也可被投机黑客用于恶意目的。 某些情况下,公司企业可以设置预防性控制措施缓解出错,比如禁止员工向外发送电子邮件、加密笔记本电脑,或设置实体屏障。但错误总会发生,尤其是时间很紧张,或者员工为了更高效地完成任务而决意违反或无视此类控制措施的时候。压力加大的时候错误也会浮现。 若能识别基本人员漏洞,理解人类心理机制,了解哪些东西会触发危险行为,公司企业就会开始理解为什么员工会犯错,然后更有效地管理此类风险。 利用人员漏洞 人类心理弱点为攻击者呈现了影响并利用企业员工为自己谋利的机会。自人类踏入数字时代以来,攻击者利用心理操控的方式就没变过,但攻击技术却是越来越高端、廉价和影响广泛,使攻击者得以有效针对个人或攻击相当广阔的范围。 攻击者利用来自互联网和社交媒体源的大量免费信息,树立可信人物角色和背景,与目标建立起友好关系。该信息被小心谨慎地用于对目标施加压力,触发后续启发式决策响应。攻击者还会用各种攻击技术迫使目标进入特定认知偏差,造成可预测的错误。然后这些错误就会为攻击者所用了。 可被用于操纵人类行为的心理学方法有很多,攻击者可用来影响认知偏差的其中一种就是社会权力。 很多攻击技术都采用这种社会权力方法来利用人员漏洞。攻击技术可以是高度针对性的,也可以是大范围施展的,但它们通常都包含用于唤起认知偏差的触发器,造成可预测的错误。非针对性的 “广撒网” 式攻击仰赖一小部分用户点击恶意链接,而更复杂的社会工程攻击则更为成功,也越来越流行。攻击者已经意识到对人下手远比攻击技术基础设施要简单得多了。 攻击技术利用社会权力触发认知偏差的方式随场景不同而变化。某些情况下,一封电子邮件就足以触发能达到所需效果的认知偏差。其他情况下,攻击可能会在某段时期内用多种技术逐渐操纵目标。保持不变的是攻击都是精心构建且复杂的。通过摸清攻击者采用社会权力等心理学方法触发认知偏差并迫使出错的途径,公司企业可以解构并分析现实世界事件,识别其根源,然后投入最有效的缓解措施。 (编辑:柳州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
