اگر دستورالعملهای امنیتی رایانهای که در محل کار دریافت میکنید گیجکننده هستند و چندان مفید نیستند، تنها نیستید. یک مطالعه جدید یک مشکل کلیدی در نحوه ایجاد این دستورالعملها را برجسته میکند و مراحل سادهای را بیان میکند که آنها را بهبود میبخشد - و احتمالاً رایانه شما را ایمنتر میکند.
موضوع، دستورالعملهای امنیت رایانهای است که سازمانهایی مانند مشاغل و سازمانهای دولتی به کارکنان خود ارائه میکنند. این دستورالعملها عموماً برای کمک به کارمندان طراحی شدهاند تا از دادههای شخصی و کارفرما محافظت کنند و خطرات مرتبط با تهدیدهایی مانند بدافزار و کلاهبرداریهای فیشینگ را به حداقل برسانند.
براد ریوز، نویسنده مقاله جدید و استادیار علوم کامپیوتر در North میگوید: بهعنوان یک محقق امنیت رایانه، متوجه شدهام که برخی از توصیههای امنیتی رایانهای که به صورت آنلاین میخوانم گیجکننده، گمراهکننده یا کاملاً اشتباه هستند. دانشگاه ایالتی کارولینا «در برخی موارد، من نمیدانم این توصیه از کجا میآید یا بر چه اساس است. این انگیزه برای این تحقیق بود. چه کسی این دستورالعمل ها را می نویسد؟ آنها توصیه های خود را بر چه اساسی استوار می کنند؟ روند آنها چگونه است؟ آیا راهی وجود دارد که بتوانیم بهتر عمل کنیم؟»
برای این مطالعه، محققان 21 مصاحبه عمیق با متخصصانی که مسئول نوشتن دستورالعملهای امنیت رایانه برای سازمانها از جمله شرکتهای بزرگ، دانشگاهها و سازمانهای دولتی هستند، انجام دادند.
ریوز میگوید: «نکته کلیدی در اینجا این است که افرادی که این دستورالعملها را مینویسند سعی میکنند تا حد امکان اطلاعات بیشتری ارائه دهند. از نظر تئوری عالی است. اما نویسندگان توصیه هایی را که از همه مهمتر است در اولویت قرار نمی دهند. یا، به طور خاص، آنها این کار را نمی کنند محروم کردن نکاتی که به طور قابل توجهی اهمیت کمتری دارند. و از آنجایی که توصیههای امنیتی زیادی برای گنجاندن وجود دارد، دستورالعملها میتوانند طاقتفرسا باشند – و مهمترین نکات در این میان گم میشوند.»
محققان دریافتند که یکی از دلایلی که دستورالعملهای امنیتی میتواند بسیار طاقتفرسا باشد این است که نویسندگان راهنما تمایل دارند هر مورد ممکن را از طیف گستردهای از منابع معتبر ترکیب کنند.
ریوز میگوید: «به عبارت دیگر، نویسندگان راهنما به جای اینکه اطلاعات امنیتی را برای خوانندگان خود تهیه کنند، اطلاعات امنیتی را جمعآوری میکنند.
محققان با تکیه بر آنچه از مصاحبه ها آموختند، دو توصیه برای بهبود دستورالعمل های امنیتی آینده ارائه کردند.
اول، نویسندگان راهنما به مجموعه ای واضح از بهترین شیوه ها در مورد نحوه نگهداری اطلاعات نیاز دارند تا دستورالعمل های امنیتی به کاربران بگوید که چه چیزهایی باید بدانند و چگونه آن اطلاعات را اولویت بندی کنند.
دوم، نویسندگان - و جامعه امنیت رایانه به عنوان یک کل - به پیامهای کلیدی نیاز دارند که برای مخاطبان با سطوح مختلف صلاحیت فنی معنادار باشد.
ریوز می گوید: «ببینید، امنیت رایانه پیچیده است. اما پزشکی حتی پیچیده تر است. با این حال، در طول همهگیری، کارشناسان بهداشت عمومی توانستند دستورالعملهای ساده و مختصری را در مورد چگونگی کاهش خطر ابتلا به کووید به مردم ارائه دهند. ما باید بتوانیم همین کار را برای امنیت رایانه انجام دهیم.»
در نهایت، محققان دریافتند که نویسندگان مشاوره امنیتی به کمک نیاز دارند.
ریوز میگوید: «ما به تحقیقات، دستورالعملها و جوامع عملی نیاز داریم که بتوانند از این نویسندگان حمایت کنند، زیرا آنها نقش کلیدی در تبدیل اکتشافات امنیت رایانه به توصیههای عملی برای کاربردهای دنیای واقعی دارند.
من همچنین میخواهم تاکید کنم که وقتی یک حادثه امنیتی رایانهای رخ میدهد، نباید کارمندی را سرزنش کنیم زیرا آنها یکی از هزاران قانون امنیتی را که ما انتظار داشتیم آنها را رعایت کنند، رعایت نکردند. ما باید کار بهتری برای ایجاد دستورالعملهایی انجام دهیم که به راحتی قابل درک و اجرا باشند.»
مطالعه، "چه کسی با این چیزها می آید؟ مصاحبه با نویسندگان برای درک نحوه ارائه مشاوره امنیتی"، در سمپوزیوم USENIX در مورد حریم خصوصی و امنیت قابل استفاده ارائه خواهد شد، که در 6 تا 8 اوت در آناهیم، کالیفرنیا برگزار می شود. اولین نویسنده این مطالعه، لورنزو نیل، دکتری است. دانشجو در ایالت NC این مقاله توسط هارشینی سری رامولو از دانشگاه جورج واشنگتن و یاسمین آکار از دانشگاه پادربورن و دانشگاه جورج واشنگتن نوشته شده است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/operations/why-computer-security-advice-is-more-confusing-than-it-should-be