在决策过程中,我们并不总是像自己想象的那么明智。这一点在日常生活中体现得非常明显,从午餐吃什么之类微不足道的小事,到买什么类型的车,选什么地方定居之类的人生大事,谁能保证每一个决定都是理性而明智的呢?
有些认知偏差,或者偏离理性的判断,会影响我们决策的方方面面。如果认为此类不理性思维不会导致网络安全风险视角扭曲,或者不会在企业系统防护上做出失策判断,那就真是太蠢了。以下便是安全人员应该特别注意的9种认知误区:
1. 可得性启发法大脑中容易走的通路,我们自己容易想到的事情也会认为它在世界也上容易发生,自己的经历被我们投射到了世界。这是我们过于依赖最先出现在脑海的东西而产生的偏见。容易陷入可得性启发的人,会将注意力放在最近的事件上,无论最近的事件是蠕虫攻击(比如00年代早期发生的那些)、勒索软件(现在流行的)、僵尸网络、拒绝服务攻击,还是什么最近的趋势。这是赶场救火的好方式,却是打造可持续风险管理项目的最烂方式。
2. 确认偏差这种偏差发生在我们寻找和解释新信息以证实当前观点的时候,忽视了与观点相悖的数据或意见。信息安全领域中,这种现象多见于高管们认为技术可以提供大部分防御,只看到设备的成功之处,忽视其中缺陷,导致夸大真实有效性的时候。
3. 信息偏差若有信息偏倚,安全人员就会发生评估失误或信息错误。在着手威胁研究、公司评估,或新安全控制有效性测评的时候,常会出现此种现象。或许有高管认为信息越多越好,却不知道哪些信息更具价值,也不知道不完全的信息也可能得出强力决策。这也被称为观察偏倚 。
4. 鸵鸟效应日常生活中很常见的一种现象。比如,不能面对谈及自身财务状况的痛苦,不愿听到自家熊孩子的斑斑劣迹。网络安全界也没什么不同,软件厂商不想知道被安全研究人员发现的漏洞,企业高管不想处理漏洞扫描的结果。
5. 创新支持倾向这是一种只要是新技术就要推广使用的误区。技术领域一直是这样,一种新解决方案或新技术在市场上冒头,交易展会和媒体疯狂报道推介,然后这个概念就炒热了。在安全领域,大数据、威胁情报、云安全之类的技术,或者随便什么当前趋势,就把创新支持偏见体现得非常明显了。要注意的是,那些推介最新创新的人,或许自己也是被创新支持偏见蒙蔽而没看到其中局限性的人。
6. 幸存者偏差幸存者偏差是一种选择偏差。生活中的某些方面可见,比如,只看到别人的成功,不看别人之前的失败,觉得别人成功创业,自己也能轻松成功。这种思维方式,会影响到风险管理决策。比如,看着别家公司没遭受公开的毁灭性的数据泄露,就自动以为自家公司遭数据泄露的几率也非常小。
7. 零风险偏好社会上的零风险偏好那真是看得多了,尤其是在看待恐怖主义、犯罪和司法,以及公共安全问题上。困难与挑战往往是在彻底清除犯罪和风险的框架下讨论的。这明显很荒谬。犯罪和风险可被管理或最小化,但不可能彻底清除。网络安全上也是如此。但是,听听人们怎么谈论信息安全的。根本不是在可接受的风险减小的框架下,而是要绝对的减少风险。
8. 跟风随大流厂商和安全高管间常见随大流效应。某年的主要安全会议上,大家谈论的全都是大数据,之前一年是管理、风险和合规的仪表板。咱们还是不要跟风炒作,把注意力集中在公司具体的需求上吧。
9. 自动化偏见我们已经被计算机产生的仪表盘和控制台淹没了。目前的趋势就是要信任这些系统上显示的信息,而自动化偏见,正是这一信任此类系统的趋势。我们很容易就忽视掉其他可能性,而专宠机器显示的东西。维基百科的自动化偏见条目解释为:“该偏见以排拒与纳入上的失误呈现:排拒上的自动化偏见,发生在人们依赖自动化系统,但系统根本暴露不出问题时;纳入上的自动化偏见,则发生在人们基于自动化系统传递的错误建议做决策的时候。