面向个人用户的数据安全产品,为什么不受欢迎
2024-10-21 21:7:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
由于人们不喜欢使用过程中的麻烦,独立的安全工具将难以获得普及。如果这些工具没有“嵌入”到它们所保护的核心产品和工作流程中,它们就不会是无缝衔接的。此外,消费者并不习惯为安全付费。由于传统的 B2C 软件变现方式,如将用户数据出售给广告商,本质上与隐私的概念相悖,我们将继续在 B2C 安全解决方案的盈利上面临挑战。
尽管我们当然需要尽力提高大众对隐私、安全和数字安全的认识,但我们必须清楚,技术提供商,特别是大型生态系统参与者,最终将负有确保其生态系统内人员安全的责任。

数据安全似乎是一门注定面向企业的生意,市面上偶尔出现过一面向个人的安全产品,但也都限制在一些狭小的门类里,比如个人隐私相册密码管理工具。这些安全工具商业化也都不太成功,付费者寥寥,甚至都有开源版本的替。

作者在 10 年前和当时的团队也做过很多面向个人用户的数据安全产品的尝试,比如带 Key 的加密硬盘、全品类网盘的透明加密、邮箱附件加密产品、以及隐私相册,没错,我也做过加密相册,主打的还是防艳照门类似事故的发生,这是一个稍微难以启齿的创新,创业者总有那么一些瞬间,想捞点偏财。但很遗憾的是,面向 C 端的数据安全产品尝试,无一成功。

偶然看到了国外关于此类话题的讨论,我转译过来,也供想做 C 端数据安全产品的同仁们参考。

01


2C 安全产品,不是个好主意

每隔一段时间,我就会参与到关于面向个人用户的网络安全的讨论中,而每次讨论的结果都是相同的:建立一个面向个人(B2C)的安全公司并不是一个好主

对于许多安全从业者来说,仅仅想到个人对保护自己数据不感兴趣这一点就令人费解。我们非常容易有的错觉是,认为每个人都应该理解隐私和安全的重要性,并且在这种认识的驱动下,去采取必要的措施来保护个人的数据安全。但现实是,在这个看似无误的逻辑假设指导下,那些安全从业者,那些尝试去呼唤和培养用户个人安全意识的公司,无一没有遭受到挫败。

在这篇文章中,我将审视面向个人用户的安全现状,探讨为什么人们不重视安全,哪些类型的 B2C 安全产品已被采用,而哪些没有,以及面向个人用户的未来安全趋势会是如何。

02

人,不擅长评估风险

有很多研究解释了为什么人类在估计和理解风险方面非常差。我们喜欢认为自己是根据事实信息做出决策的理性行动者,而实际上,我们依赖于被称为启发式的心理捷径,并受到各种类型的认知偏见的影响,比如可得性偏差、幸存者偏差和光环效应偏差。

美国国家安全委员会制作的一幅信息图很好地说明了美国人常常担心的是错误的事情。例如,它强调了以下几点:

1、在乘坐汽车时死亡的概率(1/470)远高于因雷击而死亡的概率(1/164,968)。

2、意外死亡的概率(1/31)远高于被枪支袭击的概率(1/358)。

3、在行走或过马路时被撞死的概率(1/704)远高于被蜜蜂、黄蜂或大黄蜂蜇伤的概率(1/55,764)。

(美国国家安全委员会)

03


世界上求助的呼声过多

大多数人听不到网络安全消息

每天,安全从业者都会被大量的关键漏洞和影响全球数千万人的安全事件所淹没。在 2017 年披露的雅虎数据泄露事件中,一群黑客入侵了 30 亿个账户。2020 年,成人视频流媒体网站 CAM4 的服务器遭到入侵,暴露了超过 100 亿条记录。2021 年,超过 7 亿(92%)的 LinkedIn 用户数据在暗网上被出售。2022 年,中国电商巨头 xxxx 遭遇了一次重大数据泄露,暴露了 11 亿客户的数据。2023 年,DarkBeam 数据泄露事件暴露了超过 38 亿条记录

这些只是其中的一些头条新闻。我们每天都收到这样的消息,到目前为止,看起来几乎每一家大公司都遭遇过数据泄露。即使是像 SolarWinds、Kaseya、Okta 和微软这样以提供安全为己任的公司,也都遭受过严重的安全事件。

因为绝大多数的安全从业者每周都会听说数十起安全事件,所以感觉整个世界都在分崩离析。然而,实际情况是,非安全领域的人们甚至看不到这些新闻的5%。社交媒体算法和我们的紧密网络让我们觉得这些新闻无处不在,而外界的人似乎选择视而不见。相反,有许多充满激情的变革者在努力让世界关注他们各自的问题:医疗专业人员谈论健康作为一个国家安全问题,气候活动家谈论人类对地球的影响及我们自身应对气候变化的能力,经济学家解释为什么贫困和房地产价格是一个国家安全灾难,创新教育家对仍然按照前计算机时代的方式教授相同科目、相同理念给下一代的年轻人的未来发出警告,等等。
对于我们网络安全业内的人来说看似头等重要的问题,其实只是社会众多侧面之一,也是众多需要解决的问题之一而已。

04


大多数个人根本感受不到

网络不安全能有什么痛苦

不仅大多数人没有听说过重大的安全漏洞,而且当他们自己的数据被泄露时,绝大多数人也没有感到任何痛苦。

以下是普通人在面对安全和隐私相关问题时可能会受到影响的一些方式:

1、有人获得了他们的电子邮件地址并用它来发送垃圾邮件。虽然这确实会造成不便,但通常不会给受害者带来无法弥补的伤害。

2、点击某个链接会在受害者的电脑上安装广告软件。实际上,这意味着偶尔会有让人烦心的消息弹出在屏幕右下角,需要关闭它。这很麻烦,但并不致命。

3、人们信用卡数据被窃取的情况并不少见,这通常会导致他们的银行账户出现欺诈性收费。我也曾几次遇到这种情况;在每一种情况下,银行通常会发行一张新卡,并退还损失的金额。

我并不是想低估安全事件对人们生活的影响。的确存在一些家庭失去他们几十年积累的所有储蓄,个人生活的私密细节被泄露导致无法挽回的损害,甚至生命丧失的情况。然而,大多数人把这些故事看作是特例,而不是认为这些事情有可能会影响到他们自己。

很难因此而责怪人们的这种缺乏意识。尽管我们的数据在暗网上只卖几分钱,但大多数人除了收到数据泄露通知邮件和一些免费的身份监控解决方案之外,并没有感受到黑客事件带来的实际影响,而大多数人并不明白这些解决方案的价值所在。即使赔偿被视为“历史性”的,但从个人的角度来看,并没有真正改变他们的生活。

05


B2C 安全工具的困境

向那些不了解安全重要性、不相信自己会受到安全事件影响、并且在最敏感的数据被曝光时也没有遭受损失的消费者销售安全产品是一项艰难的任务。

唯一在消费者中获得主流采用的安全解决方案是虚拟私人网络,即 VPN。具有讽刺意味的是,这一现象的发生与安全性关系不大:个人使用 VPN 观看盗版电影,在美国以外地区流媒体播放影片,并且在某些国家,用于观看成人内容和访问被审查机构屏蔽的网站。

近年来,推动密码管理器的采用成为趋势,但进展并不顺利。尽管付出了所有努力,B2C 安全初创公司发现,让足够多的消费者采用安全工具仍然是一个艰巨的任务。

有两个因素使得向消费者销售安全产品尤其困难:
1、人们不喜欢为软件付费。多年来,“免费”解决方案使得公司通过将客户数据出售给广告商或营销自己的产品来获利,这导致了消费者期望软件可以免费提供的情况。
2、安全解决方案引入了麻烦而人们如此厌恶摩擦以至于他们会尽一切可能去避免它。让人们花钱购买一个使他们生活变得更复杂的产品是一件很难的事。

一些公司尝试绕过这些限制。例如,The Agency(机构)将安全作为员工福利提供,这样个人就不需要为软件付费。BlackCloak,一家为高管提供安全保障的公司,也采取了类似的方法。挑战在于,尽管竭力让安全产品对个人来说是“免费”的,但这些产品继续引入的麻烦使得它们的主流采用成为一个艰巨的任务。

06


未来的解决办法:接受并拥抱人性

尽管保护个人和让个人帮助保护企业的任务看起来像是不同的问题,但它们有着共同的原因:那就是我们的人性。
我们受到一系列认知偏见的影响,加上我们天生避免痛苦和逃避麻烦的倾向,以及我们对风险的理解能力不足。几十年来,网络安全领域一直专注于解决技术问题,把人视为“最薄弱的环节”,并假定只要强迫人们变得更加“意识到”安全问题,就能神奇地改变他们的本性。
但这并不会发生。
攻击对手之所以能够战胜安全团队,其中一个核心原因是他们了解人们,了解他们的恐惧、动机和行为驱动力,并学会了利用这些来达到他们的目的。当人们被催促迅速行动,当他们受到威胁,当他们出于好奇或恐惧时,往往会做出非理性的行为。任何的安全意识培训都无法改变这一点。
为了设计一个更安全的未来,我们首先需要做的是接受人性,并为此设计安全措施,而不是与之对抗。首先,这意味着在充分认识到人们总会寻找最容易的方式来实现目标的前提下设计安全措施。这也意味着我们必须接受不能指望消费者购买单独的安全工具的事实——我们需要将安全融入现有的基础设施,并使其成为默认(且唯一的)选项。

07


将保护个人的责任置于技术提供商身上

我对那些敢于在一个大多数初创公司只考虑大型企业需求的行业中解决消费者安全问题的创始人抱有极大的尊重和钦佩。话虽如此,我对面向消费者的专门安全工具的未来并不看好。在我看来,消费者开始购买安全解决方案的可能性极低。相反,个人使用的技术必须在设计时就内置安全功能。

每一个科技公司都将被寄予厚望,不仅要保护客户的隐私数据,还要帮助客户避免成为攻击者的猎物。安全功能不能是可选的;它必须成为我们设计软件产品的一个基本属性。坏消息是,这将需要一些投资。好消息是,这不会太难。这里有一个例子展示了 Monzo 银行如何让用户轻松验证声称代表 Monzo 的来电者是否合法。我希望其他组织也能效仿这一做法,甚至可能将其标准化,为消费者提供一种简单的方式来验证来电者的身份真实性。

乌克兰的在线银行Monobank为其客户提供选择三种类型CVV/CVC码(卡片验证值/码)的能力:

1、标准CVV/CVC(自动生成的三位数字代码)

2、动态CVV/CVC(每小时变化一次的三位数字代码,这使得在线交易更加安全)

3、用户定义的CVV/CVC(可以在移动应用中设置的三位数字代码)

HubSpot 则提出了“安全中心评分”的概念,旨在鼓励用户在使用产品和处理客户数据时实施最佳实践。

这些只是其中的一些例子。软件提供商帮助其客户保护数据的最简单方法之一就是要求所有人设置多因素认证(MFA)。在 2024 年,对于持有敏感或潜在敏感客户数据的任何应用程序来说,MFA 都不应该是可选的。

技术提供商有能力解决许多最严重的安全问题,但有时,他们选择不将这些问题列为优先。
最近,Tene o的风险情报副总裁 Paul Raffile 在 LinkedIn 上发帖,对一种正在全美各地夺去儿童生命的犯罪行为——金融性勒索(financial sextortion)——发出了警报。正如 Paul 在他的 LinkedIn 帖子中所述,根据 NCMEC 的数据,这种犯罪行为已经激增了 7200%。
使这个故事特别难以接受的是,仅仅通过一个单一的产品功能就可以帮助使得这类犯罪更难以实施。据 Paul 所说,“Instagram 可以通过今天做出一个简单的隐私变更来防止大部分的性勒索事件:允许用户始终对其关注者和关注列表保持私密,并将此设置作为未成年人的默认设置。目前,一旦 Instagram 用户接受了骗子的关注请求,他们的关注者/关注列表就会暴露给犯罪分子。这种隐私变更将大大减少勒索案件。Meta 允许 Facebook 用户将其好友列表完全保密,但却没有在 Instagram 上为青少年提供同样的隐私设置。为什么?”

08


生态系统参与者在将安全带入大众市场中

扮演着至关重要的角色

针对消费者的大型技术生态系统参与者,如苹果(Apple)、微软(Microsoft)、谷歌(Google)和 Meta 等,对于将安全带入大众市场扮演着特殊的角色。
它们是提升促进隐私和安全行为标准的捷径。与其说服数亿用户为每个产品创建一个带有强密码的新账户,他们可以使用“使用苹果登录”(Sign In with Apple)。与其说服用户购买密码管理器,像谷歌这样的公司可以找到比现有易受密码窃取程序和各种攻击类型影响的浏览器内置功能更好、更安全的方式来存储用户密码。

许多面向大众市场的安全创新将不得不来自生态系统参与者,因为他们拥有早期初创公司所不具备的力量。例如,经常有人说,我们所熟知的密码必须被淘汰,无密码认证才是未来。尽管这可能是真的,但很难想象一个小公司能够轻易地说服全世界采用新的认证方式。另一方面,像苹果、谷歌和Meta这样的公司,由于其影响力、信誉和资源,可以更容易地实现这一目标。

安全措施的成本过去一直是,并且将来也会转嫁给消费者。然而,重要的是这些成本被纳入产品的总体价格之中,而不是作为一个需要用户明确同意支付的可选附加项列出。

09


迈向以人为本的安全

为了帮助人们养成正确保护自己数据的习惯和技能,我们必须让安全变得易于接触。我们需要让人们参与到决策过程中,并在涉及自身安全的问题上赋予他们发言权。

好消息是在许多发达国家,我们见证了将一个行业从一方比另一方掌握更多信息并对该领域具有权威的状态转变为另一种状态的意义。我说的是医疗保健。距离医生们代表患者做出决定并按照他们认为适合患者的方式指导治疗的时间并不长。几十年后,我们采用了以个人为中心的护理概念,其中重点是整个人,而不仅仅是医疗状况。

以下是《医师实践》杂志对以患者为中心的护理概念的解释:“以患者为中心的护理并不意味着医生必须给予患者完全的决策自主权,正如常规护理也不要求医生提供全部决策一样。研究表明,许多要求某种治疗的患者,例如在不需要的情况下要求抗生素,会对适当的沟通和解释为何不需要这种治疗作出反应。认可他们的愿望是关键,但应进行知情讨论,说明为何该请求不合适。这实际上是患者为中心护理的定义——允许患者与医生一起作出知情决定。显然,尊重和信任的关系会改善这种讨论,并增加患者听取医学证据和专业知识的意愿,但在没有长期关系的更急性环境中,这些方面也可能是成功的。”

我们需要推动行业采纳类似的以人为本的安全概念。安全是需要与个人一起实现的,而不是施加于个人的。

由于人们不喜欢使用过程中的麻烦,独立的安全工具将难以获得普及。如果这些工具没有“嵌入”到它们所保护的核心产品和工作流程中,它们就不会是无缝衔接的。此外,消费者并不习惯为安全付费。由于传统的B2C软件变现方式,如将用户数据出售给广告商,本质上与隐私的概念相悖,我们将继续在B2C安全解决方案的盈利上面临挑战。

尽管我们当然需要尽力提高大众对隐私、安全和数字安全的认识,但我们必须清楚,技术提供商,特别是大型生态系统参与者,最终将负有确保其生态系统内人员安全的责任。

10


译者结语

这篇国外的文章是在 2024 年初看见的,读到的时候如获至宝,文章讲述的内容获得了我极大的共鸣。原因有二,一来文章中提到的面向 C 端的安全产品,我自己基本都亲力亲为的尝试建设过了,并认真的推向了市场,终归是失败了,根本原因文章中已经说得很全面。

二来,原文作者的观点我也大致都认同,也正在践行真正的“以人为本的”新安全之路。这也是我们 Slogan 的意义所在:

略有不同的地方在于,作为一个创业者,我并不把希望寄托在技术供应商身上,要让每个消费者使用的软件(APP)都自己变得更安全,实属不可能,因此我们才建立了数影这家公司,把数影变成软件的入口,我们去无差别的保护好用户的应用。

原文链接:
[1] https://ventureinsecurity.net/p/the-business-of-protecting-individuals
往期回顾:
[1] 员工个人隐私和企业数据安全应该兼顾

[2] 退缩型 CSO,让老板更加忽视自家安全团队

[3] 中国网络安全也期待「黑神话·悟空」的出现

[4] 央视主持人董倩专访数影星球创始人胡珍凯,探讨企业数据安全本质和治理之道


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2MTk4MDM1Mg==&mid=2247484765&idx=1&sn=d67e1587a507b42df0dfd388fea3eb08&chksm=ce0f96f2f9781fe4dbf11b41d0ea60f177404613a8c0a1998d1b698d950b58313f86222d12c5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh