人们倾向于选择阻力最小的道路来完成任务，因此当安全措施增加了工作的难度时，他们会寻找绕过这些障碍的方法，从而导致潜在的安全风险。为了有效地提高安全性，企业需要找到既能增强安全又能尽量减少用户不便的方法。

01 安全教育，在钓鱼攻击面前很无奈

1. 以下哪些邮件最不可能是钓鱼邮件?A. [email protected]. iport_oa@163. comC. [email protected]. [email protected]

2. 如果不小心打开了邮件的附件，发现中毒了应该怎么办?A. 当作没事发生B. 立即关机，联系相关安全部门C. 不要关机，断开电脑网络，联系相关安全部门D. 打开杀毒软件进行查杀

3. 以下哪些邮件可以确认是集团公司内部邮件?A. 正文中有公司上级领导的名字B. 有公司相关信息C.  签名中有公司 LOGOD. 发件人是@iport.com.cn的结尾的一级域名

你们公司是否也有类似于上面的信息安全考试，且还是周期性的、强制性的。遇到这样的考试，你是否表现得很厌烦？同事们都是怎么去答题的呢：

女生：给旁边的男同事买杯奶茶，或者直接撒个娇，让对方帮自己点点答案，后者告诉自己每题的答案。

男生：简单看下题目，再每题快速的打过去，错了就错了，考试系统最后总会告诉你答案是什么，第一次答题不合格，记住正确答案再快速的点第二次。考试合格了，帮旁边女同事一次通过。

信息安全团队，看着全公司 100% 的考试通过率，对自己的安全培训和教育工作陡然升起一股莫名的自豪。于是尝试着钓鱼执法，演练一番，结果公司上下超 50% 的员工中招。

02 员工不关心企业信息安全，并总是试图绕过安全麻烦

人都是不喜欢处理麻烦的，并会尽可能地避免它。 企业安全团队往往会引入大量的麻烦 ，比如禁止各种软件工具的使用、创建复杂的审批流程、迫使员工完成冗长无聊的安全学习和考试。我们所说的影子 IT、影子身份以及其他行为，都是员工规避复杂性的表现而形成的结果，是对复杂性的自然反应。人们这样做是为了以他们认为最有效的方式完成工作。

这段话揭示了企业和个人在网络安全措施上的矛盾心理，以及企业在推行严格安全政策时面临的挑战。人们倾向于选择阻力最小的道路来完成任务，因此当安全措施增加了工作的难度时，他们会寻找绕过这些障碍的方法，从而导致潜在的安全风险。这表明，为了有效地提高安全性， 企业需要找到既能增强安全又能尽量减少用户不便的方法 。

03 AI 并不能更好解决钓鱼攻击

有企业已经开始使用 ChatGPT 这样的大模型，来优化和提升企业安全培训的方式。它将更加个性化、更具情境性，并会考虑特定个体所需了解的具体内容。然而，虽然安全意识培训无疑是有用的，但无论采用何种交付方式，它都有重大不足。

首先， 行为改变是困难的 ，人性不会因为我们学到了新的事实而改变，所以仅仅提高意识是不够的。更重要的是，随着对手技术的进步，钓鱼邮件（phishing）、语音钓鱼（vishing）和短信钓鱼（smishing）尝试将变得越来越个性化和具有说服力。人们将越来越难以分辨例如来自同事和商业伙伴的真实电子邮件与钓鱼攻击之间的区别。

这段话强调了传统安全意识培训方法的局限性以及改进空间，指出了人类行为改变的难度，同时也提到了人工智能技术如大型语言模型可能带来的变革潜力。它还提醒我们，随着攻击手段的不断进化，安全培训需要不断适应新挑战，才能有效保护组织免受日益复杂的安全威胁。

其次，所谓道高一尺魔高一丈，尝试用 AI 去精准的识别到钓鱼信息，并提前进行阻断，是一个美好的愿望，这条路注定陷入一个永无止境的攻防对抗竞赛中。正义一方使用 AI 来检测，邪恶一方使用 AI 来攻击；正义一方希望改变人性，邪恶一方利用人性的弱点。谁更胜一筹呢？

04 让人们轻松无阻地选择最安全的行为

安全意识固然重要，但我们不应将安全失误的责任归咎于个人。鉴于人们会尽一切努力避免麻烦，我们需要设计安全控制措施，使得最安全的行为同时也是最高效、最无阻碍的。

前 Netflix 安全副总裁 Jason Chan 经常谈论“护栏”和“铺设的道路”的概念：

1、护栏的概念旨在摆脱传统上将安全视为门禁、障碍或瓶颈的观点。像自动化和集成控制这样的护栏能够让人们快速前行的同时也确保了安全性。

2、铺设的道路是一种方法，它使最安全的行为成为最容易选择的路径。虽然一个人可以披荆斩棘穿越森林，但如果有一条平坦的铺路可以直接到达目的地，他们很可能会选择这条路。

我认为这些概念应当成为设计未来安全性的核心支柱。我们知道，人们会尽一切可能避开痛苦和麻烦。因此，通过让选择更安全的道路变得更加容易，我们将大大降低有人意外偏离这条道路的可能性。目前，情况往往相反：选择更安全的行为意味着要接受它所带来的障碍。

这段话强调了在设计安全措施时需要考虑用户体验的重要性，即不仅要保障安全，还要确保这些措施不会给用户带来额外的不便或麻烦。通过创建“护栏”和“铺设的道路”，组织可以引导员工自然而然地采取最安全的行为，从而减少人为错误带来的风险。这种方法不仅提高了整体的安全性，同时也促进了工作效率，因为员工不需要在安全与便捷之间做出艰难的选择。

05 数影办公浏览器，消除密码

网络钓鱼攻击通常旨在窃取用户的登录凭证、财务信息等敏感数据，的 核心往而这一切往围绕着账号和密码 。因此，一个激进但可能最有效的解决方案是， 彻底消除账号密码机制，或者不让员工掌握应用的账号密码，即使遇到了钓鱼网站，也能达到防止被钓鱼的事情发生，这或许能从根本上解决网络钓鱼攻击的问题。

传统基于账号和密码的身份验证方式存在固有的弱点。即使用户选择了强密码，并定期更换，也无法完全避免被钓鱼网站或恶意软件捕获的风险。当涉及到复杂的密码管理和多平台的账户时，用户体验也会变得非常糟糕，导致很多用户选择更容易记住但也更不安全的简单密码，或是重复使用相同的密码。这为网络犯罪分子提供了可乘之机。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）