هل يمكننا حقًا القضاء على الخطأ البشري في الأمن السيبراني؟

منذ فترة طويلة تم بيع الأمن السيبراني كقلعة. نسمع عبارات مثل “تشفير الدرجة العسكرية” و “البنية التحتية الحديدية”. ومع ذلك ، تتكرر نفس القصة: ينقر شخص ما على رابط ضار ، أو يترك منفذًا مفتوحًا ، أو يعيد استخدام كلمة مرور قديمة.

نادراً ما يهزم المهاجم الأكثر تطوراً النظام الأكثر تطوراً. إنهم يهزمون أقل شخص متصل بالاتصال به.

وبعبارة أخرى ، فإن العيب ليس فقط في الكود ، بل هو في السلوك. لا تشمل الانتهاكات عادةً التكنولوجيا التي يتفوق عليها القراصنة العبقرية. يستغلون الثقة والروتين والخطأ البشري. إلى أن نتصميم أنظمة مع قابلية الخاطئ كخط الأساس ، سنستمر في الخسارة بنفس الطريقة.

يمكنك تصحيح الرمز ، ولكن لا يمكنك تصحيح الطبيعة البشرية.

الناس هم سطح الهجوم الحقيقي

يمكنك تشفير كل شيء ، وعزل الشبكات ، ومراجعة كل سطر من التعليمات البرمجية. لكن لا يمكنك منع شخص ما من النقر على بريد إلكتروني يبدو أنه جاء من رئيسه أو تجاهل موجه الأمن من العادة.

لقد قمنا ببناء البنى التحتية لإبقاء الغرباء في الخارج ، ولكن أسهل طريقة في الباب الأمامي مرتديًا وجهًا موثوقًا به.

التصيد ، حشوة الاعتماد ، والهندسة الاجتماعية تعمل لأنها تفترس على الغريزة: الفضول ، والذعر ، والإلحاح. حدث هجوم الرمز المميز في EA عندما طلب المتسللون ببساطة من الموظف الوصول. تضمنت تسرب بيانات Twitch أذونات خاطئ. لم يكن أي منها مآثر غريبة يوم الصفر. كانوا مآثر الثقة.

متعلق ب:محادثات CISO: كيف تتقارب عوالم الأمن

إنه رد الفعل. لا يمكن أن تتجاوز أدوات الأمان تلك اللحظة عندما يتولى رد فعل الأمعاء.

الحل الخاص بي: اجعل الإجراء الآمن أسهل. أنظمة التصميم التي تدعم ، وليس الإحباط ، المستخدمين. لا ينبغي أن تكون عمليات محاكاة التصيد حول اللوم. إنها وسيلة لدراسة السلوك وبناء افتراضات أفضل.

الأمن الذي يزعج الناس يتم تجاوزه. تصميم لسير العمل الحقيقي تحت ضغط حقيقي.

سوف ينقر الناس. السؤال هو: ماذا يحدث بعد ذلك؟

عندما تأتي المكالمة من داخل المنزل

تبدأ العديد من الانتهاكات بأخذ المطلعين على اختصارات مثل الأدوات غير المضمونة ، أو الإعدادات المتسارع ، أو مراجعات التعليمات البرمجية التي تم تخطيها بسبب المواعيد النهائية الضيقة. هذه الحوادث تنبع عادة من الضغط ، وليس التخريب.

في البيئات المعقدة مع الخدمات السحابية وواجهة برمجة تطبيقات الطرف الثالث ، تبني المخاطر بهدوء ولا يرى أحد الصورة الكاملة.

يركز مقاربي ، “الأمن المتعمد” ، على خلق ثقافة يشعر فيها الجميع بالمسؤولية. لا يحتاج المطورون إلى أن يكونوا خبراء أمان ، ولكن يجب أن يكون لديهم ملكية وأدوات مثل الافتراضات الآمنة والماسحات الضوئية المدمجة وطرق آمنة للإبلاغ عن المخاطر.

تحدث أسوأ الحالات عندما يلاحظ شخص ما مشكلة ولكنه يظل صامتًا. القواعد وحدها لا ترتدي الأخطاء. الناس يفعلون إذا كانت البيئة تشجع على التحدث.

متعلق ب:الدروس المستفادة من McDonald’s Big Ai Flub

سلاسل الخطأ: لماذا تحدث الأخطاء

لا يبدأ أي خرق بعمل كارثي واحد. إنها سلسلة من الإشراف العادي: تحديث ضائع وحساب لا معنى له وسوء التكوين. تحت التوتر ، تصطف هذه الدومينو حتى يتساقط حطام آخر كل شيء.

إنه ليس شيئًا واحدًا. إنها عشرة أشياء صغيرة تحدث في التسلسل الخاطئ.

أذكر أمثلة حقيقية:

الأشخاص الطيبون في ظروف سيئة سيتخذون خيارات سيئة. ليس من الإهمال ، ولكن الضرورة.

الدرس: السياسات القوية هي فقط جيدة مثل البيئة التي يعيشون فيها. بدلاً من معاقبة الخطأ ، أقوم بإنشاء أنظمة تتوقعها: الدرابزين للحد من التأثير والشيكات الآلية والمراجعات بعد الحالات التي تركز على التعلم بدلاً من اللوم.

كل خرق هو خطة درس. إذا تعاملت معها كحرج ، فلن تتعلم شيئًا.

هل يمكن أن ينقذنا الأتمتة؟

إذا كان الخطأ البشري أمرًا لا مفر منه ، فهل يمكن للأتمتة إصلاحه؟ إلى حد ما.

الآلات لا تتعب. إنهم لا يتخطون الخطوات لأنهم تأخروا في الاجتماع.

تتفوق الأتمتة في المهام المتكررة: مسح رمز ، وفرض التكوينات ، وحظر المكتبات القديمة. لكنه يعكس أيضًا افتراضات من بنى. إذا كانت هذه الافتراضات خاطئة ، فإن الأتمتة لا تكرر الأخطاء فحسب ، فهي تقويها.

متعلق ب:هل ستلتقي أي دولة بتحدي المرونة السيبرانية؟

الأتمتة السيئة أسوأ من لا شيء. يخلق وهم السلامة.

الهدف ليس استبدال الحكم البشري بل تضخيمه. يجب أن يزيل الأتمتة الضوضاء حتى يتمكن الناس من التركيز على الفوارق الدقيقة. لكن لا يزال يتعين على شخص ما أن يسأل: هل هذا منطقي؟

الأمن السيبراني هو مشكلة إنسانية. يجب أن تدعم الأدوات الأشخاص ، وليس على جانبيهم.

نهج المحاكاة

أفضل الفرق لا تنتظر المهاجمين لاختبار دفاعاتهم. يديرون هجماتهم الخاصة: Red Teaming ، ومحاكاة التصيد ، والتدريبات الفوضوية.

أنت لا تنتظر حريق للتحقق مما إذا كانت المخارج تعمل. أنت تدير الحفر.

تكشف هذه التمارين عن فجوات: تنبيه تم توجيهه إلى قناة Slack الخاطئة ، وهي سياسة تصعيد تتوقف على شخص في إجازة. النقطة ليست إحراج الناس. إنها بناء ذاكرة العضلات والبيانات حول كيفية استجابة المؤسسة تحت الضغط.

المحاكاة لن تقضي على الخطأ. لكنهم يضمنون أن تقابلها وفقًا لشروطك ، وليس المهاجم.

الحقيقة التي لا مفر منها

الخطأ البشري ليس هو الاستثناء ؛ إنها القاعدة. لا يمكنك القضاء عليها مع السياسات ، فقط تصميم لها. الهدف ليس الكمال ، ولكن المرونة. الانتعاش السريع يأتي من الهامش والإعداد والتعلم. كل العلم الأحمر المفقود هو درس. اللوم لن يتوقف عن الانتهاكات ، ولكن قد تكون السلامة النفسية.