Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Securitate și educație

2017-09-12

Jurnalistul Kevin Townsend a susținut într-un articol ce avea ca temă phishing-ul:

Phishing-ul într-adevăr aduce două întrebări de bază:

  1. Tehnologia poate rezolva vreodată problema și care sunt cele mai bune abordări?
  2.  Poate instruirea în vederea conștientizării să rezolve vreodată problema? Cum?

Dacă răspunsul este “nu” la ambele, ar trebui să ne concentrăm pe acceptarea faptului că va reuși și asupra descoperirii și atenuării efectelor unui atac de tip phishing de succes?

Întrebarea este următoarea: sunt phishing-ul și alte manifestări ale infracționalității cibernetice probleme pur tehnologice? Chiar dacă ar fi așa, rezultă că acestea ar putea fi rezolvate numai prin tehnologie?

Într-o oarecare măsură, industria software-ului de securitate se bazează pe ideea că există întotdeauna un răspuns tehnologic la o problemă tehnologică (așa cum într-adevăr a convins mulți clienți), dar “întotdeauna” este un cuvânt mare.

În general, atunci când abordăm un vector de atac tehnologic, băieții răi încep să se străduiască să găsească modalități în jurul blocajului. Asta nu înseamnă că nu ar trebui să căutăm soluții tehnice, dar înseamnă că nu putem găsi, de regulă, o remediere o dată și pentru totdeauna. Uneori, în cele din urmă abandonăm o abordare totală. Mai des se păstrează recalibrarea, deoarece natura amenințărilor se schimbă.

Poate fi remediată situația?

Există mai multe lucruri de făcut pentru a supraviețui într-un mediu compus din amenințări și contra-amenințări decât forța tehnologică și apărarea, totuși. Expectativa ca industria de securitate să stabilească totul este la fel de realistă precum cazul în care se așteaptă ca tehnologia medicală să elimine problema sau cazul tehnologiei criminalistică pentru eradicarea criminalității în lumea fizică. Lumea online nu are un singur punct de sufocare în care poate fi aplicată o singură soluție de securitate și toată lumea să fie protejată, chiar dacă o astfel de soluție ar exista.

Poate că avem nevoie de un cuvânt mai bun decât soluție. Ceva care ar suna mai puțin ca o “victorie glorioasă la sfârșitul războiului”, ci mai degrabă precum “acest lucru ar putea câștiga în cadrul acestei abateri”.

Industria de securitate este destul de bună în furnizarea unei game largi de soluții parțiale pentru o gamă largă de atacuri tehnologice, dar tehnologia continuă să evolueze pe ambele părți ale diviziei white-hat/black-hat, deci nu există nicio pretenție pentru marketing – nu există niciodată un procent de 100% în ceea ce privește securitatea. Cu atât mai puțin de la un singur produs. În cele mai multe cazuri, organizațiile și persoanele preferă să aleagă măsurile de apărare pe care le iau și, într-adevăr, dacă să se protejeze.

Din păcate, acele alegeri nu vor fi întotdeauna alegerile pe care experții în securitate le consideră cele mai bune.

Tehnologie vs. oameni

security education and the battle between technology and humans

Phishing-ul nu este (doar) o problemă tehnică și nici infracționalitatea informatică în general. De fapt, infracționalitatea cibernetică, precum ruda sa pre-digitală, este în primul rând o problemă socială sau mai degrabă un grup de probleme sociale interconectate:

  • Comportamentul infracțional (online sau offline) și factorii economici, educaționali și psihologici din spatele acestuia. “Societatea poate provoca un comportament deviant în care individul trebuie să se aboneze la mai multe coduri. Totuși, elementele unui singur cod sunt incompatibile cu altul, ducând la o stare incomodă de disonanță cognitivă, care ar putea duce la un comportament irațional sau neadaptabil. În alte cazuri, probabil că într-o epocă în care știrile false, îmbrăcate sub fome unei satire, sunt moneda comună a social media, evoluția tehnologiei a depășit cu mult capacitatea medie a persoanei de a aplica perceptele comune ale socializării de zi cu zi în lumea online .“
  • Comportamentul victimelor și factori asemănători. Prin acest lucru nu se face referire doar la victimele care nu iau fără precauție măsuri de precauție rezonabile, dar și băncile și alte instituții care contribuie la această problemă prin faptul că nu respectă un nivel suficient de siguranță atunci când comunică în mod legitim cu clienții. De fiecare dată când o bancă trimite un e-mail adresat “clienților dragi” sau e-mailul include un link “clic aici”, redirecționat în mai multe rânduri, este mai dificil pentru victimele potențiale să facă distincția între e-mailurile de tip phishing și e-mailurile legitime. Dacă nu vă este cunoscut nici măcar numele, cum puteți fi siguri că banca este într-adevăr cea care vă trimite prin e-mail? Dacă nu puteți spune de unde vine un link sau dacă se îndreaptă spre un site al cărui nume nu are legătură cu banca, cum puteți ști că este sigur?
  • Legislație și probleme de aplicare a legii. Chiar și acolo unde există o legislație adecvată, voința și resursele nu sunt acolo pentru a-o aplica într-un mod mai bun decât fragmentar.

Conștientizare, training, educație

Prin urmare, instruirea / educația în ceea ce privește conștientizarea poate rezolva problema? Ei bine, probabil nu vom ști niciodată sigur. De multe ori de-a lungul anilor, a existat convingerea conform căreia “nu știm dacă educația utilizatorilor funcționează pentru că nimeni nu a mai făcut-o încă”. Este o metodă simplă și simplă de a o implementa, sincer, deși “dacă educația utilizatorilor urma să funcționeze, ar fi funcționat până acum”. Au fost făcute multe eforturi pentru ridicarea nivelului general de conștientizare a securității și a auto-protecției printr-o formă de educație.

Cum putem obține un echilibru atunci când vine vorba de predarea igienei computerizate într-o amenințare tot mai complexă pentru publicul cu experiență și cunoștințe tehnice foarte diferite? Poate fi integrată într-un cadru formal, chiar național, o abordare prietenoasă a securității?

Mai jos găsiți câteva sugestii cu privire la modul în care s-ar putea face acest lucru.

Educație, educație, educațieclass learning about online security education

Cunoștințele pot fi, într-o oarecare măsură, educate în a fi mai puțin vulnerabile, cu siguranță la atacuri care sunt cel puțin parțial psihologice, mai degrabă decât pur tehnologice.

Foarte, foarte des … o amenințare este mai puțin dependentă de eficiența tehnologiei sale decât de cât de eficient manipulează psihologia victimei.

Manipularea psihologică a victimei vizate este o componentă esențială a ceea ce numim deseori ingineria socială. Susceptibilitatea la ingineria socială poate fi uneori redusă prin măsuri tehnice – analiza textuală a e-mailurilor în scopul de a detecta textul caracteristic unui anumit tip de comunicare motivată de infracționalitate, de exemplu. Cu toate acestea, educatorii preferă o abordare complementară, pe termen lung, care implică îngreunarea manipulării persoanelor.

Recunoașterea amenințărilor

Un pas spre atingerea acestui obiectiv este prin instruirea relativ simplistă în recunoașterea amenințărilor: de exemplu, prin “chestionarele de phishing” dintr-o lucrare pentru Virus Bulletin (Phish Phodder: este educația utilizatorilor un ajutor sau o piedică?). Dar principiul KISS nu este întotdeauna suficient. Ceea ce funcționează în designul de inginerie nu funcționează întotdeauna în educație. Există o tensiune perpetuă între menținerea comunicării în limitele unei înțelegeri a audienței, dar suficient de precisă și suficient de cuprinzătoare pentru a depăși limitele sonore. (Legea a XI-a a Data Smog: “Feriți-vă de povești care dizolvă toată complexitatea.”)

Chiar și un test slab proiectat ridică gradul de conștientizare a problemei, dar poate fi mai rău decât inutil, dacă întărește ipoteze greșite din partea participantului la test. Unele teste par să promoveze un serviciu: “Discriminarea este prea dificilă; cumpărați produsul nostru sau chiar utilizați serviciul gratuit de verificare a barei de bord / site”. Nu este greșit în sine; un vânzător se află în afacerea de a vinde produse sau servicii. Dacă produsul sau serviciul în cauză este gratuit, pare chiar mai critic, dar există o problemă prin faptul că acest mesaj favorizează dependența, nu conștientizarea; Mai rău, această dependență se bazează pe o soluție tehnică care se poate baza pe detectarea unor cazuri specifice malițioase, mai degrabă decât pe o clasă generică de detectare.

În mod clar, există și alte limitări în eficacitatea abordării paternaliste a “zeilor și furnicilor”. Arătând potențialelor victime câteva amenințări spre exemplu, este posibil ca uneori să fie capabili să extrapoleze de la cei care se confruntă cu diferite exemple din aceeași clasă. Dar nu destul de des. Cu toate acestea, oricât de dorit ar fi ca, teoretic, să se ofere fiecăruia competențele analitice ale unui expert eficient în domeniul securității, acest lucru, evident, nu este o posibilitate realistă la locul de muncă, cu atât mai puțin la domiciliu.

Nu toate sfaturile sunt tocmai bune

security education and book advice

Punerea în aplicare a unei scheme care reprezintă o jumătate de șansă de educare a tuturor celor care au nevoie de educație ar necesita resurse, înțelegere și coordonare care fac foarte improbabil ca o astfel de implementare să fie realizată în timpul vieții noastre sau a copiilor noștri. Și nu toate sfaturile sunt sfaturi bune.

Există cu siguranță o mulțime de informații gratuite disponibile, din mai multe surse: mass-media, furnizorii de servicii de securitate, agenții guvernamentale, agenții de aplicare a legii și persoane mai mult sau mai puțin altruiste, care oferă sfaturi, recenzii despre produse și așa mai departe. Din nefericire, calitatea acestor resurse este și mai variabilă și se adresează sectorului comunității care este cel mai puțin capabil să facă diferența între sfaturile bune și rele. În special sfaturi care într-un anumit sens sunt competitive cu alte surse de consiliere.

Patch-urile pentru oameni

Cu toate acestea, nu este pe deplin sigur că educația ar putea schimba vreodată natura umană atât de dramatic încât X nu ar visa să scape Y, chiar dacă Y ar fi fost suficient de naiv să cadă în fața unei înșelătorii. Până când educația nu reușește să realizeze imposibilul, escrocii vor continua să înșele și, într-o epocă tehnologică, vor folosi tehnologia pentru a-și atinge scopurile malițioase. Legile și aplicarea legii vor avea doar un succes parțial, iar victimele se vor comporta în felul în care îi vor face să devină victime. Cu toate acestea, educația și formarea pot ajuta pe toți cei care trăiesc în domeniul digital să se comporte mai puțin ca niște victimel.

Educația utilizatorilor este, de asemenea, o parte esențială a evoluției sociologice. Amenințările cu care ne confruntăm pe internet nu sunt noi în concept: numai în implementarea tehnologică. Atacurile de inginerie socială s-au produs cu mult înainte de Elena din Troia. Cu toate acestea, economia de masă în executarea unor astfel de atacuri a fost atât de mică încât educația pe scară largă în recunoașterea tehnicilor utilizate nu a fost considerată necesară. Povestea calului troian a fost predată de-a lungul secolelor ca istorie și ca o metaforă, dar nu este văzută ca o ilustrare a unuia dintre riscurile integrale ale vieții de zi cu zi. Internetul a dus la o creștere exponențială a utilizării atacurilor de inginerie socială până la punctul în care cunoașterea modului în care aceste atacuri sunt comise este o abilitate de viață necesară în societatea contemporană.

Apărare și auto-apărare

În timp ce utilizarea corectă a tehnologiei defensive pe mai multe straturi merge mult spre protejarea oamenilor fără a le cere să fie experți în securitate, tehnologia poate fi implementată mai eficient pentru a suplimenta și implementa educația celor care o folosesc.

După multă muncă de cercetare, a devenit clar faptul că luarea teoriei jocurilor la nivelul următor – determinarea celei mai probabile acțiuni pe care un utilizator o va lua într-o anumită situație, permițând întărirea deciziilor “sigure” și sancționarea (sau cel puțin monitorizarea) Deciziile “nesigure” – poate duce la un mediu de calcul mult mai sigur pentru utilizatorul final, deoarece software-ul lor de securitate ar putea să determine cu mai multă acuratețe rezultatul acțiunilor lor.

Aceste măsuri pot ajuta instituțiile să se îndepărteze de îngrijirea potențialelor victime în acceptarea necritică a mesajelor de phishing prin îmbunătățirea mesajelor proprii, precum și prin eforturile continue de îmbunătățire a propriei securități și a clienților lor.

Învățați-vă bine copiii

Nu este nevoie de multă experiență cu Facebook și cu alte site-uri de socializare pentru a realiza că mulți adulți nu au fost niciodată educați în ceea ce privește gândirea critică și scepticismul sănătos, iar ei au nevoie de ajutor pentru ” propria lor judecată, mai degrabă decât să se bazeze în întregime pe soluții tehnice și pe resurse de informație “oficiale” conflictuale … [și] îndreaptarea spre strategii de dezvoltare a analizei solide și a judecății – ceea ce educatori numesc gândire critică.”

Este important ca toată lumea să recunoască cât de nesigur este internetul, nu doar ca un vector pentru atacuri directe, ci și ca sursă de informare. Deci, nu ar trebui să abandonăm educația pentru adulți sau pentru copii și să continuăm să folosim și să îmbunătățim tehnologia, astfel încât să devină mai greu pentru băieții răi să folosească abuziv. Ar trebui, bineînțeles, să recunoaștem că phishingul și alte elemente ale criminalității informatice vor continua să găsească victime și vor face tot ce este posibil pentru a minimiza impactul asupra victimelor înainte și după fapte.

 

DAVID HARLEY
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *