利用行为科学构建更强大的网安防御体系

维基百科对认知偏差的定义是：“认知偏差是判断中偏离规范或理性的系统性模式。个体根据自己的感知构建‘主观现实’。个体的现实构建，而非客观输入，可能决定其在世界中的行为。因此，认知偏差有时会导致感知扭曲、判断不准确、解释不合逻辑和不理智。”

核心观点很简单。人类大脑依赖捷径（通常称为启发式方法）来快速理解复杂信息。这些捷径使我们能够在不确定和复杂的环境中导航，而无需对每个动作都进行深入思考。

例如，过马路时，我们不会计算移动车辆的确切速度，而是环顾四周，快速做出决定，如果感觉“安全”就开始过马路。购物时，我们通常认为更贵的商品质量更高。

当有人重复我们之前听过的观点时，我们更可能认为它是真的，即使我们并未验证过。这些都是偏差和心理捷径。

这些偏差影响我们如何看待世界、形成观点、做出决策和回忆过去的事件。

在日常生活中，它们解释了为什么我们愿意为看起来独特的东西支付更多，或者为什么两个人对同一事件的记忆往往不同。

在网络安全领域，这些偏差至关重要，因为它们会被攻击者利用，影响网络防御团队的工作方式，也可以用来使人们的行为更加安全。

从某种意义上说，社会工程学是应用心理学的一种形式：攻击者的成功取决于他们利用人类判断中可预测偏差的能力。

让我们简要探讨一些攻击者最常利用的偏差，以及安全团队可以采取的保护措施。

权威偏差是我们自然倾向于信任并服从权威人士指示的倾向。

一个很好的例子是，我们使用人们的制服作为合法性的捷径。

想想警察制服、军装，甚至医生的白大褂：穿白大褂会增加人们的感知权威，即使他们说的话完全是一派胡言。

光环效应是指一个人的单一正面特征，如专业性或说服力，使人们认为他们在其他领域也值得信赖。

我们经常在日常生活中看到这一点：人们认为成功的技术高管也会擅长政治，著名的电视明星应该擅长经营企业，等等。

攻击者知道我们的思维模式，并学会了如何利用它。

“来自CEO”或“来自CFO”的电子邮件、伪造的IT帮助台电话或设计精良的登录页面都依赖这些本能来让我们放松警惕。

认为仅仅通过培训就能让人们保持警惕是无效的。设计时考虑这些偏差的最有效方法是打破默认流程。

例如，为敏感操作建立需要带外验证的流程，这将打破简单遵循权威人士指示的默认行为模式。

另一个有趣的启发式方法是所谓的当下偏差：做决策时，人们倾向于更多地关注当前情况，而不是行动的未来后果。

这就是为什么每次CFP（征集提案）中60%或更多的演讲提交是在截止日期前几小时完成的，为什么人们会拖延，等等。

攻击者知道我们的思维模式，但为了让我们更容易落入他们的陷阱，他们将当下偏差与另一个强大因素——紧迫感结合起来。

当我们看到表明某事紧急的信号时，我们会感到被迫迅速行动，认为没有时间思考。

带有倒计时器的钓鱼邮件、要求受害者在“24小时内”支付赎金的勒索软件要求，以及“立即批准此请求”的行动号召，都是这些偏差在起作用的例子。

处理权威与光环偏差的同样方法在这里也有效：在高风险操作上引入有意且有用的摩擦。

这可以是60秒的按住确认提示，或短暂的验证延迟，任何能让人有时间反思并打破紧迫感幻觉的东西。

增加涉及带外确认或涉及其他人的步骤会更有效，因为当更多人参与某个过程时，至少有一个人会意识到有些不对劲的可能性增加。

人类不仅仅对事实做出反应，我们还对事实的呈现方式做出反应。

这被称为框架效应：相同的信息根据措辞或上下文的不同可能会给人不同的感觉。

流畅性是另一个捷径——当某事容易阅读或处理时，我们会本能地更加信任它。

在虚假真实感中，某事被重复的次数越多，它就越熟悉，因此我们越认为它可信。

这正是为什么当错误信息被重复多次时，我们更容易相信它。

这些偏差，特别是当它们结合在一起时，直接影响我们如何处理信息。

攻击者知道这一点，所以他们设计的信息力求流畅、简单且重复。

这在以前是个问题，但现在有了AI，问题变得更严重了，因为语言不再是障碍，攻击者可以使用大语言模型比以往任何时候都更准确地为个人定制信息。

我们在大多数社会工程攻击中看到了这种紧迫感：“您的账户有风险”（常见的钓鱼模式）比“我们注意到异常登录活动”更令人恐惧和紧迫。

攻击者使用熟悉的模式，如可疑活动邮件，并本质上将它们用作对抗我们的武器。

减少攻击者在利用框架效应、流畅性和虚假真实感偏差时成功机会的最佳方法是保持一致性。

问题是大多数科技公司在信息传递上非常不一致，许多公司发送的邮件看起来像钓鱼尝试，尽管它们并不是。

安全警告应该用平实的语言编写，像账户通知这样的警报应该围绕人们可以验证的事实来构建问题，而不是驱动紧迫感的情感钩子。

人们对失去某物的痛苦感远强于获得同等价值事物的愉悦感。

这被称为损失厌恶。

如果我们失去100美元，我们会比找到100美元更难过。

稀缺性以类似的方式起作用：当某物看起来稀有或更独特时，如高管俱乐部的会员资格或“限量版”产品，我们立即会认为它更有价值。

这些是本能反应，很容易被触发。

攻击者非常擅长制造对损失的恐惧或围绕稀缺性的紧迫感。

这就是为什么他们发送“除非您立即行动，否则您的账户将被暂停”（损失厌恶）和“只有前100人可以领取此奖励”（稀缺性）这样的信息来制造压力，使人们不停下来思考。

科技产品应该围绕人们的偏差进行设计。

我们完全可以通过理解信息的语气来警告人们某事可疑，应该格外小心。

我们应该更好地识别意图，并在看起来有人试图利用这些策略时警告用户。

同时，安全团队应该仍然优先建立保护措施，以防止人们在自己感到压力时做出不良行为，因此即使有人感到压力，系统也应该在没有适当检查的情况下阻止他们做坏事。

在一篇文章中我们无法涵盖所有的偏差，但有一个偏差我想简要提及，那就是默认效应。

面对选择时，人们倾向于接受默认、预先选择的选项。

这就是为什么最受欢迎的咖啡尺寸是中杯，也是为什么绝大多数人最终会选择默认的健康保险计划。

默认选项是最安全、最简单的接受方式。

正是这种偏差（而不是人们不关心安全）使得人们坚持使用弱默认密码或不选择更强的身份验证。

处理这种偏差的最佳方法是提供安全的默认设置并完全移除弱选项。

这可能意味着禁用短信多因素认证，但也可能意味着限制人们更改云设置的方式，等等。

虽然安全团队喜欢将安全意识宣传为解决所有问题的最佳方案，但他们自己也不免受到攻击者用来对付他们所保护的人的那些心理捷径的影响。

以下是一些影响安全团队工作质量的心理偏差。

检测工作中最常见的一些陷阱是可得性偏差和近因偏差。

当分析师和检测工程师优先关注什么时，他们首先会注意他们在新闻或社交媒体上读到的威胁。

这导致优先级扭曲，使当天成为头条的威胁比实际上更可能使公司遭受攻击的问题得到更多关注。

这里的解决方案是围绕关注重要事项而非新闻中的事项进行优先级排序和纪律约束。

另一个反复出现的挑战是确认偏差。

一旦分析师形成了一个初步假设（比如“这是内部威胁”），他们的自然本能就是寻找证明这个假设的证据，而忽略任何反驳它的证据。

这种隧道视野可能导致长时间追逐错误的问题。

建议人们保持开放心态很容易，但现实是我们都容易受到这些偏差的影响，所以说起来容易做起来难。

安全分析师必须处理源源不断的警报，每个警报都可能是入侵的迹象。

很容易受到所谓注意力偏差的影响，即单个警报或异常消耗了所有注意力，而其他重要事项被忽视。

虽然安全工作的性质使得注意力偏差成为一种特征而非缺陷，但重要的是要故意规划短暂的停顿，以在人们深入工作时创造喘息空间并拓宽视野。

我认为一些最危险的偏差是那些使安全人员过于自信，甚至使他们对自己保护公司免受攻击的能力产生夸大感知的偏差。

值得指出的三个现象是过度自信效应、有效性错觉和达克效应。

每个现象都略有不同（维基百科解释得很好，所以我就不重复了），但它们都导致相同的结果：使人们高估自己的技能和能力，并对自己的信念变得过于自信。

有些人在看到数据完美契合一个连贯的故事时会陷入这种陷阱，而其他人只是不知道自己的局限性。

理论上，应该有办法处理这些问题，比如为不同的判断分配可能性等。

然而，正如所说，理论上理论与实践没有区别，但实践中是有区别的。

在实践中，我们最好保持意识到我们都容易受到偏差的影响，这些偏差可能会扭曲我们对世界的看法并影响我们的决策。

我们无法在这里涵盖更多影响我们检测和分类问题能力的偏差，但有一个偏差我必须提及，那就是自动化偏差。

人类倾向于认为机器是正确的，并信任其输出，即使输出有问题。

AI和AI代理的兴起将这个问题带到了全新的水平，因为公司正在将越来越多的工作流程代理化，随之而来的是我们看到了越来越多的自动化推理。

安全团队应该要求供应商提供透明度，并确保机器推荐总是包含可以验证的附带解释。

如果你认为安全团队能够理性地分析他们的风险，那就再想想。

人类总是受到不同偏差的影响，众所周知，我们在理解风险方面表现很差。

让我们简要讨论一些这些偏差以及它们如何影响风险评估。

基本比率谬误是指当高级持续性威胁（APT）和零日漏洞等高调威胁得到所有关注时，而更常见的泄露原因，如配置错误或弱凭证，却被忽视。

比例偏差，根据维基百科的定义，是“倾向于假设大事件有大原因”。

我们在网络安全中经常看到这一点：当发生大泄露时，往往假设原因必须非常复杂，尽管实际上许多灾难性事件都源于最简单的错误，如未打补丁的系统或默认密码。

关于风险的讨论受到正常化偏差和乐观偏差的干扰。

正常化偏差导致人们低估灾难如勒索软件攻击的可能性，仅仅因为它们尚未发生。

乐观偏差使公司相信他们比其他公司更不可能受到攻击。

这些偏差共同导致对安全的投资不足和对罕见但真正灾难性事件的准备不足。

这些偏差正是人们相信他们“太小不会被攻击”或“不需要网络保险，因为不会发生坏事”的原因。

摆脱这些偏差的唯一方法是让人们通过模拟和桌面演练等工具体验不可想象的事件，使他们想象坏事已经发生，并思考如何应对后果。

后见之明和结果偏差扭曲了组织以及行业从事件中学习的方式。

一旦发生泄露，事后看来它似乎是显而易见的。

当时看似合理的决策因为结果不佳而受到负面评判。

在安全领域，这两个偏差在很大程度上导致了所谓的受害者羞辱。

在大事件发生后，你会看到各种网络影响者在社交媒体上说，不修复某些漏洞或不拥有某些最新工具最终会适得其反是“显而易见”的。

实际上，我们都知道大多数公司都很混乱，大多数CISO都在尽力而为，而且在安全领域，将过程与结果分开往往很有帮助。

很多时候，当我们回顾时，很明显导致泄露的大多数决策在当时背景下，根据可用信息来看，其实是好决策。

对于任何想更深入了解这些特定偏差和结果概念的人，我强烈推荐《思考，快与慢》。

当我说所有人类都受到心理偏差影响时，我不仅仅是指那些“没有遵循在意识培训中学到的知识”的员工、在试图检测和应对威胁时屈服于偏差的安全分析师，或无法想象他们公司可能受到攻击的安全部门外的不同利益相关者。

CISO和安全高管也深受相同偏差的影响。

一个已知会悄悄消耗资源的偏差是沉没成本或承诺升级。

一旦在工具或项目上投入了时间和金钱，心理上就很难放弃它，即使很明显它正在失败。

安全团队经常继续推进，因为“我们已经投入了太多，现在停止太可惜了”，高管们觉得他们不能放弃项目而不损害自己的声誉。

这就是公司倾向于继续推进没有进展的计划的原因，也是他们坚持使用不佳的安全工具，即使在有更好替代品的情况下也是如此的原因。

这也是大型平台供应商喜欢免费提供产品以让公司部署的原因：一旦公司实施了代理或企业浏览器，现状偏差和沉没成本偏差将使高管们即使存在更好替代品也继续使用它们（“我们已经实施了它，所以如果它正在工作，为什么要改变？”）。

技术选择也由工具法则决定：当你只有锤子时，所有东西看起来都像钉子。

安全团队和安全领导者都倾向于坚持使用他们知道的工具，即使这些工具不是解决问题的最佳选择。

这导致对熟悉技术的过度依赖和对更好替代品的探索不足。

这正是为什么一个曾经是GRC（治理、风险和合规）领导者的CISO往往过度优化合规性，一个曾经是安全工程师的CISO往往过度投资于内部工具建设，一个曾经是执法人员的CISO往往优先处理内部威胁，一个曾经是IAM（身份和访问管理）负责人的CISO往往过度投资于身份而牺牲了其他领域，等等。

这很有趣，因为很多时候，你可以通过询问CISO过去的重点来猜测他们的团队优先级。

显然，只要不损害同等重要但可能因为安全领导者不熟悉而得不到足够关注的领域，做有效的事情或坚持自己了解的事情是没有错的，但情况可能并非总是如此。

最后，安全决策受到群体思维和共享信息偏差的严重影响。

团队自然倾向于达成共识，并花费太多时间讨论每个人都已知的信息，而花费较少时间讨论只有一些人知道的信息。

这会在最需要讨论的领域创建盲点。

为防止这种情况发生，在房间中安排一个人专门反对共识并单独收集预读输入是很有帮助的，这样在小组讨论稀释独特信息之前，它就能被提出。

虽然人类偏差在网络安全中确实扮演了非常重要的角色，但我并不是说它们总是对我们不利。

安全专业人员可以有意识地利用偏差，使安全行为更容易、更自然，并更有可能持续下去。

攻击者用来操纵人们做他们不应该做的事情的相同心理捷径，可以转化为防御者的设计工具。

以默认效应和现状偏差为例。

人们倾向于坚持他们得到的东西，保持现状，并抵制不必要的改变。

安全团队不必将其视为缺陷，而是可以利用它通过提供安全的默认设置。

如果某些安全功能是开箱即用的，大多数人会简单地接受它，而不是费心去弄清楚如何绕过它。

关键在于它必须简单，并且不能引入太多摩擦（人们会做任何事情来消除摩擦）。

结合单纯曝光效应，使人们更喜欢熟悉和容易处理的事物，很明显，如果安全控件是一致的，如果它们具有相同的用户界面、图标和语言，人们会更容易习惯某些安全控件。

框架效应提供了另一个机会。

人们根据信息的呈现方式不同而对其有不同的解释。

如果将单点登录（SSO）描述为“额外的步骤”，它会感觉像是摩擦，但因为它是“设置后登录次数更少”，所以它感觉像是便利。

打补丁不仅可以宣传为“更好的安全性”，还可以宣传为“更快的性能”或“改进的稳定性”。

以Chainguard为例，他们将产品定位为开发者不必处理安全请求的方式，这比试图说服开发者关心安全更有效（我们已经看到“向左移动”的效果如何）。

甚至努力正当化效应，有时称为宜家效应，也可以被积极利用。

当人们为某事付出努力时，他们会更加重视它（我之前解释过为什么安全领域的某些产品类别非常成功）。

安全团队可以通过让工程师参与共同创建防护栏或政策来获得支持。

当人们感觉自己是创建某个过程的一部分时，他们会更加投入，并且不会感觉安全将某事强加给了他们。

这种拥有感使得更容易让人们愿意遵循新过程（毕竟，他们帮助创建了它）。

最后，记忆偏差如显著性偏差和峰终定律提醒我们，人们很难准确记住整个体验；相反，他们记住的是突出的部分和结束的方式。

安全团队可以设计流程，并要求供应商构建产品，使风险操作在视觉上与众不同。

同时，安全任务和与安全团队的互动应该以积极的方式结束。

如果最后的接触点是积极的，那么对任务的整体记忆也会是积极的，增加了人们愿意再次愿意执行它的机会。

而且，如果与安全团队的互动亮点是积极的，人们可能会开始向他们提问并将安全视为顾问而非警察职能。

这篇文章与我的常规文章大不相同，这是有原因的。

有超过180种认知偏差影响我们看待世界、思考和做事的方式。

这些偏差是我们所有人行为的重要组成部分，不是可以通过让人们完成强制培训就能训练掉的怪癖。

我一直是心理学的忠实粉丝，但在撰写这篇文章时，我仍然学到了很多。

我认为行为心理学和决策科学应该是任何进入安全领域的人的必修课。

到目前为止，CISSP和其他受尊敬的项目和学位在教授安全从业者和领导者技术方面做得很好，但我认为它们在帮助安全从业者理解人类如何运作以及他们的大脑如何连接方面做得很差。

好消息是，在过去几年里，我开始看到对软技能和沟通在网络安全中的重要性有了越来越多的认可。

坏消息是，我仍然没有看到对人类心理学的太多强调。

我坚信，未来的安全将更多地依赖于行为设计和将行为工程嵌入技术中，而不是技术控制（尽管技术只会变得越来越复杂）。

前进的道路不能是无尽的意识培训。

我们需要偏差感知设计：安全的默认设置、考虑偏差和人类实际运作方式的流程，以及引导人们在压力下做出正确选择的系统。

我们无法期望将人们训练成能识别所有恶意迹象的机器人，这种做法收效甚微；相反，我们应该立足现实，让安全工具适应人，而不是让人去适应安全工具。

最后，如果你有兴趣进一步了解行为经济学、决策科学以及人类大脑的运作方式，我建议从阅读以下几本书开始：