前沿 Idea Watch

---

理論

如何防御
網絡釣魚攻擊

BOOST YOUR RESISTANCE TO PHISHING ATTACKS

賈慧娟 | 譯 蔣薈蓉 | 校 孫燕 | 編輯

瑞安·萊特（Ryan Wright）和馬修·延森（Matthew Jensen）在過去的十年里通過網絡釣魚獲取了成千上萬人的信息，短期內也不打算收手。

他們并不是瞄準錢財或想利用數據牟利的黑客，而是與全球各地的公司、政府和大學合作的研究人員，目的是了解為什么我們經常被網絡釣魚攻擊所欺騙，以及組織如何減輕這種威脅。企業安全部門花了很大的力氣來教育人們防范網絡釣魚，但還是有約30%的欺詐性電子郵件會被打開，網絡釣魚占了所有數據被盜事件的90%。一次成功的攻擊平均會造成380萬美元的損失，代價之高令人不安。隨著網絡犯罪分子對疫情所造成破壞的利用，及在家辦公人數的激增，這種情況可能會增加。在家工作的人注意力容易分散，可能會因此放松警惕。

根據研究結果，萊特［弗吉尼亞大學C·科爾曼·麥吉（C. Coleman McGehee）教席商科教授］和延森（俄克拉荷馬大學管理信息系統首席副教授）已經確定了幾種提高安全培訓有效性的方法。

增加思維模式指導

許多組織要求員工定期完成現成的培訓模塊——通常是每年一次或兩次。研究人員說，這樣可以提醒人們注意常見的威脅，并提供基本指導，幫助他們評估自己收到的信息。但研究人員也提醒說，單純地重復進行只有條條框框的培訓，不一定能增加員工對攻擊的抵抗力。事實上，這種培訓過了某個臨界點就會適得其反，使人們失去敏感度，給他們一種已經完全吸取了教訓的錯覺——然后他們就不再保持警覺。

問題部分在于，以規則為主的培訓容易引起諾貝爾獎得主心理學家丹尼爾·卡尼曼（Daniel Kahneman）所說的“系統1思維”。這種快速、自動化的處理方式是有效的，但可能導致粗心的決策，而且會讓員工在遇到非常規攻擊時容易上當受騙。萊特說：“與其讓人們記住一長串不斷變化的線索，不如采取更全面的策略”，增加思維模式指導。這一指導的目標是鼓勵系統2思維——一種更具有反思性和分析性的思維方式。

在一項涉及355名大學生、大學教師和工作人員的實地研究中，研究人員比較了三組參與者的表現，這些人都接受過基本的安全培訓。第一組接受了額外的基于規則的指導。第二組被教導使用簡單的思維技巧：如果一封郵件要求你去做一件事，就停下想一想這個要求的性質、時間、目的，判斷要求是否正常；如果有任何疑點，就去咨詢第三方。第三組沒有接受任何額外的培訓。十天后，研究人員發起了一次模擬釣魚攻擊。他們發現，接受額外規則培訓的人中有13%上當，沒有接受額外培訓的人中有23%上當，而接受思維模式培訓的人只有7%上當。另一名研究人員克里斯托弗·阮（Christopher Nguyen）在后續研究中也得到了類似的結果，并表明這種增強的抵抗力可以持續幾個月。

采用團隊方法

安全措施經常受到“最薄弱環節”問題的阻礙：只要有一個人對攻擊做出回應，攻擊就可能成功。為了了解群體動力學機制能否降低這一脆弱性，萊特及其他研究者在一所規模較大的大學中有180人的財務部門進行了為期兩年的實地實驗。研究人員繪制了員工在工作小組和社交網絡中的位置，并對他們進行了多次網絡釣魚，發現越是在工作和社交兩種群體中處于中心位置、與他人交往密切的人，遭受攻擊的可能性就越小。例如，在工作網絡中處于中心位置的員工點擊釣魚信息鏈接的幾率只有14%，而處于底部的員工點擊鏈接的幾率為35%。研究人員還發現，一個團隊的整體電腦熟練程度越高，每個成員抵御網絡釣魚攻擊的能力就越強。

這些發現表明，員工會從團隊同事那里以正式或非正式的方式學到有價值的安全教訓——管理者可以利用這種現象。“管理者可以指導團隊培訓，并讓每個團隊對結果負責，”萊特說，“而不是對員工說，‘又到了每年大家各自抽空完成IT培訓的時候’，然后就再也不提。”組織也可以使用網絡分析來確定特別易受攻擊的員工，并給處于團隊外圍的人員或新成員提供額外培訓。

這項研究還有一個讓研究人員吃驚的發現：員工與IT部門的互動越多，甚至信任越深，就越有可能在網絡釣魚中上當。研究人員認為，這些員工可能會覺得自己得到了“保護”，不會受到威脅。

“如果信用卡被盜，信用卡公司會彌補損失，那么人們就會不那么擔心如何保護自己的信用卡；我們推測，這個結果也是一樣的道理，”萊特解釋說，“如果人們認為，‘我點錯了什么東西，IT部門會保護我的安全’，他們并不會保護自己的數據，也沒有從與IT部門的互動中學習如何保護。”他說，管理人員可以將安全合規作為年度評估的一部分，以此激勵員工提高安全意識，而IT部門也可以提醒員工重視自己忽略的警告信號，而不是像以往一樣簡單地幫助員工解決問題。

采用競爭化培訓

另一個利用團隊動力學機制的方法是在網絡安全演習中加入競爭元素。研究人員進行了三項實驗，有568人參與。參與者扮演實習生的角色，被教導如何識別和報告可疑信息，然后接受各種任務，其中包括管理老板的郵箱。參與者在工作中會收到五封釣魚郵件。前兩個實驗中，每個人的可疑信息報告都要發在不同設計的排行榜上。第三個實驗中，研究人員將排行榜的效果與其他幾種反網絡釣魚措施單獨進行或組合使用的效果做了比較，如培訓視頻、在外部郵件上添加“外部”標記，以及給可能是網絡釣魚的可疑郵件加上警告標簽。

對比發現，排行榜既能鼓勵參與者報告可疑信息，也能非常有效地減少錯誤報告；只有明確警告電子郵件可能是釣魚的標簽效果比排行榜更好。與培訓配合使用時，排行榜的作用尤其強大。但事實證明，有些排行榜的設計效果更好。最理想的設計是，所有人都可以看到報告者的姓名，如果報告是正確的，報告者可以獲得加分，誤報則會扣分。延森說：“事實證明，外部激勵遠比內在激勵更有效。”

沒有人會為了好玩而花時間去搜尋網絡釣魚郵件。但是，組織可以采取以上措施來強調辨別和報告可疑信息的重要性，讓網絡安全措施發揮更大的作用，借此獲得回報。提起員工輕信欺詐性信息的問題，延森說，“這個真的很難杜絕。必須采取分層應對的方法。”

關于本研究 《超越個人：IT安全合規的團隊視角》（Beyond Individuals: A Group Perspective of IT Security Compliance），作者：瑞安·萊特、史蒂文·約翰遜（Steven L. Johnson）和布倫特·基臣（Brent Kitchen）（工作論文）；《筑起人為防火墻：使用排行榜，用集體行動打擊網絡釣魚》（Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards），作者：馬修·延森等，《管理信息系統雜志》（Journal of Management Information Systems），2017年。