NIST: в инцидентах со взломом виновата «усталость от безопасности»
Если вы следите за моими статьями, вы, вероятно, заметили мою постоянную тему человеческих ошибок и безопасности. Большинство инцидентов в области кибербезопасности можно каким-то образом отследить, придать форму или сформироваться человеческим ошибкам. Хотя для этого есть много причин, некоторые специалисты по информационной безопасности считают, что в некотором роде виновата . Методы, используемые экспертами по кибербезопасности для защиты пользователей от хакеров, как, по крайней мере, утверждает , могут создавать «усталость от безопасности».
В недавнем отчете исследователи NIST опубликовали результаты своего исследования усталости от безопасности, которую они определяют как «аффективные проявления, возникающие в результате усталости от принятия решений, и роль, которую она играет в решениях пользователей по безопасности». Основные выводы в отчете заключаются в том, что многие пользователи практикуют неправильные привычки в области безопасности из-за все более сложных протоколов.
Как заявила соавтор отчета Мэри Теофанос, «на самом деле мы не думали о расширении кибербезопасности и о том, что она сделала с людьми». Это также относится к миру ИТ, поскольку, как и широкая общественность, ИТ-сотрудники чувствуют определенную медлительность в отношении протоколов кибербезопасности. Как рассказал журналу Infosecurity Magazine Пирс Уилсон из Huntsman Security: «У среднего аналитика по безопасности теперь есть постоянно растущий поток предупреждений и предупреждений, которые нужно сортировать, исследовать, понимать и решать… они будут работать в команде того же размера; или, по крайней мере, не вырос в соответствии с объемом информации об угрозах и ложных срабатываниях, с которыми они сейчас имеют дело».
Предлагаемые NIST решения, помогающие уменьшить усталость от безопасности, включают в себя сокращение пользовательских решений, предоставление более простых путей к правильному выбору безопасности и «разработку для последовательного принятия решений, где это возможно». Существует законный баланс, который специалисты по кибербезопасности должны создать при создании протоколов для защиты отдельных пользователей или крупных сетей. Я беспокоюсь, однако, что часть «усталости от безопасности» может быть просто ленью.
Если у людей возникают проблемы с соблюдением основных протоколов безопасности, мы можем столкнуться с более серьезной проблемой. Любой специалист по тестированию на проникновение может сказать вам, что благодаря удаче и социальной инженерии они скомпрометировали систему во время аудита. Эти методы не новы, но все время мы слышим о новых «крупных» хакерских инцидентах с использованием такой тактики. Предложения NIST не следует игнорировать, но возлагать всю вину на специалистов по информационной безопасности за «усталость от безопасности» абсурдно.
Кибербезопасность — это улица с двусторонним движением. Это требует, чтобы сторона безопасности внедрила наиболее эффективные протоколы, но также требует, чтобы пользователь изучил эти протоколы. Это постоянная дискуссия, которую необходимо вести в сообществе кибербезопасности. Надеюсь, разговор продолжится.