人文关怀

良好、直接、真诚的培训是无可替代的。

亲爱的 KV，

我公司的IT部门发送钓鱼邮件来培训员工不要上当受骗。不知何故，这似乎是解决问题的错误方法，但我说不清为什么。我知道现在钓鱼和其他诈骗是一个问题，但肯定有比和员工玩这种游戏更好的方法来处理这个问题。您注意到这种趋势了吗？

EnTrapped

Kode Vicious | The Human Touch: There is no substitute for good, direct, honest training.

亲爱的 EnTrapped，

在我们回答您的问题之前，您可能会觉得阅读我2019年写的专栏文章《CSO 有什么用？》（https://queue.org.cn/detail.cfm?id=3357152）很有帮助。我认为您会发现，在您工作的地方负责安全的人，和我在那里描述的人是同一类人。

是的，钓鱼是一个问题，就像技术领域的所有问题一样，既有好的解决方案，也有趁虚而入的投机分子。任何认为应该对自己员工玩“抓到你”游戏的人——这些员工被迫使用谷歌和微软外包的垃圾邮件系统，这些系统背叛了分布式通信的承诺——都应该在他们过度修剪的硅谷园区草坪上被处以车裂之刑。但是，唉，我听说这种谴责已经过时了。

当然，任何客观地看待这些诱捕行为的人都会看清它们的本质：卑鄙和虐待。你会通过把孩子的手放在火里来教孩子火是热的吗？我不这么认为。但这并不意味着你不能通过构建和销售此类系统来赚钱，因此它们继续扩散，每天都让人恼火，却什么也教不了他们。

当人们忙于工作，被电子邮件、数百万个即时通讯应用程序以及 Slack 这种祸害搞得焦头烂额时，他们偶尔会被内部人士——他们自己的 IT 安全团队——针对他们的钓鱼攻击所迷惑也就不足为奇了。毕竟，谁能比组织内部的人更擅长编写钓鱼信息呢？这些人每诱捕一个人就能从管理层那里获得积分。来自不知名王子承诺石油财富的典型钓鱼信息相对容易识别和忽略，但看起来像是来自 CEO 的信息是人们会查看甚至点击的信息。

在面对此类社会工程攻击时，提供安全通信环境的挑战不仅在于技术；还在于人。正如任何从事计算机安全工作的人都知道的那样，最大的问题出在键盘和椅子之间，或者用现代说法来说，是手机和脸之间。大多数人——我指的是那些不是偏执的安全类型的人——默认情况下信任他人，并且愿意给予他人信任。

以“尾随”为例，未经授权的人通过跟随前面的人进入企业。似乎再多的培训也无法说服大多数人不要“好心”，即使不认识对方也为他人开门。尾随的唯一有效解决方案是在每个允许的入口点安排保安人员执行徽章合规性，并锁定所有其他入口。

为电子邮件创建类似的解决方案根本不切实际，因为电子邮件的意义之一是，只要知道正确的目的地地址，任何人都可以与任何人通信。如果我非常复古地给另一个人寄一封纸质信件，邮政服务（至少在非专制国家）不会打开信封检查里面的信息；它只会投递信件。 *收件人*有责任决定是否对我的慷慨提议采取行动，即分享我可悲去世的母亲“闻所未闻公主”的财富。你能想象如果邮政服务故意发出带有电话号码的虚假邮件请求，然后，当不知情的收件人拨打电话时，他们被告知不应该拨打那个号码，会发生什么吗？

因为电子邮件的工作原理是信任收件人不会上当受骗，所以它也存在同样的陷阱。目前，安全领域的投机分子占了上风。我们构建的系统非常复杂，以至于它们成为常见的滥用目标，而那些从事支票簿安全的人——只是购买投机分子正在销售的任何东西——将继续把你的公司创始人从风险投资那里乞求、借来或偷来的钱交给他们。也许需要有人因陷入这种内部骗局而被解雇而提起诉讼，才能阻止这种祸害，但 KV 对此或任何其他领域都不抱太大希望。

KV 见过的唯一对这些情况有帮助的事情——即人类的弱点胜过技术解决方案的情况——是良好、直接和诚实的一对一或小组培训。我指的不是员工每年被迫观看的关于这些主题的荒谬视频，而是与那些可以向任何听众解释这些问题的人进行的对话。最好的安全计划不是由专门的安全团队运行的，而是由来自组织各个部门的参与者组成，他们在安全专业人员的帮助和指导下，学习如何向与他们一起工作的人解释这些问题。

这种计划通常被称为嵌入式，它是一种比任何替代方案都更好、更有效的模式。一些组织以这种方式工作，将安全人员和想法嵌入到每个技术和非技术团队中。事实上，在过去的生活中，KV 不得不帮助一个法律团队和一组 C 级高管理解基本的计算机安全知识。值得庆幸的是，这段经历没有被记录下来，而且比电影《教条》中的董事会场景要好一些。

在行业中很少见到这种安全计划，但它们确实存在。似乎解决人类问题的唯一方法是人文关怀。

George V. Neville-Neil 从事网络和操作系统代码的编写工作，以此为乐并获利。他还教授与编程相关的各种主题的课程。他的兴趣领域是计算机安全、操作系统、网络、时间协议以及大型代码库的维护和管理。他是《The Kollected Kode Vicious》的作者，并与 Marshall Kirk McKusick 和 Robert N. M. Watson 合著了《The Design and Implementation of the FreeBSD Operating System》。近 20 年来，他一直是以 Kode Vicious 而闻名的专栏作家。自 2014 年以来，他一直是剑桥大学的工业访问学者，参与了多个与计算机安全相关的项目。他在马萨诸塞州波士顿的东北大学获得了计算机科学学士学位，并且是、Usenix 协会和 IEEE 的成员。他的软件不仅在地球上运行，而且还作为 VxWorks 的一部分部署在 NASA 的火星任务中。他是一位狂热的自行车爱好者和旅行家，目前居住在纽约市。

最初发表于 Queue 第 21 卷，第 2 期——
在数字图书馆中评论本文

更多相关文章

João Varajão, António Trigo - 评估 IT 项目的成功：感知与现实
本研究通过提供对 IT 项目成功的新见解，对实践、研究和教育具有重要意义。它通过报告项目成功（而不仅仅是项目管理成功），基于几个客观标准，例如项目后期阶段客户对可交付成果的使用、客户雇用与项目相关的支持/维护服务、客户签订新项目以及客户向潜在客户推荐供应商，从而扩展了关于项目管理的知识体系。研究人员可以找到一组标准，他们可以在研究和报告 IT 项目的成功时使用这些标准，从而扩展当前对评估的看法，并有助于得出更准确的结论。

Abi Noda, Margaret-Anne Storey, Nicole Forsgren, Michaela Greiler - DevEx：是什么真正驱动生产力
开发者体验侧重于开发者的实际体验以及他们在日常工作中遇到的摩擦点。除了提高生产力外，DevEx 还通过提高效率、产品质量和员工保留率来推动业务绩效。本文提供了一个理解 DevEx 的实用框架，并提出了一个测量框架，该框架将来自开发者的反馈与关于他们与之交互的工程系统的数据相结合。这两个框架为领导者提供了清晰、可操作的见解，了解要衡量什么以及在哪里关注以提高开发者生产力。

Jenna Butler, Catherine Yeh - 设身处地为他人着想
新冠疫情在许多方面改变了人们的工作方式，但许多结果本质上是矛盾的。对一个人有效的方法可能对另一个人无效（甚至对同一个人第二天也无效），我们尚未弄清楚如何准确预测什么对每个人都有效。正如您在此处描述的综合人物角色中所见，有些人与隔离和孤独作斗争，很难与他们的团队进行社交联系，或者发现与远程团队进行混合工作的时间压力令人难以承受。其他人则喜欢这种新的工作方式，享受更多与家人共处的时间、白天锻炼的更大灵活性、更好的工作/生活平衡以及更强烈的为世界做出贡献的愿望。

Bridget Kromhout - 容器无法修复你破碎的文化（以及其他残酷的真相）
我们经常关注技术反模式，而忽略了我们社会结构内部的类似问题。剧透警告：许多看起来是技术难题的解决方案可以通过检查我们与他人的互动来找到。让我们来谈谈在与那些被称为人类的讨厌生物一起工作时，你需要了解的五件事。