每个愚蠢的用户背后都有一个更愚蠢的安全专家

每个愚蠢的用户背后都有一个更愚蠢的安全专家

像大多数IT人员一样,我喜欢阅读“愚蠢用户”的故事。只要你不必和他们打交道,他们一般都是友好和娱乐的。当我看到一篇文章,一个Reddit字符串要求IT人员提交“非IT人员”要求他们提交的最愚蠢的东西时,我不得不点击。我很快变得非常失望,但和它的人。

虽然所谓的“愚蠢”的事情不一定与安全意识有关,但它们很可能是相关的,这更令人担忧。当一个用户说,“电脑忘了我的密码”,这是一个“白痴”引语,IT人员可能认为用户应该知道自己的密码,他们应该知道。然而,我认为这意味着用户使用保存密码功能,理论上任何人都可以走到他们的计算机并以他们的身份登录到关键系统。虽然系统可能只在有限的时间内保存密码,但知识渊博的IT人员应该询问用户忘记密码是什么意思,并建议用户永远不要保存密码。

[同样在CSO上:你创造了愚蠢的用户吗?]

基本上,当我读到IT人员的抱怨时,他们似乎不明白他们使用的是普通终端用户不常见的行话和术语。你不能假设一个普通人知道他们的操作系统和网络浏览器之间的区别,坦率地说,普通用户可能并不在乎。我不知道有多少这样的“聪明”的IT人还记得微软试图将internetexplorer作为Windows操作系统的接口而受到批评的时候。Safari与MacOS一起交付,本质上是MacOS的一部分。

对用户的一个突出批评是,一位终端用户在购买了无线鼠标后没有在PC上安装加密狗。首先,假设任何终端用户都知道dongle这个词的真正含义,这是一个飞跃。而且,除非用户阅读了说明,考虑到大多数系统的易用性,以及蓝牙设备的普及,许多用户自然会认为你打开了它,它就正常工作了。

也有很多用户认为显示器就是电脑而抱怨。有些用户打开显示器,却没有意识到他们必须打开电脑。很可能会有一个天真的é 对它来说,所有的个人电脑都是一体的,多年来有不同的硬件配置,显示器和电脑只有一个“开”的开关;通常在键盘上。事实上,IT人员并没有意识到这种差异的潜在性,这说明IT人员和最终用户的关系一样重要。

他们把终端用户描述为白痴,因为他们认为终端用户没有任何常识。然而,没有常识就没有常识。用户不具备IT人员在IT相关主题方面应有的知识深度。用户不知道我们经常使用的行话。知道如何安装设备不是第二天性。

然而,重要的是,一个有能力的IT人员,特别是一个提供最终用户支持的人员,需要知道并理解最终用户并不像他们那样拥有相同的公共知识。但最重要的是,IT人员,尤其是那些对评论的“白痴”性质发表评论的人,需要接受这一点,这是他们的工作,以了解终端用户,他们对计算机有着千差万别的体验。坦率地说,如果他们不能接受让任何用户都能理解最困难的技术是他们的工作,那么他们就不应该扮演支持角色。

[更愚蠢的是:最终用户所做的让安全团队疯狂的事情]

如果一个IT人员去看医生,医生用行话而不是常用的词语和术语来解释疾病,他们就会明白许多最终用户都经历了什么。有一个原因,为什么这个术语,心脏病发作,是用来代替心室动脉阻塞,或任何它会被称为。提供病情的细节对医学专业人员有一定的价值,但对需要了解病情严重性的患者来说,这毫无意义。

我想说的是,这并不能原谅那些对环境或他们所做的事撒谎的最终用户。一个用户如果不告诉IT人员他们在下载色情内容的时候出了问题,就会妨碍IT人员诊断和纠正问题的能力。同样地,如果他们声称已经重新启动了系统,而他们没有,这将浪费所有各方的时间。

安全意识也是如此。意识实践者需要接受一个事实,即并非所有用户都拥有与他们相同的知识。他们必须期望最终用户对潜在的问题一无所知。他们不能假设每个人都知道如何安装最新的服务包,甚至不能假设最终用户知道什么是服务包。

有一大堆的故事传出来 Bromium在RSA会议上进行的一项调查,强调了一个结果,即安全专业人员对最常用的术语“愚蠢的用户”最为失望。

在很大程度上,安全意识就是要给用户提供常识,让他们能够运用常识。当用户犯了与安全相关的错误时,通常是因为安全专业人员认为用户知道他们不知道的事情。虽然也有例外,但如果出现故障,安保团队没有提供适当的培训,如果他们提供培训的话。

例如,当我被叫去调查一次成功的网络钓鱼攻击时,我问用户为什么他们没有检查电子邮件中的链接以验证其合法性,因为这显然是不合法的。他们回答说,他们使用移动设备查看电子邮件,没有人告诉他们如何验证iPhone上的链接。这显然是提高认识计划的失败。

对于安全专业人士来说,我们往往知道一些事情,因为我们在整个职业生涯中都接触过正确的安全行为。但是,用户没有相同的生活体验,如果没有适当的意识程序,假设用户知道得更好,就意味着你个人不知道。

所以,如果你和Bromium的调查参与者一样,认为服用阿司匹林是你最头疼的事,那就吃点阿司匹林,照镜子。

Ira Winkler,CISSP是Secure Mentem的总裁,可以通过http://www.securementem.com