Bu Help Net Security röportajında Praxis Security Labs CEO’su Kai Roer, teorik temelleri, pratik sonuçları ve siber güvenlikte insan davranışının önemli rolünü araştırıyor. Roer, günümüzün güvenlik ortamında insan karmaşıklığının kapsamlı bir şekilde anlaşılmasının neden çok önemli olduğunu açıklıyor.
Güvenlik Farkındalığı Eğitiminden (SAT) İnsan Risk Yönetimine (HRM) doğru evrimi nasıl tanımlarsınız? Bu değişim sektör için neden önemli?
Güvenlik farkındalığı eğitimi eski ve çürümüş olanlardan geliyor Rasyonel seçim teorisi Bu, eğer bir seçim şansı verilirse, kişinin kendisi için en iyi olduğunu bildiği şeyi seçeceğini öngörmektedir. Veya başka bir deyişle, daha iyisini biliyorsanız, her zaman doğru seçimi yaparsınız. Evet, bu teorik, o yüzden şöyle düşünün: Sağlıklı beslenmemiz, düzenli egzersiz yapmamız, (çok fazla) içki içmememiz ve tabii ki sigara içmememiz gerektiğini hepimiz biliyoruz.
Biz bu bilgiye sahibiz ve rasyonel seçim teorisine göre buna göre davranırız. Sorun, eminim sizin de görebileceğiniz gibi, biz insanların bilgimize göre davranmamamızdır. Bunun yerine, başka bir şey yapmak için çeşitli nedenler, inançlar ve bahaneler buluruz. Sigara içen bir kişiye, sigara içmenin kendisi için kötü olduğunu bilip bilmediğini sorun; hepsi olmasa da çoğu, bunun böyle olduğu konusunda hemfikir olacaktır.
Güvenlik bilinciyle ilgili sorun tam olarak budur; çalışanlar olduğu sürece bunu bekler. Bilmek daha iyi, yapacaklar davranmak daha iyi. Yani, sen olduğun sürece tren çalışanlarınız, onlar Bilmek daha iyi ve böylece başlayacaklar davranmak daha güvenli.
Ve hepimiz bunun işe yaramadığını biliyoruz. Bu nedenle birçok kuruluş, insanların maruz kaldığı riskleri yönetmek için daha iyi alternatifler arıyor ve bu nedenle son on yılda giderek artan sayıda araştırmacı ve uygulayıcı daha iyi yollar buluyor.
Bu yeni yol, Kahneman ve Tversky, Dan Ariely, James Reason ve kişisel favorilerimden biri olan Richard Thaler gibi daha yeni araştırmalardan yararlanıyor. Bu araştırmacılar bize insanların yukarıdaki rasyonel fail fikrinden çok daha karmaşık bir şekilde yaratıldığını öğretiyorlar.
Bunun yerine motivasyon, duygular, kültürler, etki, güç yapıları ve belirli bir görevi yapmanın ne kadar kolay (ya da değil) olduğu gibi faktörlere işaret ediyorlar. Bu karmaşıklık, çalışanların doğru şeyleri yapmalarına yardımcı olmak istiyorsak, eğitim ve öğretimin bulmacanın yalnızca bir parçası olduğu ve diğer pek çok parçanın eklenmesi ve ayarlanması gerektiği anlamına gelir.
İnsan Riski Yönetimi alanı bu paradigma değişimini benimsemeye ve kuruluşların riski azaltmasına ve güvenliği artırmasına yardımcı olacak daha iyi ve daha etkili araçlar yaratmaya çalışıyor. Geçtiğimiz birkaç yılda dünya çapında bu alanda gelecek vaat eden şirketlerin ortaya çıktığını gördüm ve bunun çok ihtiyaç duyulan bir yön değişikliği olduğuna inanıyorum.
Teknik anormalliklerle karşılaştırıldığında insan merkezli anormalliklerin yanlış yorumlanması veya gözden kaçırılmasıyla ilgili hangi riskler vardır?
Güvenlik olaylarının çoğunun insan faktörlerine dayandığı bir gerçeklikte (Dünya Ekonomik Forumu %95’e varan oranda öneriyor), insan merkezli risklerin ele alınması gerektiği tüm kuruluşlar için açık olmalıdır. Örneğin insanlar bilgisayar değildir; yani yama yaparak veya yükseltme yaparak insan doğasını değiştiremezsiniz.
Bunun yerine, insanların inşa edildiği davranışlar ve psikolojiyle çalışmalı ve bunları kendi yararınıza kullanmalısınız. Örneğin, sosyal mühendisler çalışanlarınızı kimlik bilgilerini paylaşmaları için manipüle ederken (gerçek bir risk, bu her zaman meydana gelir), yaklaşımınız yalnızca kimlik avı değerlendirmesi ve eğitimi ile değil, aynı zamanda tüm güvenlik uygulamasını gözden geçirerek bunu azaltmak olmalıdır. organizasyon.
Kendinize “Kullanıcı adı ve şifre ile sistemlerimize erişim ne kadar kolay?” gibi sorular sorun. Sistemlerimizi güçlendirmek için ne yapabilirim? Bu olaya hazırlanmak için ne yapabilirim? Olay meydana geldiğinde kuruluşumu bu olayla başa çıkmaya daha hazırlıklı olacak şekilde nasıl ayarlayabilirim?” Bu sorular, “Çalışanlara daha güvenli olmayı nasıl öğretebilirim” veya “Çalışanların bağlantılara tıklamasını nasıl engelleyebilirim” gibi sorularla aynı şey değildir çünkü ikinci soru sizin açınızdan hatalı bir varsayıma dayanmaktadır. insanlar davranıyor.
Bunun yerine, insanların yaratılış şekline (biyoloji) göre insanların değiştirilemeyecek davranış kalıplarına sahip olduğunu anlamalısınız. Bu kalıplar bilgisayar sistemleriniz için risk oluşturur; örneğin bilgisayar korsanlarının, çalışanların iradesine ve iyi niyetlerine aykırı olarak bir çalışanı kandırarak erişim sağlaması gibi. Bu risk kaçınılmazdır ve hiçbir zaman tamamen ortadan kaldıramazsınız.
Çabalarınızı boşa harcamak yerine kuruluşunuzu olaya hazırlamaya ve olayla hızlı, zahmetsiz ve etkili bir şekilde başa çıkmaya hazır hale getirmeye odaklanmalısınız. İnsan davranışlarını anlamak, güvenlik kontrollerinizde ince ayar yapmanıza ve neyin mümkün olduğuna dair beklentilerinizi ayarlamanıza yardımcı olacaktır.
Analitik bileşeni açısından, insan davranışı ve etkisine ilişkin araştırmaları birleştirmek kuruluşlara nasıl ek bir içgörü katmanı sağlar?
Son on yılda dünya çapındaki araştırmacılar tarafından insan davranışlarına ilişkin çok sayıda bilgi üretildi. Ekibim ve ben birçok ufuk açıcı makaleye katkıda bulunduk.
Bu konuyu araştırmanın temel nedeni, sektörümüzün henüz çözemediği bir bilmece olan bununla nasıl başa çıkılacağını bulmaktır. İlginç olan, hem insanların nasıl olduğunu hem de insanların davranışlarını, anlayışlarını, tutumlarını vb. geliştirmelerine nasıl yardımcı olabileceklerini açıklayan akademik araştırmaların mevcut olmasıdır. İlgili anlamı yaratmak için bu araştırmayı analizlerimize ve verilere ilişkin yorumlarımıza uyguluyoruz. Örneğin, kimlik avı bağlantısını tıklayan ve değerlendirmelerinizden birinde kimlik bilgilerini paylaşan bir çalışanınız var.
Çalışan aptal olduğu için mi? Daha iyisini bilmiyor musun? Umursamıyorlar mı? Belki de bunu bilerek yaptıklarına inanıyorsun? Bunların hepsi güvenlik profesyonellerinden duyduğum argümanlar. Ancak araştırmalar başka şeylerin de rol oynadığını gösteriyor. İş rolünün etkisi vardır; eğer işiniz belgeleri düzenli olarak incelenmek üzere açmaksa, o zaman belgeleri açma olasılığınız daha yüksektir, değil mi? Çalışma platformunuzun bir etkisi vardır; mobil cihaz kullanmak, tehlike işaretlerini tespit etmek için mesajı incelemeyi çoğu zaman zorlaştırır ve buna ek olarak, mobil cihaz kullanılıyorsa, çalışanın seyahat etmesi veya başka bir şekilde dikkati dağılması muhtemeldir. Peki ya stres?
Stresin davranışlar üzerinde büyük etkisi vardır ve kolayca tetiklenebilir.
Araştırma önemlidir çünkü endüstride genellikle uyguladığımız yanıtlardan daha iyi ancak mükemmel olmayan yanıtlar sağlar. Analitiklerimize araştırmaya dayalı bilgi eklemek, daha iyi, daha alakalı içgörüler sağlar ve böylece neler olup bittiğini anlamamızı daha hızlı ve daha kolay hale getirir. Önerilerimizde ayrıca araştırmadan da yararlanırız; bu, güvenlik ekiplerinin güvenliği nasıl geliştireceklerini bilmelerini çok daha verimli hale getirir.
İnsan davranışı verilerinin tarihsel kaydını tutmak, kuruluşlara uzun vadeli siber güvenlik stratejilerinde nasıl yardımcı olur?
Davranışlar zamanla değişir ve bu değişimi takip edebilmenin çok büyük etkisi vardır. Örneğin, bir olay durumunda, otopsi ve soruşturma için geçmiş verilerden yararlanabilirsiniz.
Diyelim ki bir ihlal meydana geldi ve siber sigorta şirketiniz, olay gerçekleşmeden önce riski azaltmak için ne yaptığınıza dair bir rapor talep etti. Bu durumda müdahalelerinizi ve kontrollerinizi zaman içinde çalışanların davranışlarını nasıl etkilediğiyle destekleyebilirsiniz.
Günlük operasyonlarda, kuruluş genelinde KPI’lar oluşturmak ve ekiplerin, iş birimlerinin ve hatta bireylerin zaman içinde nasıl geliştiğini takip etmek için geçmiş verilerden yararlanabilirsiniz. Ve elbette, geçmiş veriler trendlerin keşfedilmesine olanak tanır ve trend verilerine dayanarak güvenlik duruşunun zaman içinde nasıl değiştiğini görselleştirip öngörebiliriz.
Praxis Navigator’ın temel işlevselliğini ve benzersiz özelliklerini ve insan davranışı verilerinin gözden geçirilmesine ve analiz edilmesine nasıl yardımcı olduğunu açıklayabilir misiniz?
Praxis Navigator müşterilerin mevcut verilerinden yararlanıyor. Birkaçını saymak gerekirse olay günlüklerinden ve uyarılardan verilerden yararlandığımız Microsoft Graph API gibi kaynaklara bağlanır. Bu mevcut veriler, pek çok okuyucunun da anlayabileceği gibi, hem ayrıntılar açısından çok zengin hem de üzerinde çalışılması oldukça zor; görünen o ki, insanlar tarafından kolaylıkla kullanılacak şekilde üretilmemiş.
Mevcut verilerle, bunları “insan merceğimizden” geçiriyoruz ve kuruluş genelinde insan davranışlarını keşfetmeyi kolaylaştıran ve böylece güvenliğin müdahale etmesi gerekebilecek alanları belirleyen görünümler oluşturuyoruz. Bu alanlar daha fazla araştırılabilir ve mevcut veriler, mevcut araştırmalar ve konu uzmanlığımızın birleşimine dayalı olarak yorumlar ve bağlamlar ekliyoruz. Hepsi analitik ve görselleştirmeye entegre edilmiştir.
Artık kuruluşunuz genelinde insan davranışlarına ve risklere ilişkin içgörülere sahipsiniz ve çoğu araç bu şekilde sona eriyor. Ekibim ve benim arka planımızda bu aşamada uyguladığımız bazı benzersiz uzmanlık ve araştırma projelerimiz var. Verilere ve analizlere dayanarak artık müşteriye ihtiyaçları doğrultusunda hedeflenen öneriler sunuyoruz.
Terrain modeli, güvenlik ekiplerinin sorunlu ve övgüye değer kurumsal davranışları belirlemesine nasıl olanak sağlar?
Arazi Modeli, insan davranışlarını zaman, ekip/birey ve risk gibi boyutlarda görsel olarak temsil eder. Arazi modelinin benzersiz özelliği, çalışanların riskli davranışlar sergilediği alanların belirlenmesini kolaylaştırmasıdır. İnsan beynimiz, görsel ipuçlarını tespit etme konusunda, günlük dosyalarındaki ve binlerce olaydaki kalıpları bulmaya çalışmaktan çok daha iyidir. Bu bilgiyi uyguluyor ve iyileştirilecek alanların belirlenmesini kolaylaştırıyoruz.
Arazi modeli aynı zamanda jeopolitik ve küresel güvenlik gibi dış faktörlerden, teknoloji yığınınız aracılığıyla, örneğin İK sistemleri ve anketler gibi niteliksel ve niceliksel girdilere kadar her türlü kaynaktan gelen verilerden yararlanacak şekilde tasarlanmıştır.
Praxis Önerileri, insan davranışlarına dayalı eyleme dönüştürülebilir içgörüler sağlama açısından diğer çözümlerden nasıl ayrılıyor?
Öneriler, insan davranışları, güvenlik ve kurumsal dönüşüme ilişkin araştırmalara dayanarak oluşturuluyor ve geniş bir bilgi birikiminden yararlanılıyor. Benim görüşlerimden ve konu uzmanlığımdan yararlanıp bundan memnun olabilirdik. Ancak ben önyargılıyım ve her şeyi bilmiyor olabilirim, bu nedenle tavsiyeleri bilgilendirmek için mevcut akademik ve sektör araştırmalarından yararlanmak çok daha mantıklı.
Farklıyız çünkü işe yarayabilecek bir şey hakkında bir fikrimiz varsa, o alanda araştırma ararız. Hiçbir şey bulamazsak kendi araştırma projemizi kuruyoruz ve bu fikrin bir etkisi olup olmadığını öğreniyoruz. Ancak o zaman bunu geniş ölçekte uygularız. Öğrenimimizin mümkün olduğunca fazla fayda sağladığından emin olmak için elbette araştırmamızı yayınlıyoruz.
Praxis platformunda bağlayıcıların rolünü özellikle Microsoft Defender gibi diğer sistemlerle entegrasyonu açısından açıklayabilir misiniz?
Çoğu kuruluşun başarılı bir şekilde yararlanabileceğinden daha fazla veriye sahip olduğuna inanıyoruz. Sorun veri eksikliği değil, onu kullanmak ve sonra onu anlamlandırmaktır. Yaklaşımımız, mevcut verilere bir insan tarafından ulaşılabilir hale getirmek ve bir insanın neler olup bittiğini anlamasını kolaylaştırmaktır.
İnsan davranışlarının izlerini içeren mevcut veri kaynaklarına bağlanıyoruz. Bunun bir örneği, insan davranışıyla ilgili verilerden oluşan bir hazine olan Microsoft Defender’dır. Bu verinin nasıl sunulduğuna bakan herkes büyük olasılıkla benimle aynı fikirde olacaktır: Onlardan herhangi bir anlam çıkarmak için uzman olmanız gerekir. Bu da amacının büyük bir kısmını boşa çıkarıyor.
Daha da kötüsü, Microsoft Defender ilgi çekici ve alakalı verilerin kaynaklarından yalnızca biridir. Ağınız verilerle dolu, ancak her satıcının onu nasıl sunacağı, neleri dahil edeceği ve ona nasıl erişeceği konusunda kendi yaklaşımı vardır. Bağlayıcılarımız, bir satıcı sistemi ile analiz motorumuz arasındaki çevirmenler gibidir ve verileri tek bir formatta ve yapıda toplarken, giderek artan sayıda veri kaynağına bağlanmamıza olanak tanır. Bu yaklaşım, özel analiz ve algoritmalarımızın çalıştırılmasını çok daha hızlı ve daha güvenilir hale getirir.
Sizce Praxis platformunun potansiyel müşteriler için en ilgi çekici değer önerileri neler?
En son araştırmalara dayanan son derece uzmanlaşmış analitik ve yorumlarımızı sunarak müşterilerimizin mevcut verilerini anlamlandırmalarına yardımcı oluyoruz. Ancak günün sonunda çoğu müşterinin tavsiyelere en çok değer vereceğine inanıyorum. Veriler iyi. İçgörüler harika. Ancak hiçbir şey eylemden daha yüksek sesle konuşamaz. Ve Praxis tavsiyeleri size bundan sonra hangi adımları atmanız gerektiğini söyler.