化繁為簡，透過迷霧看“網路安全”本質

近日，卡巴斯基釋出2019年垃圾郵件和釣魚郵件分析報告，其中垃圾郵件佔郵件總量56.51％，比2018年高4.03%，，有17％的使用者經歷過網路釣魚，且垃圾郵件最大來源是中國佔21.26％。網路安全事態比你認為的要嚴重，每天發生的網路攻擊在層出不窮上演，以釣魚郵件、電話詐騙等為代表的網路攻擊對社會造成的影響絕不僅僅是資訊洩露，也包括極大的經濟損失，涉及層面從個人、企事業單位，甚至上升到國家層面。因此迫切找尋網路攻擊發生的主因、遏制其帶來的不良影響刻不容緩。

談到這裡，作者發現仍有不少人認為技術缺陷是造成網路安全事件的主因，技術更新迭代跟不上駭客的攻擊速度，導致企業網路被駭客攻破才造成重要資訊洩露。根據Gartner發表的一份報導顯示，90%的網路安全事件發生的主要因素是“人”，人的安全意識薄弱才是誘發原因。 在網路安全的防線上，人的漏洞是最難修補的，搞定操作計算機系統的人，和技術上搞定計算機系統是一樣的效果。

我們都知道，人進入資訊社會才只有短短的五十年時間，但人大腦處理問題的方式可能還停留在1萬年前的石器時代，大腦機制的進化速度遠遠跟不上網際網路的發展速度，生存選擇積累下來的生理、思維誤區在面對高速發展的網路弊端盡顯，所以攻擊人遠比攻擊裝置要來的簡單。人腦就好比是一臺超級計算機，我們知道計算機軟體存在缺陷，就會導致計算機有安全漏洞，軟體就好比人腦的思維誤區和情緒等，而這些就是我們的“人腦漏洞”。 對於計算機漏洞，我們可以透過更新軟體修復補丁等行為方式來進行修復，但對於人腦漏洞呢？該怎麼修復？

談之修復人腦漏洞之前，我們先了解一下大腦作決定的方式，我們的大腦有快與慢兩種作決定的方式，在卡尼曼的《思考，快與慢》一書中，他把它們用系統1和系統2來區分，常用的無意識的“系統1”依賴情感、記憶和經驗迅速作出判斷，它見聞廣博，使我們能夠迅速對眼前的情況作出反應。而“系統2”透過調動注意力來分析和解決問題，並作出決定，它比較慢，不容易出錯，但它很懶惰，經常走捷徑，有時候直接採納系統1的直覺來判斷結果。簡單來說，當騙術被偽裝成我們所熟悉的某件事或者某個場景時，大腦中的系統1會根據“經驗“直接作出判斷，這時候大腦2不加思索，讓人作出錯誤決定。比如當你收到一封釣魚郵件，大腦1告訴你它就是一封普通郵件，不會對人造成什麼大影響，而大腦2也不會去分析其中暗藏的危機，致使很多人隨意點選這些釣魚郵件。

世界頭號駭客凱文·米特尼克（Kevin Mitnick）也說：最擅長發現的漏洞不是技術問題，而是人性的弱點。在他的暢銷書《欺騙的藝術：控制安全的人為因素》中，凱文·米特尼克表示人而不是技術是安全方面最薄弱環節這一觀點，書中還揭示了一個事實，即使沒有先進的駭客工具，利用社工也可能導致企業大規模違規和資料洩露。

人為因素是影響網路安全的主要因素，這在腦科學中也是可以得到合理的解釋。我們知道人的行為是由大腦發出的指令完成的，在大腦的重要區域裡，“前額葉”具有讓人理性思考、幫助人判斷、分析的功能，它在人們的思維和行為中起著非常突出的作用，同樣作為人腦重要區域之一的“杏仁核”則是處理情緒，尤其是恐懼方面具由突出作用。當杏仁核處理強烈的感覺與情緒時，理性思維跟不上杏仁核的處理進度，此時人的行為就憑感性做事。

修復“人腦漏洞”的關鍵就在於處理問題時，大腦杏仁核處理速度慢下來，便於大腦可以理性思考問題，簡單來說就是“多思考，別急於做決定！”人在遇事前能進行以下三個思考動作，實際上是能識別大多數騙術的：“Stop”、 “Think”、 “Connect”，即停下來、想一想，再決定下一步的動作，但問題在於普通人沒有經過教育並不會產生這樣的意識行為。

目前想要改變這種情況，主要透過意識教育改變員工認知，進而改變員工不正確的行為。而開展意識教育的關鍵在於效果，對企業來說，盲目開展相關工作既浪費時間又沒有效果。對企業來說也不是沒有辦法，術業有專攻，與其浪費時間籌劃沒經驗不在行的事，倒不如請專業機構幫忙開展。並且這種投入所獲得的回報是長久的，因為透過意識教育讓員工改變錯誤行為是持續的，這也是建立良好的企業安全文化的基礎。