如果你的网站遭到攻击会怎样(实践调研贴)

疫情关闭了实体商店,这是一个记录85,000家英国企业推出网上商店或在截至2022年7月的四个月内加入在线市场。因此,对于企业来说,以下几点变得前所未有的重要采用基本的“网络卫生”控制,包括保持软件最新或“打补丁”。对企业来说很难—特别是中小企业—知道何时以及如何修补他们的软件。我们与数字、文化、媒体和体育部(DCMS)、国家网络安全中心(NCSC)和小企业联合会(FSB)合作,进行了两次试验来帮助解决这个问题。第一次试验鼓励企业注册免费的网站安全扫描。第二个鼓励企业注册修补我们检测到的任何漏洞,并提供如何修补的建议。

我们发现:总体而言,很少有企业(<1%)注册获得免费的网站安全扫描。这表明网络犯罪在小企业的优先级列表中并不是很高。自动扫描企业网站并提醒他们任何漏洞可能是一个更有效的方法。越来越多的企业在看到后悔厌恶信息后,提供网站安全扫描—“如果你的网站遭到攻击,会发生什么?”企业在收到漏洞警报后会修补他们的网站。这表明一个简单的网站漏洞警报服务可以提高小企业的网络安全。试验1:鼓励企业注册免费的网站安全扫描在我们的第一次试验中,我们与金融稳定委员会合作,鼓励其成员注册NCSC的免费网站安全扫描。为此,我们在发送给85,000多名成员的一份FSB每周简讯中包含了网站扫描服务。

我们测试了三种不同的消息框架:

基本安全(控制消息)–"检查你网站的安全性"后悔厌恶(参见图1)–“如果你的网站遭到攻击,会发生什么?”网络安全沟通通常关注不作为的负面结果,试图吓唬个人采取行动(或购买产品)。我们想测试这些传统的基于恐惧的战术的一个更温和,更有力量的版本。在做决定时,我们通常是“后悔厌恶者”——我们预计如果我们做或不做某个特定的行动,我们可能会感到后悔,并选择最小化预期后悔的选项。我们希望测试一条消息,鼓励企业主批判性地思考他们的业务面临的风险和攻击的潜在后果。

物理安全隐喻–“帮助你找到网站盔甲上的裂缝”隐喻可以更容易理解复杂的威胁。物理安全隐喻在网络安全中特别流行,并且已经被证明增强对警告信息的理解.令人失望的是,很少有企业(<1%)注册了免费的网站安全扫描。我们发现三个消息部门的注册率没有显著差异,但是我们发现点击了解更多信息的企业数量有所不同。收到后悔厌恶信息的企业主点击了解网站扫描的可能性比收到基本安全信息的企业主高32%(1.33%比1.01%),几乎是收到物理安全信息的企业主的两倍(1.33%比0.69%)。

我们的定性研究表明,我们的信息可能总体上缺乏吸引力,并且后悔厌恶信息可能优于其他信息框架的一个原因是,小企业不认为网络犯罪是一种威胁。与物理隐喻相比,要求企业想象如果他们受到攻击会发生什么可能会使后果感觉更“真实”(改变企业对风险的计算),物理隐喻假设企业已经认为他们处于风险之中。此外,与其他邮件不同的是,这些邮件只是狭义地提到网络安全“卫生”,而“后悔厌恶”邮件要求收件人更全面地考虑网站攻击的连锁效应。这可能会促使收件人考虑各种可能的后果(例如,业务连续性、声誉受损等。),这可能使网站安全检查显得更加重要。

我们只收集了少量关于企业在注册免费扫描时所面临的障碍的信息;在未来的任何试验之前和之后,对企业进行深入的定性研究将有助于更好地解释研究结果。然而,一个最新研究表明“选择退出”网站安全服务可能是一种有效的方法。在这项研究中,网站被自动(即未经网站所有者同意)扫描数据保护配置错误。研究人员随后写信给网站所有者,通知他们错误的配置,如果存在的话。结果表明,网站所有者发现(主动提供的)通知很有用——34%的网站所有者发送了感谢信息(甚至还有礼物!)给研究者。

鼓励企业修补网站漏洞

在研究的第二阶段,我们希望了解与现有的NCSC警报(图4)相比,行为漏洞警报(图3)是否能够鼓励更多的企业修补其网站漏洞。不幸的是,由于注册免费扫描的企业数量很少,并且他们的网站存在漏洞(115家企业),我们无法从结果中得出统计上可靠的结论。

在试点项目中,我们发现了一些证据,表明NCSC警报的表现优于行为警报,并且大约有一半收到警报的企业采取了行动,修补了至少一个漏洞。以我们在这项研究中的样本量,我们所能得出的结论是有限的。然而,这些发现表明,关于漏洞的反馈和行动呼吁,无论框架如何,都可能是鼓励修补行为的有力工具。这与最近的研究研究发现,56.6%的网站所有者在收到通知后解决了隐私问题,相比之下,对照组中只有9.2%的企业这样做。

综合来看,我们的研究结果表明,向企业通知网站漏洞的公共警报服务有助于提高网络安全,而后悔厌恶信息可以增加这种服务的参与度。进一步的研究可以通过深入调查哪种通知最有可能促使采取行动来扩展这项工作。


继续阅读:

原创性声明:本文章为本站作者独家原创,未经允许禁止任何形式的采集、转发,若发现违规转载,我站将追究违规者法律责任。

上一篇:如果你的网站被黑了怎么办?应该采取什么措施

下一篇:为什么2022年网站安全和性能需要CDN