作者賈斯汀謝爾曼,分析科學實驗室(受美國國防部和國家安全局支持)網絡政策研究員,正在杜克大學攻讀計算機科學和政治科學,專注於網絡安全,戰爭和治理。
戰略橋(2018.7.18)
https://www.realcleardefense.com/articles/2018/07/18/social_engineering_as_a_threat_to_societies_the_cambridge_analytica_case_113620.html
社會工程主要指對人類進行心理干預,使人們以某種方式行事或洩露機密信息,這是一種利用我們的認知偏見和基本直覺的技術,用於信息收集,欺詐或系統訪問,有時被稱為“人類黑客”。
社會工程是全世界的黑客最受歡迎的工具,歷史上它曾以面對面的形式,或通過電話、印刷書寫來實現,但現在它可以通過社交媒體和其他互聯網平臺在社會大規模實踐。平臺設計者可能並不打算將用戶的數據用於經濟剝削和政治操縱,但最近有關劍橋分析使用Facebook數據的披露,揭示了這種全球威脅的徵兆。
安全背景
員工行為對組織網絡安全產生嚴重影響,這意味著社會工程也可以做到這一點。我們在網絡安全方面教育員工的方式,從根本上影響著網絡安全本身。利用文化概念可以幫助組織的不同部門努力實現有效的信息安全,就像設計人類認知偏見的教育一樣。這些原則屬於信息安全文化的範疇,定義為有助於保護組織信息的整體行為模式。
安全文化的一部分需要對社會工程的認識。瞭解黑客試圖積極操縱我們的行為對於日常風險管理和網絡“本能”的發展至關重要。當員工不認為自己是這項工作的一部分時,正如Andersson和Reimers所闡述的那樣,他們會以忽視安全。
認知利用
社會工程的技術原理基於人類決策中被稱為“認知偏差”的特性。這些偏差有時被稱為“人類硬件中的缺陷”。儘管它們在進化意義上是有利的(可以更快速的處理信息),但它們也使我們對社交工程處於不設防的狀態。
以代表性偏向(representativeness)為例:我們傾向於把長的相似的東西歸為一類。每次我們看到一輛車,我們都不需要記住具體的顏色或品牌,大腦看著這個物體,看到它的四個輪子,運動和一般的形狀,然後說“汽車”。這是社交工程師在網絡領域可以利用的一種偏見。例如我們可能會收到很多來自蘋果或亞馬遜的電子郵件,但我們不一定會對一個帶有相同標誌的假郵件看得太仔細;我們的大腦只會說“亞馬遜電子郵件”,然後點擊鏈接輸入我們信用卡號碼的。
如上所述的攻擊用於竊取員工的機密信息,但它們不是認知利用的唯一機制。例如一些社會工程師可能會打電話給公司,並通過電話使用操縱。事實證明這也非常有效; 沒有得到適當訓練來對抗這種攻擊的人將不會意識到發生了什麼。
影響原則
社會工程在很大程度上依賴於羅伯特·B·西奧迪尼(Robert Cialdini)勸說心理學中確立的六種影響原則:
1.互惠:人們傾向於回報,因此市場營銷中的免費樣本普遍存在。
2.信守承諾:如果人們致力於一個想法或目標(口頭或書面),他們更有可能兌現承諾,因為它現在與他們的自我形象一致。即使最初的激勵或動機已經被刪除,人們仍將繼續遵守協議。
3.社會證明:人們會做他們看到別人做的事情。
4.權威:人們傾向於服從權威人物,即使他們被要求做出令人反感的行為。
5.喜歡:人們很容易被別喜歡的人說服。
6.稀缺:感知到的稀缺性將產生需求。例如零售商說“限時優惠”。
其他社會工程和操縱的其他技術包括啟發、微信息和間接信息收集;框架,將信息強加於特定的語境;裝腔作勢,編造故事和問問題的藉口(也稱為情感定位);通過看似隨機的互動來獲取信息。煤氣燈是社會工程師特別感興趣的另一種技術:這種技術包括誤導、持續否認和欺騙,以迷惑目標並破壞他們的現實感。(注:煤氣燈被很多人視為心理虐待)
劍橋分析
自美國最近一次總統大選以來,許多新聞機構都討論了社會工程被用作影響力運動的一部分的可能性,以及它如何在2016年大選期間影響選民。
有關劍橋分析公司及其使用FACEBOOK用戶數據的爆料,不僅引發了有關數據隱私和在線同意的重要問題;他們還展示了企業可以輕鬆地設計和執行針對整個社會的社交工程活動。
我們已經生活在一個無處不在的微廣告世界裡。有些公司不只是宣傳他們的產品,而是將其用於情節本身。社交媒體公司從許多不同的網站購買我們的信息,為我們想要的產品(無論我們自己是否知道)提供定製廣告。許多在線零售公司甚至根據我們的身份調整價格,這在很大程度上已經觸及法律問題,即價格歧視。
這都歸結為掌握你的目標和障礙,並以最佳的路徑和方式實現誘導你實現目標,對於任何類型的影響力活動都是如此:這就是為什麼劍橋分析證明了網絡安全意義上的社會工程不僅僅是對客戶信息,商業運營或軍事機密的威脅。
社會工程是對政治穩定和自由獨立話語的威脅。目前在社交媒體平臺上使用的微廣告技術存在太多道德問題,而政治操縱和虛假信息的傳播大大放大了現有的道德問題。全球威脅
社會工程是否有可能像2011年的阿拉伯之春一樣推動局部戰爭或起義?外國對手是否可以欺騙一個民族國家的公民投票反對他們的國家利益?如果領導者想要操縱自己的公民,這也是可能的嗎?所有這些問題的答案都是肯定的。通過普遍存在的數字平臺進行社會工程是一個嚴重威脅。
民主的核心是權力來自人民,為了人民。公民可以說出自己的想法,並進行開放和自由的對話,對政府官員、企業和公民的問責制也是同樣重要的原則。然而通過大量的數據收集而沒有問責,這將使得民主原則處於危險之中。
你想讓候選人A當選嗎?找出哪些最容易受到政治信仰A影響的人群,然後以錯誤和虛假信息為目標,將他們推向假定方向。利用“確認偏見”並利用“認知失調”來鼓勵政治極端主義,然後利用“框架”和“喜歡”的原則來加強志同道合的群體中的這些想法。
這就是劍橋分析公司和俄羅斯在2016年美國總統大選中的干預行動,利用諸如確認偏見之類的認知缺陷被用來鼓勵某些投票行為。
當然,並非所有的虛假信息或政治操縱都是別人的錯。並非所有的社交媒體偏見都是平臺的錯。正如Kartan Hosanagar在2016年的《連線》雜誌上所指出的,Facebook的迴音室是我們現有偏見的症狀。Hosanagar解釋說:“我們刻意選擇那些能將我們推向迴音室的行為。”“首先,我們只與志同道合的人交往,創造出孤立的世界。”其次,即使新聞提要算法顯示橫切內容(cross-cutting content),我們也不會單擊它。事實上Facebook是在遵循對內容的需求,它重視自我驗證、驗證和建立信任網絡。可以說,他們只是在做客戶想做的事情。
因此儘管在數據收集和廣告實踐方面肯定存在道德問題需要解決。但社會工程對社會的威脅不是來自Facebook或Google本身的組織,劍橋Analytica醜聞和美國對俄羅斯互聯網研究機構的起訴證明,真正的威脅是惡意行為者如何利用這些平臺。
對於在互聯網上和通過互聯網發生的所有傷害,
該平臺還幫助政治運動,為其他受壓迫的聲音提供平臺,並授權對腐敗政權進行檢查。但是大規模社會工程破壞了所有這些積極影響。它利用人類的信任,將錯誤和虛假的信息注入合法的公共話語,歪曲對現實的看法,可以將社會推向邊緣。真理比以往任何時候都受到質疑。合法的媒體報道時間和資源被剝奪了,而是用於反駁顯而易見的虛假消息和聲明。政治兩極分化似乎在增長,這是兩極分化或極端媒體報道極端或兩者的結果。社交媒體上的新聞文章的共享和重新分享,以及以不負責任,秘密的方式植入微廣告,請願和政治信息,打破了對政治制度的信任機制,使政治失真成為可能。可能導致極端主義政黨的當選,如匈牙利和奧地利所發生的那樣,或者形成挑戰政治和經濟結構的公民投票結果(英國脫歐等)。我們可以想象許多其他尚未實現的扭曲結果。
在網絡安全意義上,社會工程對全球社會都具有直接影響,特別是私營機構已經通過大規模數據收集實現了這一點,對政治穩定的威脅是需要解決的。
期 待
抵制社會工程的關鍵是意識,這種意識方法有兩個方面:首先我們需要制定戰略和良好做法來對抗社會工程本身; 第二我們需要制定可持續的政策來減輕其影響。
在網絡安全環境中,緩解社交工程並不像緩解軟件和硬件威脅那麼容易。在軟件方面,我們可以購買入侵檢測系統,防火牆,防病毒程序和其他解決方案來維護周邊安全性。強大的網絡安全產品和技術隨時待命,但攻擊者肯定會從某個方面突破。
談到社會工程,我們不能只是將軟件程序附加到自己或員工身上以保持安全。正如Christopher Hadnagy在他的著作《社會工程,人類黑客藝術》一書中指出的那樣,抵制社會工程需要一種全面的,以人為本的方法:
● 學習識別社會工程攻擊:自我保護的基礎是要了解操縱的跡象,瞭解點擊惡意鏈接的後果。主動意識對於動態防禦也是必不可少的,因此除了培訓社會工程的手段之外,員工應該隨時瞭解最新的攻擊者及其青睞的技術。
● 創建個人安全意識計劃:大多數公司的安全意識處於“失敗”階段,主要是因為安全意識對員工而言是與個人無關的。培訓師通常只討論惡意電子郵件,而不是從受害者和攻擊者的計算機上顯示網絡釣魚攻擊的樣子。應該是讓員工不僅在需求背景下,而且在個人和專業相關的層面上考慮安全性。
● 瞭解社會工程師的信息價值觀:人類有內在的願望來幫助那些需要幫助的人,但這也是社會工程師操縱目標使其公開敏感信息的方式。因此應當使信息安全與具體場景相關聯。對於那些從事會計工作的人來說,可以教育他們保密和信用的重要性。對於那些從事商業運營的人,可以從風險和利潤的背景下強調數據的敏感性。通過提高信息價值觀,員工將更有動力保護信息。
● 保持軟件更新:通過互聯網信號,雲服務,軟件和硬件工具,物聯網設備和其他數字技術的交互,黑客在給定系統中有許多可能的攻擊路徑。在許多情況下,擁有防火牆,入侵檢測系統和電子郵件過濾是不夠的; 修補過時且易受攻擊的軟件至關重要。對於更強大的技術,也應該放棄安全性較低的技術。
● 制定預案:通過潛在的社會工程方案培訓和引導員工非常重要。最好通過模擬和遊戲化來完成這一訓練,並通過使用個人相關的框架來輔助之。
● 從社會工程審計中學習:聘請安全專業人員對漏洞進行“滲透測試”,可以幫助提高安全性並提供真正的攻擊感。
安全意識不是每年一次40,60或90分鐘的計劃
它是關於標準創建和持續使用的思維方式
上述觀點雖然側重於網絡安全文化,但可以在政治背景下轉移到社會工程。安全是整體的,文化的,而不是具體的場景。這應該與我們通過在線平臺打擊社會工程的方法相同。
我們需要將社會工程作為更廣泛的全球網絡教育的一部分。為了在社會範圍內打擊社會工程,我們必須首先教育現代通信平臺(例如社交媒體)的脆弱性; 他們可能被用於操縱的原因(例如定製廣告,劍橋分析等); 以及操縱的方式(例如假新聞)。
結 論
信息時代,確定什麼是真實的以及操縱我們的信念意味著什麼是很困難的。Facebook等在線平臺使惡意行為者能夠以相對較低的成本,大規模地對用戶進行社會工程。整個社會(而不僅僅是個人或群體)都可能是脆弱的。
網絡安全培訓通常會將批判性思維作為抵禦此類社會工程威脅的必要條件,但我們必須先了解問題,然後才能加強識別和緩解能力。這意味著我們必須認識到傳播信息的偏見,例如我們共同思想的泡沫,用克里斯托弗·哈德納吉來解釋 ; 我們所讀到的信息實際上可能並不真實。因此打破回聲室,脫離網絡,與其他社區互動也是必不可少的。我們可能在政治上確實對其他人有意見,但這不意味著惡意行為者可以肆意策動我們的信仰。
閱讀更多 信息與電子前沿 的文章
