如何消解冷漠和虚无主义?传授安全知识的可行性方法

  • 社会工作经常比技术工作更复杂,我们可能需要一点窍门

数字安全并不是一个可选的话题,也不是必须固定提供给某些群体和社区的能力和资源;它是如今所有人都会面对的无处不在的威胁的唯一解决方案,即便不是敏感人士、不是政府的攻击目标,您也无法确保自己不是骇客、恶意行为者和各种勒索软件的目标。

安全知识应该是给所有人的,因为如今所有人都在互联网上,绝大多数人使用着相同的软件和设备。虽然我们应该鼓励由专业人士组成的快速响应协助组等方案,但仅仅是这样可能还不够,我们应该追求让更多人理解并熟练使用现成的技术来保护自己,这样才能从跟不上避免大部分威胁。

于是,安全知识培训在任何国家都是必不可少的基础设施。但是参与培训项目的工作人员往往会遇到很多难题,导致工作进展缓慢,甚至完全无效。在中国我们曾经听说过协助者帮助异议人士去除了不安全应用并安装了 Tor,但没过多久他们又装回了360。

安全知识培训就是要避免这样的事发生。我们的目标并不是让人们仅仅知道该用什么不该用什么,而是要最终促成一种安全的思考方式,让人们能够主动去想到自己需要保护什么,以及如何做,或者通过什么渠道获得援助。

那么组织一场安全知识培训,除了丰富的知识之外,您还需要些什么?

如果您的受众没有动力参与和学习,即使是最好的计划、最专业的培训,结果也很难进行。有时,作为培训师,您不仅要解释数字安全的内容和方式,还要解释原因;关于参与者为什么要关心数字安全?而且,要让人们知道,他们为什么要采取行动来发展个人安全?

并不是每一位长期遭受当局恐吓威胁的人都能够深刻理解数字安全的重要性。在中国,这似乎不需要过多解释了,所有人都能看到敏感人士对实名制的热忱。于是这就是培训师需要面对的挑战。

除了一般的提示和技巧之外,您可能会遇到几种类型的学习者,他们需要额外的动力才能激发关心和行动。

激励受众的最佳方式是:真诚和善解人意。准备好一些你自己的现实经历也许会很好用。

您是否偶然点击了网络钓鱼链接?有没有使用过不太强的密码?是什么促使你学习更多或改变你的习惯?关于你自己的教训和经验的故事可以更快速地与你的听众之间建立信任,并鼓励他们思考自己的动机。

但是,请注意,要避免让你的故事听起来太可怕或令人生畏。恐惧是动机杀手,可能导致“安全瘫痪”或其他类型的虚无主义。有动力的学习者应该在理想情况下感受到能力和积极性,而不是无助。

最后,要注意学习者在整个培训过程中如何处理概念和任务。人们很可能出现以下几种态度(甚至更多!),并且,你发现和回应学习者的动机的效果越好,他们就越有动力开始学习和行动。所以,掌握最常见的抵触性动机的应对方式是必要的。

我们先来看四个最常见的抵触 — — 在中国和全球很多国家都同样的常见。

1、冷漠

“我没什么可隐瞒的”。你一定反复听过这样的话,对吧?

具有这种态度的学习者通常不会在他们的数字隐私和安全方面感受到个人利害关系,因此不会理解到采取行动的迫切性。他们可能会将数字安全概念与高调的国家行为者、告密者和公众人物联系起来,而不是像他们自己这样的“普通”人。

那么这样的时候作为培训师,你可以怎么办?

谈论威胁建模应该作为第一步 — — 问题“你想保护什么?” — — 可以帮助指导这类学习者找到自己在数字安全方面的利益。一个共同的动机可以是提醒学习者在亚马逊、PayPal 或 Venmo 等任何商业网站上保护信用卡和银行账户信息安全的重要性。通常在“人物搜索”网站上找到的信息 — — 如全名、家庭住址和家庭关系等 — — 都可能成为学习的警示和激励。

IYP 在社交工程学演示中介绍过诸多信息挖掘工具,都可以派上用场,将学习者遗漏的面包屑摆在他们面前,人们就有可能会开始重视隐私问题。

参考下面的演示:

“没有什么可隐瞒的”变得如此占据主导地位,这在任何国家都一样,以至于当我们谈论隐私时,我们都忘记了是什么在起作用,这也是很常见的。如果您要涵盖与隐私相关的主题,或者您认为冷漠最有可能是参与者之间的共同反应,那么您可能需要将一个对话或活动包含进去,以探讨隐私是什么,以及它对人们意味着什么。

最后,有时最初冷漠的学习者会根据自己的威胁模型做出合理的决定。确定了他们想要保护的内容,人们就会主动去衡量自己面对的风险,他们可能只是决定某种隐私保护不值得他们花费大量的时间、资源或精力。您作为培训师的工作不是要“说服”他们“应该”采取某些行动,而是帮助他们做出明智的决定

2、安全瘫痪

“数字安全威胁已经到了不堪重负的程度,黑客几乎无所不能,我完全不知道该从哪里开始“。这样的态度也为数不少。

这种学习者可能会关心数字安全,但却在一开始就受到了太多惊吓。互联网上的信息和知识真的是有点铺天盖地了,通常,具有这种态度的学习者会被保护其个人信息的任务所淹没。正因此,信息流通没能起到作用。

也许他们受到了有关泄密和数据泄露的新闻报道的轰炸,或者有经历过针对个人的骚扰、围观了亲朋好友的被骚扰经历。他们甚至可能在过去接触过基于恐吓的培训,这使他们面对各种数字威胁时感到不知所措和无助。

在这种情况下,强调一对一的协助可能会有效。同时,承认现实中很可能无法在线控制一个人的所有信息 — — 这没关系。相反,我们可以将目标从删除所有个人信息转移到最小化我们的数据面包屑

采取的第一步可能包括谷歌搜索自己(可能要在一个值得信赖的朋友的支持下,以帮助减轻与此相关的任何恐惧),调查社交媒体设置,或在人物查询网站上选择退出选项。

我们的任务是尽可能地了解被在线提供的关于我们自己的信息,然后根据我们关心和担心的事来减少它。如果我们可以最大限度上减少这些能控制我们的信息,那么当我们使用的公司服务或社交媒体平台出现数据泄漏时,我们就能处于更有利的位置,鼓励人们更改其默认设置。

3、技术混乱

“除非我先弄清这些技术概念究竟都是些什么,否则我无法采取行动“。这样的初始态度也比较常见。

这种学习者可能在技术上不堪重负。他们了解不同类型的设备、操作系统、应用程序、软件、浏览器扩展和加密。虽然他们有丰富的信息,但他们不知道从哪里开始,或者无法确切地知道所有这些事是如何联系起来的。

通常,这些学习者在技术方面的经验比普通培训师少,但他们注重细节并且谨慎。他们可能是老年人,或来自资源匮乏的背景,这些背景导致他们无法始终如一地使用尖端设备和软件。就像安全瘫痪那样,这样的学习者通常不知道从哪里开始。

作为培训师,您可以帮助他们专注于技术背后的安全原则。技术变化很快并且可能令人困惑,但基本的安全原则 — — 威胁建模/风险评估、权衡、什么最重要和应该信任什么 — — 都可以作为技术变革和发展的坚定指南。

尤其是,需要强调安全不仅仅是工具问题,而是一种需要随着时间的推移采取的“安全心态”。

4、虚无主义

“黑客什么都能做到,从来没有绝对的安全。那么我为什么还要斤斤计较?“这类态度如今越来越常见了。详见这篇文章中的分析《什么是高峰冷漠?从白宫到微信

有这种态度的学习者很可能是曾经关心过威胁情报或者受到过不专业的训练,但也很可能因为他们真的不知道该怎么做。或许更准确地说,他们并不认为自己有能力做多少事。

对这样的学习者来说,可以使用的一个常用概念是“门锁安全”。让他们思考自己家门口的锁。它可能是正常的锁舌。指出该锁可以通过多种方式受到损害,如果有人决定突破那扇门,他们可能就会做到。但是你仍然需要定期锁门,并在这种基本的安全水平上找到更多的保证。

您甚至可以将类比扩展到更大的安全层。也许你可以想象一个家里有特别昂贵物品的人拥有一个安全系统保护自己家的周边。或者,也许他们在房子里面有一个保险箱可以存放贵重物品和重要文件。

鼓励学习者以类似的方式接近数字安全。相当于“门锁”的数字安全性可能是容易想象的、合理的且值得使用的,即使它是不完美和不完整的。对于更高价值的资产,还可以实施额外的安全层(类似于保险箱或家庭安全系统)。

强调完全可以实现的目标非常重要,如果你强调那些不安全的或更昂贵的目标,人们有可能最先意识到的是障碍,而不是可行性。

最后

将知识写成文章或许通过互联网能得到有效的传播,但是不一定就能起到切实的作用,就如 IYP 在社交工程学演示中所强调的那样,关键在于实践,当您在尝试和练习这些方法后就能摸索到更多属于自己的技巧,您将在安全领域更加娴熟。

思考方式培养也许是最高效的一种路径。还是那句话:如果你不想被攻击,那么就要像攻击者那样去思考

一些小游戏的邀请都能是很好的办法,比如邀请人们构建攻击树,关于如何偷一辆汽车?如何不买票进入电影院?如何获得一个人的银行账户和密码?如何伪装成目标的熟人发送钓鱼电子邮件?等等,可以是任何题目,这样是为了通过激发人们去思考攻击者的想法,以获得保护性措施的灵感。

构建攻击树的游戏可以将所有现实中的安全保护联系起来,能做到更直观,更易于接受。

任何一种安全系统的安全性都取决于它最脆弱的环节。攻击树思考方式可以引领人们去重点探索那些最脆弱的部分,从而理解自己该怎么做才能避免损失。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据