最近的一项研究发现了当前计算机安全指南存在的问题,表明它们经常让员工感到困惑和不知所措。研究人员推荐了一种更有条理的方法,强调关键信息并优先考虑重要信息,以增强计算机安全的理解和实施。
如果你曾经对工作场所提供的计算机安全说明感到困惑,那么你并不孤单。最近的一项研究强调了制定这些指导方针的一个根本问题,并建议采取直接的措施来加强这些指导方针,这可能会提高计算机的安全性。
人们关注的是包括企业和政府机构在内的机构向其员工提供的计算机安全协议。这些协议旨在指导员工保护个人和组织数据免受恶意软件和网络钓鱼攻击等危险。
“作为一名计算机安全研究人员,我注意到我在网上读到的一些计算机安全建议是令人困惑的、误导性的,或者就是完全错误的,”这项新研究的通讯作者、北卡罗来纳州立大学计算机科学助理教授布拉德·里夫斯说。“在某些情况下,我不知道这些建议是从哪里来的,也不知道它是基于什么。这就是这项研究的动力。这些指导方针是谁写的?他们的建议是基于什么?他们的流程是什么?我们有没有办法做得更好?”
在这项研究中,研究人员对21位专业人士进行了深入采访,这些专业人士负责为大型公司、大学和政府机构等组织编写计算机安全指南。
Reaves说:“这里的关键是,撰写这些指南的人试图提供尽可能多的信息。”“从理论上讲,这很好。但作者并没有优先考虑最重要的建议。或者,更具体地说,他们不会剥夺那些不那么重要的点的优先级。因为有太多的安全建议,这些指导方针可能会让人不知所措,而最重要的一点在混乱中被忽略了。”
研究人员发现,安全指南之所以如此势不可当,原因之一是指南作者倾向于将来自各种权威来源的每一项可能的内容都纳入其中。
Reaves说:“换句话说,指南的编写者正在编写安全信息,而不是为他们的读者策划安全信息。”
根据他们从访谈中学到的东西,研究人员提出了两项建议,以改进未来的安全指导方针。
首先,指南的编写者需要一套关于如何管理信息的清晰的最佳实践,以便安全指南告诉用户他们需要知道什么,以及如何优先考虑这些信息。
其次,作者——以及整个计算机安全社区——需要对不同技术能力水平的读者有意义的关键信息。
“看,计算机安全是复杂的,”里夫斯说。但医学更为复杂。然而,在大流行期间,公共卫生专家能够就如何降低感染COVID的风险向公众提供相当简单、简明的指导方针。我们需要能够在计算机安全方面做同样的事情。”
最后,研究人员发现安全建议的作者需要帮助。
“我们需要能够支持这些作者的研究、指南和实践社区,因为他们在将计算机安全发现转化为实际应用的实用建议方面发挥着关键作用,”Reaves说。
“我还想强调,当发生计算机安全事件时,我们不应该因为员工没有遵守我们期望他们遵守的上千条安全规则中的一条而责怪他们。我们需要更好地制定易于理解和实施的指导方针。”
参考:“谁想出这些东西的?”采访作者以了解他们如何产生安全建议”,作者:Lorenzo Neil, Harshini Sri Ramulu, Yasemin Acar和Bradley Reaves, 2023年8月6日,USENIX可用隐私和安全研讨会。
