出典: foto-zone via Alamy Stock Photo
コメント
新しいサイバーセキュリティ意識向上キャンペーン、Take9があります。アイデアは、人々—あなたや私、みんな—がリンクをクリックする前、ファイルをダウンロードする前、または何かを共有する前に9秒間立ち止まって考えるべきだというものです。
もちろん、ウェブサイトとビデオがあり、よく作られていて怖いですが、このキャンペーンはサイバーセキュリティを大幅に改善することはありません。このアドバイスは合理的ではなく、個人や国家を著しく安全にすることはなく、私たちのサイバースペースの不安の本当の原因から責任をそらします。
まず、このアドバイスは現実的ではありません。9秒間の停止は、コンピュータや電話を使うという日常的なことにおいては永遠のように感じます。試してみてください。タイマーを使って。そして、どれだけ多くのリンクをクリックし、どれだけ多くのものを転送したり返信したりするかを考えてみてください。すべてのテキストメッセージの後に9秒間停止しますか?すべてのSlackの通知の後に?誰かが途中で返信した場合、時計はリセットされますか?ブラウジングについては、各リンクをクリックする前に停止するのか、それとも各ページが読み込まれるたびに停止するのか?ロジスティクスはすぐに不可能になります。実際のユーザーでこのアイデアをテストしたとは思えません。
第二に、それはほとんど役に立たないでしょう。業界はそれを知っているはずです。なぜなら、10年前に試したからです。「ストップ・シンク・コネクト」は、意識向上 キャンペーンで、2016年に国土安全保障省によって行われました—これはCISAの前のことです—そして国家サイバーセキュリティアライアンスによるものでした。メッセージは基本的に同じでした:オンラインで何かをする前に立ち止まって考える。それはその時も効果がありませんでした。
関連記事:AIがどのようにSASEとゼロトラストを現代企業に変革しているか
Take9のウェブサイトには、「科学が言う:ストレスの多い状況では、反応する前に10秒待つ」と書かれています。しかし、リンクをクリックすることはストレスの多い状況ではありません。それは普通のことで、1日に何百回も起こります。バーで誰かを殴る前に10秒数えるように訓練することはできるかもしれませんが、添付ファイルを開く前にはできません。
そして、それに科学的な根拠はありません。それはインターネット上に広まっている民間信仰で、実際の研究に基づいていません—食べ物を床に落としたときの5秒ルールのように。感情的に充実した文脈では、ほとんどの人はすでに圧倒され、認知的に負担をかけられ、このアドバイスが示唆するように合理的な中断がうまく機能する空間ではありません。
停止はほとんど役に立たない
停止は習慣を断ち切るのに役立ちます。習慣でクリックしたり、共有したり、リンクしたり、ダウンロードしたり、接続したりしている場合、その習慣を断ち切るための停止は効果的です。しかし、ここでの問題は習慣だけではありません。問題は、人々が正当なものと攻撃を区別できないことです。
関連記事:Lumma Stealerの摘発が明らかにした広範なオペレーション
Take9のウェブサイトには、9秒が「より良い決定を下すのに十分な時間」と書かれていますが、停止して考えるように言っても、停止した後に何を考えるかがわからなければ意味がありません。9秒間停止して…何をするのでしょうか?Take9は指針を提供していません。それは、人々が無数の潜在的な攻撃を理解し、インターネット上で行う何千もの行動のうちどれが有害であるかを理解するための認知ツールを持っていると仮定しています。人々が正しい知識を持っていなければ、長く停止しても—たとえ1分であっても—知識を増やすことはできません。
三部構成の疑念、認知、自動性モデル(SCAM)は、これを考える一つの方法です。最初は知識の欠如—何がリスクで何がそうでないかを知らないこと。第二は習慣:人々がいつもしていることをする。そして第三に、欠陥のあるメンタルショートカットを使用することです。例えば、PDFがMicrosoft Word文書よりも安全であると信じたり、モバイルデバイスがコンピュータよりも疑わしいメールを開くのに安全であると信じたりすることです。
これらの経路は常に孤立して発生するわけではありません。時には一緒に、または順番に発生することもあります。それらは互いに影響を与えたり、互いを打ち消したりすることがあります。例えば、知識の欠如が欠陥のあるメンタルショートカットに頼ることにつながる一方で、同じショートカットがその知識の欠如を強化することがあります。だからこそ、意味のある行動の変化には単なる停止以上のものが必要であり、これらの動的な相互作用を考慮した認知的な足場とシステム設計が必要です。
関連記事:CSIRPsのためのメトリクスを開発し、伝える方法
成功した意識向上キャンペーンは、人々に停止を促すだけでなく、二段階のプロセスを案内します。まず疑念を引き起こし、より注意深く見るように動機付けします。その後、何を見るべきか、どのように評価するかを教えます。両方が起こると、人はより良い決定を下す可能性が高くなります。
これは、停止が文脈に特化する必要があることを意味します。例えば、「EXTERNAL: このメールは組織外のアドレスからのものです」や「この人からのメールを以前に受け取ったことはありません」といった警告を埋め込んだメールリーダーを考えてみてください。それらは具体的であり、有用です。「これはブルースが通常書く方法ではありません」と警告するAIプラグインを想像することもできます。しかしもちろん、悪者たちはこれらのシステムを使ってそれを回避する方法を見つけるでしょう。
これはすべて難しいことです。古い手がかりはもうありません。現在のフィッシング攻撃は、文法の間違いや誤字だらけの古いナイジェリアの詐欺から進化しています。テキストメッセージ、音声、またはビデオの詐欺はさらに検出が難しいです。テキストメッセージには、システムがフラグを立てるための十分なコンテキストがありません。音声やビデオでは、進行中の会話を中断せずに疑念を引き起こすことははるかに難しいです。そして、システムが正当な会話を潜在的な詐欺としてフラグを立てるすべての誤検知は、人々の直感に反します。人々は単に自分の疑念を無視し始めるでしょう。ちょうどほとんどの人がコンピュータが道に置くさまざまな警告を無視するように。
これをすべてうまく正しく行ったとしても、人々をソーシャルエンジニアリングに対して免疫にすることはできません。最近、サイバースペース活動家のコリー・ドクトロウとセキュリティ研究者のトロイ・ハント—詐欺検出に優れていると思われる2人—がフィッシングに引っかかりました。どちらの場合も、ちょうど適切なメッセージが適切なタイミングで届いたのです。
大規模な組織であれば、さらに悪化します。セキュリティは、平均的な従業員が悪意のあるメールを検出する能力に基づいているのではなく、最も悪い人の無能さ—最も弱いリンク—に基づいています。意識が平均を上げたとしても、それだけでは十分ではありません。
責任を負うべきでないところに責任を負わせないでください
最後に、これらすべては悪い公共政策です。Take9キャンペーンは、人々が一時停止してより良い決定を下すことでサイバー攻撃を防ぐことができると伝えています。言われていないが、確かに暗示されているのは、もし彼らがその一時停止を行わず、より良い決定を下さなければ、攻撃が発生したときに彼らが責任を負うということです。
それは単に真実ではなく、ユーザーを責めるメッセージは、私たちの業界が犯す最悪の間違いの一つです。ユーザーを修正しようとするのをやめてください。リンクをクリックしてシステムが感染した場合、それはユーザーの責任ではありません。見知らぬUSBドライブを差し込んだり、理解できない警告メッセージを無視したりするのも彼らの責任ではありません。見た目が似た銀行のウェブサイトに騙されてお金を失ったとしても、それは彼らの責任ではありません。問題は、通常の非技術的な人々が自信を持って使用できないほど不安定なシステムを設計していることです。私たちは、悪いシステム設計を隠すためにセキュリティ意識向上キャンペーンを使用しています。あるいは、セキュリティ研究者のアンジェラ・サッセが1999年に最初に言ったように:「ユーザーは敵ではありません。」
私たちは他の生活の部分でそれを受け入れません。Take9を他の文脈で想像してみてください。食品サービス:「レストランに座る前に9秒間:キッチンを見て、冷蔵庫の温度を確認したり、料理人の手が清潔かどうかを確認したりしてください。」航空:「飛行機に乗る前に9秒間:エンジンとコックピットを見て、飛行機の整備記録をちらっと見て、パイロットが休息を取ったかどうかを尋ねてください。」これは明らかに馬鹿げたアドバイスです。平均的な人がレストランや航空機の安全性を評価するための訓練や専門知識を持っているわけではありません—そして私たちはそれを期待していません。法律や規制があり、人々がレストランで食事をしたり、飛行機に乗ったりすることを心配せずにできるようにしています。
しかし—私たちは理解しています—政府がインターネットを規制することはないでしょう。これらの不安定なシステムが私たちの持っているものです。セキュリティ意識向上トレーニングと、それに伴うユーザーを責めるメンタリティが私たちの持っているすべてです。したがって、意味のある行動の変化を望むなら、それには単なる停止以上のものが必要です。それには、クリック、ダウンロード、または共有するという決定に関与するすべての動的な相互作用を考慮した認知的な足場とシステム設計が必要です。そしてそれは本当の作業を必要とします—単なる広告キャンペーンや洗練されたビデオ以上のものです。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、The Day I Found an APT Group in the Most Unlikely Place、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックや発見した驚きについてのストーリーを共有します。今すぐ聴く!
著者について
寄稿者、フェロー&講師、ハーバード・ケネディ・スクール、Inrupt, Inc.のセキュリティ技術責任者
ブルース・シュナイアーは、ハーバード・ケネディ・スクールのフェローおよび講師であり、Inrupt, Inc.のセキュリティ技術責任者です。彼はwww.schneier.comで見つけることができます。
技術者
Arun Vishwanath, Ph.D., MBAは、サイバーセキュリティの「人の問題」に関する最も著名な専門家の一人です。彼は、The Weakest Link: How to Diagnose, Detect, and Defend Users from Phishingという本の著者であり、MIT Pressから出版されています。
彼のサイバーセキュリティの科学に関する研究は、企業のセキュリティにおける最大の脆弱性であるユーザーに焦点を当てています。彼の作品には、人間のサイバーリスクを定量化する方法論の開発、なぜ人々が社会工学によってリスクにさらされるのかを診断するアプローチ、およびこのリスクを軽減する技術が含まれています。
ハーバード大学のバークマン・クライン・センターの卒業生であるArunは、バッファロー大学とインディアナ大学で教員職を務めました。彼はセキュリティの科学に関する約50の査読付き研究論文を執筆し、CNN、ワシントン・ポスト、その他の主要メディアに寄稿しています。彼のサイバーセキュリティに関する見解は、Wired MagazineやVerizon「データ侵害調査レポート」(DBIR)などの報告書にも掲載されています。彼についての詳細は彼のウェブサイトで読むことができます。
翻訳元: https://www.darkreading.com/cybersecurity-operations/why-take9-will-not-improve-cybersecurity