心理安全:用行为科学挫败黑客

这封电子邮件包含了玩具制造商美泰(Mattel)新任首席执行长辛克莱(Christopher Sinclair)发出的一个看似正常的请求，要求向一家中国供应商付款。收到邮件的高管顺从地向一家中国银行电汇了300多万美元。但当她后来向辛克莱提起这笔钱时，他震惊了。他没有提出要求。

美泰是一种被称为“假CEO骗局”的网络威胁的受害者。根据美国联邦调查局(fbi)的数据，这种电子欺诈在过去3年里给企业造成了数十亿美元的损失。

从病毒到勒索软件和密码网络钓鱼诈骗，网络欺诈和其他数字安全威胁是全球关注的主要问题。仅在9月份，一些商界巨头——雅虎!如Equifax、维珍美国(Virgin America)、德勤(Deloitte)等公司披露了影响数亿消费者的重大数据泄露和黑客攻击。现在，世界各地的政府和组织不仅求助于计算机科学家，还求助于心理科学家来保护他们的数据安全。

人类行为和技术一样，都是网络安全的关键。黑客和骗子的目标是计算机系统，但他们中的许多人也攻击我们的偏见和认知漏洞。

网络盗梦空间:欺骗欺骗者

2006年是网络安全攻击的一个重要转折点;间谍入侵了军事承包商洛克希德·马丁公司的电脑，偷走了数百万份与五角大楼F-35联合攻击机有关的专有文件。这种类型的攻击被称为高级持续性威胁(APT)，在过去几年里急剧增加，成为许多最引人注目的网络攻击的特征。

APT并没有一个确切的定义，但这些漏洞的共同点是一系列不同的策略，旨在不断地针对特定的受害者——公司、组织甚至政府。这些攻击的一个特点是，它们利用了我们的认知弱点:与其他形式的网络攻击不同，这些攻击往往依赖于简单的欺骗行为和社会操纵，而不是尖端技术。

大多数APT攻击是在单个人无意中打开“受污染”的链接或文件时释放的，该链接或文件提供了定制的恶意软件，以感染整个计算机网络。一旦组织的网络遭到破坏，攻击者就可以尝试访问存储在网络上的文件和数据。通常，APT攻击是隐蔽的——攻击者使用保持低数字姿态的方法来避免被发现，恶意代码可能会在系统中隐藏数月甚至数年，为攻击者提供稳定的信息流。组织通常甚至没有意识到攻击，直到为时已晚。

行为科学家Cleotilde (Coty) González和Nancy Cooke参与了一项新的重大研究，旨在研究欺骗心理学，以对抗APT攻击。他们是一个综合团队的成员，该团队最近获得了美国国防部620万美元的多学科大学研究计划拨款。该团队将利用行为科学、计算机系统工程和博弈论方面的研究，作为创新努力的一部分，开发针对APT攻击的主动防御策略。

研究人员半岛体育官方网址入口的最终目标是通过学习如何“欺骗欺骗者”来挫败网络攻击。

González是卡内基梅隆大学决策科学教授和动态决策实验室的创始主任，在那里她使用认知计算模型进行研究，以支持动态环境中的决策。库克是亚利桑那州立大学Ira a . Fulton工程学院人类系统工程项目的认知心理学家，研究复杂环境下的团队合作和人类表现。她的实验室将收集和评估参与高级网络攻击模拟的参与者团队的数据。

“高级持续性威胁源自人类，”库克解释道。“因此，只有通过了解人和人为因素，才能理解和减轻这些威胁。”

González和她的团队将基于基于实例的学习理论开发攻击者的认知模型，该理论借鉴了记忆研究、决策科学和机器学习。当一个人评估他们必须做出决定的情况时，他们会检索过去事件和经历的记忆，并将其与当前情况进行比较。这个过程有一些记忆偏差，防御机制可以利用这些偏差来欺骗攻击者。

在网络攻击的例子中，对过去威胁的经验和记忆决定了安全分析师对模糊的早期危险迹象的反应力度。在APT活动中，攻击者是持久的，可能会随着时间的推移学习和适应防御。González, Cooke和他的同事们将专注于开发他们自己的欺骗策略，这些策略同样具有适应性和多样性。他们称这种方法为“网络盗梦”。

“这种新的网络安全方法将利用欺骗心理，诱使攻击者相信他们已经成功地破坏了一个系统，同时保证了我们的系统安全，”González说。

最终，来自行为实验和认知模型的数据将用于微调能够检测APT攻击的复杂算法。

Com计算机科学家拥抱社会心理学

Jason I. Hong是一名计算机科学家。他帮助创立了一家名为袋熊安全技术的初创网络安全公司，他在卡内基梅隆大学的计算机人机交互:移动隐私安全实验室研究可用的隐私和安全。然而，他最近一直在主持一系列引人入胜的大规模社会心理学实验。

洪解释说:“对我来说，‘灵光一现’的时刻发生在我创业的某一天。“两个女人在谈论最近发生的一件事。其中一个说:“你听说老谋子出了什么事吗?”他在冰上滑倒了(笔记本电脑掉在地上)，现在无法访问上面的文件。’其他女性说，‘我现在要备份我的数据。“她就这么做了!”

“我立刻意识到，这是网络安全方面社会影响和行为改变的一个积极例子。多年来，我一直听行为科学领域的同事谈论社会认同、承诺和互惠等概念，基于这一事件，我们也可以使用这些技术来解决网络安全中的难题，这一切都在我的脑海中清晰起来。”

洪在卡内基梅隆大学人机交互研究所担任副教授时，对社会心理学产生了兴趣。

“心理学家、设计师和计算机科学家都坐在一起，”洪说。“所以在过去的几年里，我慢慢地吸收了其他学科使用的许多理论和方法。”

在美国国家科学基金会(NSF)最近的资助下，洪和劳拉·达比什是一个项目的主要研究者，该项目旨在探索利用社会影响力来鼓励更安全的网络安全行为。

洪和同事们与社交媒体巨头Facebook合作，进行了一项大规模实验，其灵感来自美国科学学会研究员罗伯特·恰尔迪尼的社会认同研究。

在他2006年的书中的影响:说服心理学， Cialdini解释了社会影响如何在我们如何做出决定中发挥至关重要的作用。当我们不确定该怎么做时——比如，采用安全功能还是使用更强的密码——我们会向周围的人寻求恰尔迪尼所说的“社会证明”。说服人们采用更安全的网络安全做法的最大挑战之一是，人们根本没有太多机会观察彼此的行为。

“我们在Facebook上的实验基于两个观点，”Hong说。“首先，网络安全的可观察性很低。我不知道你的密码有多好，或者你有什么安全设置，反之亦然。由于缺乏可观察性，好的实践很难在社交网络中传播。

“第二，我们可以利用社会认同来积极影响人们的意识、知识和安全动机。Facebook已经掌握了谁在使用各种安全功能的数据。”

Facebook的网站完整性团队希望鼓励用户利用该平台的更多安全功能，如激活登录通知、登录批准和可信联系人。

由Hong的学生Sauvik Das领导的一个团队想要看看增加网络安全社会规范的可观察性是否能说服更多的用户采用这些安全功能。研究小组向5万名活跃的Facebook用户展示了8个可能促使他们采用这些安全功能的安全公告中的一个。

这七条社交证明信息告知用户，他们的Facebook好友已经在使用这些安全功能。这些信息在具体内容和措辞上各不相同——从显示朋友的确切数量到只是说“一些”朋友。控制组收到的信息没有任何社会证明框架(即，“你可以使用安全设置来保护你的账户，并确保如果你失去访问权限，它可以恢复”)。

研究人员写道:“我们发现，虽然我们所有基于社会认同的干预措施都是有效的，但简单地向人们展示他们使用安全功能的朋友的具体数量，而不带任何主观框架，这是最有效的——与非社会宣传相比，这促使37%的观众去探索推广的安全功能。”半岛体育官方网址入口

在接下来的5个月里，与对照组相比，这两种情况下对安全特性的看法都更多。

有趣的是，让人们点击推广功能并不一定意味着人们已经准备好采用它们:那些观看社交提示与非社交公告的人的实际采用率没有差异。

一项后续调查证实，社交广告提高了观众对可用安全功能的认识。然而，研究小组指出，在控制条件下，点击查看更多信息的人可能有更高的内在动机来使用安全功能。

人格特质与风险

我们都很容易受到网络安全攻击，但研究表明，一小部分人似乎特别容易受到威胁。爱荷华州立大学(Iowa State University)人类发展和家庭研究教授卡尔·威姆斯(Carl Weems)是一个综合团队的成员，该团队正在调查某些性格特征是否会使个人更容易出现粗心的网络行为。

威姆斯的主要研究领域是情感发展和创伤性应激，但他一直对将基础心理科学转化为回答重要应用问题感兴趣。最近，威姆斯与新奥尔良大学计算机科学教授伊尔凡·艾哈迈德(Irfan Ahmed)和戈尔登·理查德三世(Golden Richard III)一起获得了美国国家科学基金会(NSF)的资助，研究网络安全中的人格因素。

“这个项目的目标是利用心理科学的方法来建立一个平台和技术来预测安全与不安全的网络行为，”威姆斯说。

威姆斯及其同事从210名社会经济和种族不同的成年人样本中收集了一套初步的心理测量数据。参与者报告了他们执行从网络安全建议池中抽取的20项安全相关任务的频率。

研究人员半岛体育官方网址入口发现，大多数参与者似乎都高度参与了增强安全的行为，而只有少数人报告说，他们严重参与了危害安全的各种行为。

参与者还完成了一系列性格测试。正如所料，高度尽责的人不太可能做出不安全的行为。然而，与他们的假设相反，研究人员发现高神经质得分和安全行为之间没有联系。半岛体育官方网址入口在攻击性、抑郁和特质焦虑方面得分较高的参与者在不安全行为量表上的得分也明显较高。

威姆斯及其同事一直在开发一种高度可定制的研究工具，其他研究人员可以使用它来研究人格特征与网络安全行为之间的关系。半岛体育官方网址入口调查计算机体验软件包是一个基于脚本的产品，它提供了一个易于修改的平台来分析安全行为和个性。它旨在捕获大量用户的个性特征和网络行为的详细数据，并创建数据集，用于研究不同性格类型的网络行为的变化。

首先，威姆斯和他的同事一直在研究高风险网络行为与特质焦虑和冷酷无情特质之间的联系。研究人员半岛体育官方网址入口正在使用一种标准的认知评估方法——情绪点探测任务(参见侧栏)——用来评估性格特征。

在完成人格特质评估后，参与者参与到一个现实的场景中，假设一个会计事务所的新员工的角色。当他们完成阅读电子邮件、查看股票和解决会计数学题等日常工作时，他们同时也会做出有关网络安全的现实决定:网络钓鱼邮件、软件更新请求和防病毒扫描。

这种多任务处理环境允许研究人员收集人们在面临网络安全决策时实际做什么的细粒半岛体育官方网址入口度数据。

Weems和他的同事们故意让修改内容和管理场景中不同事件的流程变得容易，从而允许其他研究人员高度定制他们自己的实验。半岛体育官方网址入口

威姆斯说:“要实现网络安全心理学研究的好处，重要的第一步是通过经验建立衡量安全和不安全行为的因变量的能力，这样就可以进行典型的预测认知和行为实验。”

参考文献

恰尔迪尼，r.b.(2006)。影响:说服心理学。纽约:哈珀柯林斯出版社。

Cooke, n.j.， Champion, M.， Rajivan, P.， & Jariwala, S.(2014)。网络态势感知和团队合作。计算机科学、社会信息和电信工程研究所(ICST)安全与安全学报。专题:网络防御的认知科学。doi: 10.4108 / trans.sesa.01-06.2013.e5

Das, S.， Kramer, A. D.， Dabbish, L. A.和Hong, J. I.(2014)。通过社会证明提高安全敏感度:A
大规模实验证实。在2014年ACM SIGSAC计算机与通信安全会议论文集(页739 - 749)。ACM。doi: 10.1145/2660267.2660271

Dutt, V.， Ahn, Y. S.， and Gonzalez, C.(2013)。网络态势感知:基于实例学习理论的网络攻击建模检测。人为因素，55, 605 - 618。doi: 10.1177 / 0018720812464045

没有作者。(2016年3月29日)美泰与中国网络窃贼:这不是游戏。美联社。检索自www.cbsnews.com/news/mattel-vs-chinese-cyberthieves-its-no-game

Russell, J. D, Weems, C. F, Ahmed, I, and Richard III, G. G. (Advance online publication)。自我报告的安全和不安全网络行为:因素结构及其与人格因素的关联。网络安全技术杂志, 1 - 12。doi: 10.1080 / 23742917.2017.1345271

Tamrakar, A.， Russell, J. D.， Ahmed, I.， Richard III, g.g.， & Weems, c.f.(2016年3月)。SPICE:一种软件工具，用于弥合终端用户不安全的网络行为和个性特征之间的差距。在第六届ACM数据与应用安全与隐私会议论文集(页124 - 126)。ACM。doi: 10.1145/2857705.2857744