מדוע ייעוץ אבטחת מחשבים מבלבל יותר ממה שהוא צריך להיות

אם אתה מוצא את הנחיות אבטחת המחשב שאתה מקבל בעבודה מבלבלות ולא מועילות במיוחד, אתה לא לבד. מחקר חדש מדגיש בעיה מרכזית באופן שבו הנחיות אלו נוצרות, ומתאר צעדים פשוטים שישפרו אותם - וכנראה יהפכו את המחשב שלך לבטוח יותר.

על הפרק עומדות הנחיות אבטחת המחשב שארגונים כמו עסקים וסוכנויות ממשלתיות מספקים לעובדיהם. הנחיות אלו נועדו בדרך כלל לסייע לעובדים להגן על נתונים אישיים ומעסיקים ולמזער סיכונים הקשורים לאיומים כגון תוכנות זדוניות והונאות דיוג.

"כחוקר אבטחת מחשבים, שמתי לב שחלק מעצות אבטחת המחשב שקראתי באינטרנט הן מבלבלות, מטעות או פשוט שגויות", אומר בראד ריבס, מחבר המקביל של המחקר החדש ועוזר פרופסור למדעי המחשב בצפון. אוניברסיטת קרולינה סטייט. "במקרים מסוימים, אני לא יודע מאיפה מגיעות העצות או על מה הן מבוססות. זה היה הדחף למחקר הזה. מי כותב את ההנחיות האלה? על מה הם מבססים את עצותיהם? מה התהליך שלהם? האם יש דרך שנוכל להשתפר?"

לצורך המחקר ערכו החוקרים 21 ראיונות עומק עם אנשי מקצוע שאחראים על כתיבת הנחיות אבטחת מחשבים עבור ארגונים לרבות תאגידים גדולים, אוניברסיטאות וסוכנויות ממשלתיות.

"העיקר כאן הוא שהאנשים שכותבים את ההנחיות האלה מנסים לתת כמה שיותר מידע", אומר ריבס. "זה נהדר, בתיאוריה. אבל הכותבים לא נותנים עדיפות לעצות החשובות ביותר. או, ליתר דיוק, הם לא ירידת ערך הנקודות שפחות חשובות משמעותית. ומכיוון שיש כל כך הרבה עצות אבטחה שצריך לכלול, ההנחיות יכולות להיות מכריעות - והנקודות החשובות ביותר הולכות לאיבוד בדשדוש".

החוקרים גילו שאחת הסיבות לכך שהנחיות אבטחה יכולות להיות כל כך מכריעות היא שכותבי הנחיות נוטים לשלב כל פריט אפשרי ממגוון רחב של מקורות מוסמכים.

"במילים אחרות, כותבי ההנחיות אוספים מידע אבטחה, במקום אוצרים מידע אבטחה עבור הקוראים שלהם", אומר ריבס.

בהסתמך על מה שלמדו מהראיונות, החוקרים פיתחו שתי המלצות לשיפור קווי אבטחה עתידיים.

ראשית, כותבי קווים מנחים צריכים קבוצה ברורה של שיטות עבודה מומלצות כיצד לאצור מידע כך שהנחיות האבטחה יגידו למשתמשים גם מה הם צריכים לדעת וגם כיצד לתעדף מידע זה.

שנית, כותבים - וקהילת אבטחת המחשבים בכללותה - זקוקים למסרים מרכזיים שיהיו הגיוניים לקהלים בעלי רמות שונות של יכולת טכנית.

"תראה, אבטחת מחשבים היא מסובכת", אומר ריבס. "אבל הרפואה היא אפילו יותר מסובכת. עם זאת, במהלך המגיפה, מומחי בריאות הציבור הצליחו לתת לציבור הנחיות פשוטות ותמציתיות למדי כיצד להפחית את הסיכון שלנו להידבק ב-COVID. אנחנו צריכים להיות מסוגלים לעשות את אותו הדבר עבור אבטחת מחשבים."

בסופו של דבר, החוקרים מגלים שכותבי עצות אבטחה זקוקים לעזרה.

"אנחנו זקוקים למחקר, הנחיות וקהילות תרגול שיכולות לתמוך בכותבים האלה, מכיוון שהם ממלאים תפקיד מפתח בהפיכת תגליות אבטחת מחשב לעצות מעשיות ליישום בעולם האמיתי", אומר ריבס.

"אני גם רוצה להדגיש שכאשר יש אירוע אבטחת מחשב, אסור לנו להאשים עובד כי הוא לא עמד באחד מאלף כללי האבטחה שציפינו שיפעלו עליו. אנחנו צריכים לעשות עבודה טובה יותר ביצירת קווים מנחים שקל להבין וליישם".

המחקר, "מי ממציא את הדברים האלה? ראיון מחברים כדי להבין כיצד הם מייצרים עצות אבטחה", יוצג בסימפוזיון USENIX בנושא פרטיות ואבטחה שמיש, שיתקיים ב-6-8 באוגוסט באנהיים, קליפורניה. המחבר הראשון של המחקר הוא לורנצו ניל, דוקטור. סטודנט במדינת NC. המאמר נכתב על ידי הרשיני סרי ראמולו מאוניברסיטת ג'ורג' וושינגטון ועל ידי יסמין אקאר מאוניברסיטת פדרבורן ואוניברסיטת ג'ורג' וושינגטון.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.darkreading.com/operations/why-computer-security-advice-is-more-confusing-than-it-should-be