利用心理学加强网络安全

Psychology enhances cybersecurity

.fav_bar { float:left; border:1px solid #a7b1b5; margin-top:10px; margin-bottom:20px; } .fav_bar span.fav_bar-label { text-align:center; padding:8px 0px 0px 0px; float:left; margin-left:-1px; border-right:1px dotted #a7b1b5; border-left:1px solid #a7b1b5; display:block; width:69px; height:24px; color:#6e7476; font-weight:bold; font-size:12px; text-transform:uppercase; font-family:Arial, Helvetica, sans-serif; } .fav_bar a, #plus-one { float:left; border-right:1px dotted #a7b1b5; display:block; width:36px; height:32px; text-indent:-9999px; } .fav_bar a.fav_print { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_print:hover { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.mobile-apps { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #FFF; background-size: 10px; } .fav_bar a.mobile-apps:hover { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #e6e9ea; background-size: 10px} .fav_bar a.fav_de { background: url(/images/icons/de.gif) no-repeat 0 0 #fff } .fav_bar a.fav_de:hover { background: url(/images/icons/de.gif) no-repeat 0 0 #e6e9ea } .fav_bar a.fav_acm_digital { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_acm_digital:hover { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_pdf { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_pdf:hover { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_more .at-icon-wrapper{ height: 33px !important ; width: 35px !important; padding: 0 !important; border-right: none !important; } .a2a_kit { line-height: 24px !important; width: unset !important; height: unset !important; padding: 0 !important; border-right: unset !important; border-left: unset !important; } .fav_bar .a2a_kit a .a2a_svg { margin-left: 7px; margin-top: 4px; padding: unset !important; }

Credit: Gorodenkoff

心理学研究人类行为,根据人们的行为推断他们的思维。网络心理学研究人们在互联网上的行为。

美国国防部情报高级研究项目活动(IARPA)的新的网络心理学研究项目“通过网络心理学为网络防御重新构想安全”(ReSCIND)(https://bit.ly/3V39fk8)专注于研究网络罪犯的行为和思维。

根据IARPA项目经理金伯利·弗格森-沃尔特(Kimberly Ferguson-Walter)表示,ReSCIND项目旨在研究网络罪犯的网络心理学,以确定他们思考方式中的弱点,以改善网络安全。

这项研究可能会导致利用这些弱点来影响攻击者行为,从而减缓或预防攻击的网络防御。ReSCIND项目将应用科学方法研究显示网络罪犯行为的人类对象。

政府和私营部门利用先进的欺骗技术来保护信息资产,从而与网络安全供应商合作。

根据弗格森-沃尔特的说法,传统的欺骗方法使用虚假机器和密码(称为诱饵和诱饵令牌)来引诱和分散网络罪犯的注意力,同时警示网络防御者。

如今的欺骗技术利用新兴技术的进展来保护复杂的现代信息技术(IT)和运营技术(OT)环境。

网络心理学家和网络安全专家对网络心理学在网络安全方面的提升抱有很高的期望。一些人对实际应用有短期期望。

然而,仍然存在挑战。

返回顶部

网络心理学如何增强网络安全

网络安全领域的大部分进展都涉及网络心理学,美国计算机科学家弗雷德·科恩(Fred Cohen)说,他是计算机病毒防御技术发明者,现任管理分析公司(Management Analytics)的首席执行官。

科恩说:“网络心理学领域比技术领域更丰富。我们在网络安全技术方面已经基本达到了瓶颈。”

科恩表示,他在2001年与欺骗技术相关的《红队实验》论文的实验研究,为网络心理学在网络安全方面的长期可行性奠定了基础。

IARPA ReSCIND项目可以将网络心理学应用到欺骗技术之外。

弗格森-沃尔特(Ferguson-Walter)说:“ReSCIND项目旨在通过开发一套新颖的以网络心理学为基础的防御措施,利用攻击者的人类局限性,如他们固有的决策偏见或认知弱点,来提高网络安全性。”

网络罪犯的认知偏见是他们思考方式上的弱点,导致他们在攻击过程中表现出特定的行为。防御者可以利用网络心理学来利用这些弱点,以自己的优势触发特定行为。

弗格森-沃尔特表示,IARPA ReSCIND项目希望开发能够根据研究中观察到的网络罪犯行为自动调整新的网络防御算法。

得克萨斯大学埃尔帕索分校计算机科学助理教授帕尔维·阿加瓦尔(Palvi Aggarwal)的研究提供了这类算法的一个例子。

在阿加瓦尔的研究中,发表在《计算机与安全》杂志上,攻击者在决策过程中具有风险规避的倾向。犯罪黑客通过选择攻击成功概率高但回报较低的目标来表现出他们的风险规避行为。对他们来说,避免攻击失败的外观要比从攻击中获得巨大回报更重要。

例如,如果ReSCIND项目能够将阿加瓦尔的研究结果应用于算法中,由此产生的网络防御可能会向犯罪黑客展示低风险、低回报的目标,从而将他们引开组织最需要保护的高价值资产。

阿加瓦尔已申请参加ReSCIND项目。

返回顶部

了解网络罪犯的思维方式

弗格森-沃尔特表示,ReSCIND项目需要进行新的以人类参与者为对象的研究,以探索具有技能的人类参与者在动态网络攻击任务中的行为。

ReSCIND项目必须研究参与犯罪黑客行为的受试者。

玛丽·艾肯(Mary Aiken)是马里兰州劳雷尔市Capitol Technology University的网络心理学教授,她申请参加ReSCIND项目,从人类受试者那里收集了一些关于网络犯罪行为的有趣数据。

艾肯说,她在担任一项泛欧洲研究项目的首席研究员期间,调查了来自9个欧盟国家的8,000名16到19岁青少年的网络犯罪行为。

艾肯称,在该研究中,将近一半的参与者(47.76%)报告称在过去12个月中从事过网络犯罪行为。

她还发现,有11.8%的调查青少年报告称他们使用了暗网论坛,更令人担忧的是,10.7%的调查青少年报告称使用了暗网市场。

暗网市场上托管了供网络犯罪分子使用的恶意工具和被盗数据,包括用户凭据(如用户名和密码)。

艾肯说:“我们研究的一个独特而重要的发现是关键冒险行为与网络犯罪行为之间存在着强烈的关联。”根据艾肯的说法,这些行为包括黑客攻击、网络欺诈和身份盗窃等。

在对9个欧洲国家的8,000名16至19岁青少年进行的一项调查中,近一半承认在过去12个月中从事过网络犯罪行为。

艾肯说:“我们还调查了相关的行为特征。”这些行为特征包括在线强迫症、冲动行为和过度行为。

弗格森-沃尔特提出了几种可能适用于影响攻击者行为的认知偏见。新的防御解决方案可以利用这些偏见让攻击者相信他们在网络内部进行了大量混淆,从而他们会更加冒险。这样可以更容易地让防御者抓住他们。

“但是网络防御者可能有不同的目标,”Ferguson-Walter说道。 “他们可能希望攻击者采取更少风险的行为,因为他们试图保护一些关键资产并需要更多时间来缓解攻击,”她解释道。

返回顶部

心理学如何在网络安全中应用

欺骗技术的进步,例如数字孪生和运营技术(OT)模拟,为公共和私营组织提供了很好的服务。

CounterCraft的数字孪生外部攻击面管理:案例研究(https://bit.ly/3UZDA3b)描述了CounterCraft的一家全球银行客户是如何使用该公司的The Edge欺骗解决方案创建其应用程序编程接口(API)系统的数字孪生,以引诱攻击者并收集有关对该银行系统的攻击的情报。

数字孪生与真实系统无法区分。它使银行能够迅速吸引对数字孪生的有组织的成功攻击。银行使用CounterCraft的The Edge威胁情报解决方案来过滤和收集攻击者的战术、技术和程序(TTP)以及妥协指标(IoCs)。IoCs是一次攻击的线索,而TTP是网络犯罪分子进行攻击的方式。攻击记录使银行能够在未来的攻击中加固API系统和其他系统,以防止类似的漏洞。

根据太平洋西北国家实验室(PNNL)和Attivo Networks的一份白皮书,标题为“基于模型驱动的欺骗来保护运营技术环境”,美国能源部(DoE)使用欺骗技术来保护关键基础设施。该报告叙述了在一个电力分配子站使用欺骗来保护运营技术(OT)的概念验证(PoC)。

PoC使用了Attivo BOTsink平台,向网络犯罪分子呈现了一个可信而又模拟的OT攻击结果。BOTsink解决方案使攻击者相信下游传感器已检测到他们关闭了一个模拟阀门。

OT设备使用多个网络协议进行通信,根据指定的逻辑控制和监控变量,并根据传感器数据做出响应。攻击者希望在控制器中看到对他们恶意活动的反应。

OT模拟有效地预见了现实世界的症状和事件,并复制了它们。(Sentinel One在2022年收购了Attivo Networks。)

返回顶部

短期回报、期望和挑战

根据纽约大学坦登工学院计算机科学与工程副教授Justin Cappos的说法,来自网络心理学研究的实际应用将在三到五年内出现在市场上。”我们正在关注更直观的API行为和更智能的手机使用,例如智能手机权限和隐私策略的使用,”Cappos说。

“这里的攻击者是Facebook的API设计师,通过让用户不正确地评估他们的隐私来获利。他们是利用用户弱点来实现自己目标的人,”Cappos说。”最好的API非常清晰,难以被滥用。一个知情的用户通常会做出与今天不同的隐私选择,”他说。

因此,了解API设计师的网络心理学可能通过要求行业范围内透明和直观的API来增强网络安全。它还可以告知用户,他们可以拒绝应用程序的手机权限并做出其他隐私选择。

然而,网络心理学面临挑战。

首先,Cappos说:”我们需要更多在网络心理学领域进行研究的好研究人员。”他说。

“这里有很大的潜力。只是它需要深厚的技术和心理技能的结合。我们很少见到这些技能同时具备,”Cappos说。

然而,对网络心理学领域的重要性的认识正在增加,IARPA通过ReSCIND计划的资金投入是一个明确的迹象。

“当政府向一个领域投入资金时,它可以在整个行业和学术界推动研究。我们投资于高风险、高回报的研究,以实现工业界和学术界不会迅速追求的目标,”Ferguson-Walter说,指的是IARPA最近通过ReSCIND对网络心理学的投资。

看到充分资助的网络心理学研究对网络安全能做什么将是有趣的。然而,任何金额的资金都无法将其变成对网络威胁的万灵药。

“仅仅依靠网络心理学可能很难产生重大影响,因为有那么多人试图从许多不同的角度攻击我们。”

卡波斯说:“仅仅依靠网络心理学可能难以产生重大影响,因为有很多人从很多角度试图攻击我们。我对它帮助我们改进某些方面感到乐观。但我并不认为它能成为网络安全问题的银弹。”

进一步阅读

CounterCraft—Cyberspace Deception U.S. Defense Innovation Unit, www.diu.mil

Ferguson-Walter, K.J. An Empirical Assessment of the Effectiveness of Deception for Cyber Defense. March 2020. University of Massachusetts, Amherst. https://core.ac.uk/download/pdf/288433305.pdf

Edgar, T.W., Hofer, W., and Feghali, M. Model Driven Deception for Defense of Operational Technology Environments. September 2020. Pacific Northwest National Laboratory. Attivo Networks. https://bit.ly/3AqD7xi

Aggarwal, P. et al. Designing effective masking strategies for cyber defense through human experimentation and cognitive models. June 2022. Computer & Security. https://www.sciencedirect.com/science/article/pii/S0167404822000700

Fred Cohen & Associates, Red Teaming Experiments with Deception Technologies, http://all.net/journal/deception/experiments/experiments.html

返回顶部

作者

David Geer 是一位专注于网络安全问题的记者。他来自美国俄亥俄州克利夫兰。

©2023 ACM  0001-0782/23/10

未经费用许可,可以制作本作品的部分或全部数字或印刷副本,但不得为牟利或商业利益而制作或分发副本,复制件必须带有本声明和第一页的完整引文。必须尊重ACM以外的其他所有组成部分的版权。可以带有学术引用的摘要。复制、再版、在服务器上发布、或向列表重新分发,需要事先获得特定许可和/或支付费用。请向[email protected]发送请求以获得出版许可,或传真至(212) 869-0481。

数字图书馆由计算机协会出版。版权所有 © 2023 ACM, Inc.