軟件消除了百分之95的安全漏洞中隱含的人為失誤

網絡安全處于非常恐怖的狀態。這個消息是一個令人震驚的頭條新聞的穩定周期： 看看這個新鮮的黑客正在訪問企業。

安全團隊的冰雹瑪麗是人工智能和自動化。企業希望人工智能能夠彌補預計在2020年之前將填補180萬個工作崗位的技能缺口。問題是，黑客也越來越擅長AI —確實很棒。

組織中的人員(安全專業人員和非專業人員)如何?他們致力于安全的大腦有多少比例?也許他們可以提高一點防御能力來捕獲和補救威脅。

安全人員經常重復這樣的說法：人將永遠是最薄弱的一環。錯誤和失誤將一次又一次地發生。他們說，沒有任何辦法可以改變偶爾出現的粗心大意。

“我個人從未相信過，” Elevate Security Inc.的聯合創始人兼首席執行官瑪莎·塞多娃(Masha Sedova)說 (如圖)。

人們摸索，絆倒或滑入的違規次數過高，因此不值得檢查。她說： “大約 95% 的人為錯誤與之相關。”

我們必須低下頭，忍受恥辱嗎?還是人們可以學習一致的安全態勢和程序，以減少傳票和整體違規行為?

在加利福尼亞州門洛帕克舉行的CloudNOW“云計算中的頂級女性”創新獎頒獎典禮上，Sedova與SiliconANGLE Media的移動直播工作室CUBE的主持人Lisa Martin進行了交談。他們討論了可學習的行為如何提高安全性，以及為什么僅憑技術永遠做不到。

調整態度

塞多瓦說，人們確實可以減少制造的危險單的數量。為此，他們需要改變對安全的態度。

“如果人們想要安全而不是不得不做，那會是什么樣?如果人們是安全的擁護者，那不是因為我們讓他們這樣做，而是因為我們每個人都投入了安全，這會是什么樣?” 塞多娃問。

這樣，安全性就不會成為安全室中那些人所擔心的附加組件。這是安全專家和其他所有人都知道的。Sedova指出，他們可以日復一日地通過良好的安全行為巧妙地預防和應對威脅。

Sedova是幾年前與他人共同創立的Elevate的基礎，它把人類的行為視為一種可調節的反威脅設備。“我從計算機科學和計算機安全背景退了一步，涉足行為科學，積極心理學和游戲設計領域，并開始探索人們的思維方式以及我們如何做出決定，看看我是否可以開始應用安全。”

人工智能和自動化-最終解決方案還是一時的風尚?

認為人為錯誤是無法消除的安全人員通常將改進的技術視為最佳防御措施。威脅形勢在不斷變化。應對方法就是采用創新技術來應對新的攻擊類型。

安全技術是自動化和AI。根據Ponemon Institute去年9月的研究報告，在接受調查的4,000位安全和IT專業人員中，有25%使用AI和機器學習來提高安全性。另有26%的人計劃實施它，還有63%的人認為它將提高安全團隊的效率。

同時，新型威脅通常涉及黑客使用AI和機器學習來破壞目標。

“我們使用AI在安全的越多，壞人會使用它，以及創建一個武器戰，”邁克爾Fauscette，首席研究官說 G2圍觀公司，如引述SiliconANGLE，它匯集商業軟件的評論。“您唯一能做的就是保持最新狀態，盡一切可能做，然后做更多。”

供應商將自動化出售給企業，就像肉眼看不見的手一樣，可以檢測甚至補救威脅。帕洛阿爾托網絡公司業務發展副總裁特里·拉莫斯(Terry Ramos)最近對CUBE表示，早期檢測和自動阻止可以處理大量威脅 。

“一個簡單的惡意軟件?他們不必看那個。那應該自動停止。”他說。

Splunk Inc.正在大力投資于新的安全自動化技術，以滿足不斷增長的趨勢。Splunk安全市場高級副總裁Haihai Song對CUBE表示：“到2020年，“我們預計SOC分析師將完成的90%的一級工作將實現自動化” 。

人力資源

Sedova不相信僅憑技術就能解決黑客不斷增長的網絡攻擊武器庫。攻擊不僅涉及技術，還涉及技術。他們涉及人類。她指出，將人類捍衛者排除在外將是一個大錯誤。

“ [網絡攻擊]是一個人在中間用一堆技術攻擊另一個人，如果我們僅用技術解決問題，我們將繼續犯同樣的錯誤。十年。”塞多瓦說。

Elevate平臺旨在提高組織間的安全智商和良好行為。它的Hacker's Mind虛擬體驗是一種基于小組的游戲化培訓工具。用戶學會像黑客一樣思考，發現并利用漏洞。因此，它們在現實黑客發現漏洞之前變得更加擅長于預防和修復漏洞。

用戶報告的用戶生成事件減少了40%;成功的網絡釣魚攻擊減少了50%;員工報告增加了82%。

它最近發布的Snapshot是一個儀表板，可通過可見性和洞察力衡量個人的進步。它獎勵他們改進，并指出需要改進的地方。Sedova認為，工具不僅將安全性視為技術，還將其視為一種工作和行為方式。

她總結說：“如果我們關注人為因素-為什么犯錯誤，以及如何讓自己從錯誤中學習并做出更好的選擇-我們實際上可以以非常有意義的方式來推動發展，”她總結道。