人类不是最弱的链接，而是关键的安全层：佩里·卡彭特（Perry Carpenter）

使最终用户伪装成更深刻的现实：我们深入的防御还不够深。

长期以来，网络安全一直强调了安全意识运动的重要性，但不安全的行为仍然存在。考虑一下：您知道存在速度限制，但您仍然选择是否服从它们。您起草了新年的决议，可以上健身房，将其写在清单上并感到有动力。但是，当生活变得忙碌时，您将这种锻炼换成沙发。安全意识没有什么不同。我们从理论上都了解政策和协议，但是每当我们单击软件更新中的“明天提醒我”或阅读警告横幅时，我们就会在便利，紧迫性和感知到的威胁之间进行微交易。

意识将知识置于我们的脑海，但这并不能以风险为基础的决策。如果我们想要更安全的行为，我们必须从讲道转移到管理人类风险，工程系统，这些系统承认人们在压力下的行为以及设计控制，以实时指导更好的选择。

人类作为关键安全层

过去的时间已经过去了，“人类是最薄弱的联系”。人类会犯错误，但是这些错误只有在所有技术控制都被绕过之后才浮出水面。如果单击链接的用户足以拆除组织，则意味着安全的电子邮件网关，URL过滤，端点检测，VPN，防火墙，DLP，网络细分等都已超越了。使最终用户伪装成更深刻的现实：我们深入的防御还不够深。我的意思是，让我们真正考虑一下。如果简单的单击可以规避所有出色的安全技术，那么用户真的有过错吗？显然不是。

我们需要将人们作为安全堆栈的关键层，这需要投资，反馈循环和集成工具。人类风险管理策略准确地示意了人们适合您的防御姿势的位置，确定哪些行为构成最大的风险，然后通过技术和过程的混合来围绕这些差距进行矢量。

每个安全计划都有一个目标：将企业风险降至最小化组织的容忍度。人类不是问题。它们是您更广泛的安全堆栈中的重要层。在需要时正确支持时，它们成为有效的防御线，而不是每次违规的替罪羊。

了解现代欺骗策略

本质上，人类风险是基于行为的，取决于人们做什么或不做的事情以及如何放大组织脆弱性。误导性攻击，包括网络钓鱼和深击，利用用户的情感热点，认知启发式和冲动倾向。

人类对叙事的作用，这些叙述验证了他们对世界的看法或引起恐惧，紧迫或好奇心。这就是为什么AI驱动的威胁可以创建个性化的认知恶意软件，这会引起每个人的独特认知杠杆的攻击。

看到人类和机器的这种融合是关键：您不仅可以保护网络，而且要捍卫叙事。这需要防御技术控制，实时行为分析和定制培训，以使思想免受欺骗的侵害。

组织控制和摩擦

我们经常认为安全控制是强大的障碍，可以阻止其轨道上的威胁。但是，当威胁因人类的行为而细微，我们需要摩擦而不是力。战略摩擦涉及在指示风险行为信号的情况下添加微型延期，提醒或升级。例如，持有可疑的电子邮件进行进一步检查，或在连续进行了几次失败的登录尝试后，将帐户冻结在短暂的冷却期内。这样的轻推不会使生产力停止 – 他们建议在不破坏工作流程和危害用户不满的情况下更安全的选择。

人工智能安全和人类监督的案件

组织对自动化的需求差异很大。有些人渴望端到端运行的一键解决方案，以零人触摸产生整洁的报告。其他人，尤其是在受监管的行业中运作的跨国公司，每个关键点都需要人类。这两种方法都有其好处，但是在我们保持人类在循环中的能力方面都有类似的问题。随着响应窗口收缩，决策回路必须加速或断裂。

历史提供了警告性的故事。在一个早期的自动驾驶汽车事件中，一个经过训练的系统来识别行人和自行车分别未能识别出行人行走的自行车，因为该模型未针对这种耦合方案进行训练。这引发了分析麻痹，可悲的是导致死亡。在网络安全方面，类似的情况将是一种新的多态性恶意软件或零日攻击，可以滑动过去的检测工具。如果没有集成的安全阀，例如暂停，沙盒或向后滚动的手段，您可能会在人类甚至知道某些事情是不对劲之前造成伤害。

组织可以通过使用软暂停构建多层控制阀来管理这一点，该阀允许自动警报具有人为批准的选项，坚硬的停顿，可确保完整的沙盒和遏制，直到安全工程师对其进行审查，并立即关闭在预先确定的威胁阈值下的代理工作流程的杀戮开关。该分层安全网可确保您在不牺牲监督的情况下保持敏捷性。

总之，安全意识可能会引发洞察力，但行为塑造了结果。如果我们采用人类风险管理，指导决策和嵌入安全阀的设计系统，我们会建立反映现实的防御能力。在这样做的过程中，我们将人民从可感知的薄弱环节转变为不断发展的安全堆栈中最强的盟友。