讓企業(yè)安全項目最終失敗的9種誤區(qū)
在決策過程中,我們并不總是像自己想象的那么明智。這一點在日常生活中體現(xiàn)得非常明顯,從午餐吃什么之類微不足道的小事,到買什么類型的車,選什么地方定居之類的人生大事,誰能保證每一個決定都是理性而明智的呢?
有些認(rèn)知偏差,或者偏離理性的判斷,會影響我們決策的方方面面。如果認(rèn)為此類不理性思維不會導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險視角扭曲,或者不會在企業(yè)系統(tǒng)防護上做出失策判斷,那就真是太蠢了。以下便是安全人員應(yīng)該特別注意的9種認(rèn)知誤區(qū):
1. 可得性啟發(fā)法
大腦中容易走的通路,我們自己容易想到的事情也會認(rèn)為它在世界也上容易發(fā)生,自己的經(jīng)歷被我們投射到了世界。這是我們過于依賴最先出現(xiàn)在腦海的東西而產(chǎn)生的偏見。容易陷入可得性啟發(fā)的人,會將注意力放在最近的事件上,無論最近的事件是蠕蟲攻擊(比如00年代早期發(fā)生的那些)、勒索軟件(現(xiàn)在流行的)、僵尸網(wǎng)絡(luò)、拒絕服務(wù)攻擊,還是什么最近的趨勢。這是趕場救火的好方式,卻是打造可持續(xù)風(fēng)險管理項目的最爛方式。
2. 確認(rèn)偏差
這種偏差發(fā)生在我們尋找和解釋新信息以證實當(dāng)前觀點的時候,忽視了與觀點相悖的數(shù)據(jù)或意見。信息安全領(lǐng)域中,這種現(xiàn)象多見于高管們認(rèn)為技術(shù)可以提供大部分防御,只看到設(shè)備的成功之處,忽視其中缺陷,導(dǎo)致夸大真實有效性的時候。
3. 信息偏差
若有信息偏倚,安全人員就會發(fā)生評估失誤或信息錯誤。在著手威脅研究、公司評估,或新安全控制有效性測評的時候,常會出現(xiàn)此種現(xiàn)象。或許有高管認(rèn)為信息越多越好,卻不知道哪些信息更具價值,也不知道不完全的信息也可能得出強力決策。這也被稱為觀察偏倚 。
4. 鴕鳥效應(yīng)
日常生活中很常見的一種現(xiàn)象。比如,不能面對談及自身財務(wù)狀況的痛苦,不愿聽到自家熊孩子的斑斑劣跡。網(wǎng)絡(luò)安全界也沒什么不同,軟件廠商不想知道被安全研究人員發(fā)現(xiàn)的漏洞,企業(yè)高管不想處理漏洞掃描的結(jié)果。
5. 創(chuàng)新支持傾向
這是一種只要是新技術(shù)就要推廣使用的誤區(qū)。技術(shù)領(lǐng)域一直是這樣,一種新解決方案或新技術(shù)在市場上冒頭,交易展會和媒體瘋狂報道推介,然后這個概念就炒熱了。在安全領(lǐng)域,大數(shù)據(jù)、威脅情報、云安全之類的技術(shù),或者隨便什么當(dāng)前趨勢,就把創(chuàng)新支持偏見體現(xiàn)得非常明顯了。要注意的是,那些推介最新創(chuàng)新的人,或許自己也是被創(chuàng)新支持偏見蒙蔽而沒看到其中局限性的人。
6. 幸存者偏差
幸存者偏差是一種選擇偏差。生活中的某些方面可見,比如,只看到別人的成功,不看別人之前的失敗,覺得別人成功創(chuàng)業(yè),自己也能輕松成功。這種思維方式,會影響到風(fēng)險管理決策。比如,看著別家公司沒遭受公開的毀滅性的數(shù)據(jù)泄露,就自動以為自家公司遭數(shù)據(jù)泄露的幾率也非常小。
7. 零風(fēng)險偏好
社會上的零風(fēng)險偏好那真是看得多了,尤其是在看待恐怖主義、犯罪和司法,以及公共安全問題上。困難與挑戰(zhàn)往往是在徹底清除犯罪和風(fēng)險的框架下討論的。這明顯很荒謬。犯罪和風(fēng)險可被管理或最小化,但不可能徹底清除。網(wǎng)絡(luò)安全上也是如此。但是,聽聽人們怎么談?wù)撔畔踩摹8静皇窃诳山邮艿娘L(fēng)險減小的框架下,而是要絕對的減少風(fēng)險。
8. 跟風(fēng)隨大流
廠商和安全高管間常見隨大流效應(yīng)。某年的主要安全會議上,大家談?wù)摰娜际谴髷?shù)據(jù),之前一年是管理、風(fēng)險和合規(guī)的儀表板。咱們還是不要跟風(fēng)炒作,把注意力集中在公司具體的需求上吧。
9. 自動化偏見
我們已經(jīng)被計算機產(chǎn)生的儀表盤和控制臺淹沒了。目前的趨勢就是要信任這些系統(tǒng)上顯示的信息,而自動化偏見,正是這一信任此類系統(tǒng)的趨勢。我們很容易就忽視掉其他可能性,而專寵機器顯示的東西。維基百科的自動化偏見條目解釋為:“該偏見以排拒與納入上的失誤呈現(xiàn):排拒上的自動化偏見,發(fā)生在人們依賴自動化系統(tǒng),但系統(tǒng)根本暴露不出問題時;納入上的自動化偏見,則發(fā)生在人們基于自動化系統(tǒng)傳遞的錯誤建議做決策的時候。
