Традиционно люди считаются слабым звеном в системе кибербезопасности, однако новое исследование канадских ученых кардинально меняет это представление. Впервые в мировой практике специалисты изучили способность обычных пользователей выявлять вредоносные программы не по следам атак, а в процессе их развертывания. Работа опубликована в материалах 34-го симпозиума USENIX Security.
Пользователи продемонстрировали высокий уровень распознавания вредоносного ПО
Ученые из Университета Ватерлоо провели первое исследование способности людей распознавать вредоносные программы в режиме реального времени. Результаты показали неожиданно высокую точность обычных пользователей.
Главная линия антивирусной обороны. Unsplash
Сегодня лучшие антивирусы показывают на тестах практически 100% обнаружение известных угроз и более 95% — новых, ранее неизвестных вредоносных программ. Но проблема в том, что большинство успешных кибератак не обходит антивирусную защиту, а действует методами социальной инженерии, то есть, они воздействуют напрямую на пользователя, убеждая его, например, временно отключить защиту. Поэтому умение пользователя распознать подозрительное ПО по-прежнему очень важно.
«Большинство существующих исследований вредоносных программ анализируют отчеты "после действия", то есть расследования того, что пошло не так после успешной атаки», — говорит Дэниел Фогель, профессор компьютерных наук Университета Ватерлоо и соавтор исследования. — «Наше исследование, в котором приняли участие начинающие, опытные и опытные пользователи, стало первым исследованием вредоносных программ, в котором стратегии пользователей отслеживались в режиме реального времени».
Новички как эксперты
Эксперимент проводился в условиях, максимально приближенных к реальной офисной среде. 36 участников различного уровня технической подготовки — от новичков до экспертов — получали сообщения от якобы коллег с просьбой загрузить и установить различные программы. Исследователи воссоздали среду, практически неотличимую от Microsoft Teams, где участники имели полную свободу действий и могли самостоятельно анализировать и устанавливать предлагаемое программное обеспечение.
Результаты первого этапа превзошли все ожидания: общая точность выявления вредоносных программ составила 75%. При этом новички демонстрировали правильную идентификацию в 68% случаев, а эксперты — в 81%. Интересно, что начинающие пользователи иногда ошибочно помечали легитимное ПО как вредоносное из-за опечаток или плохого дизайна интерфейса, но при этом пропускали настоящие угрозы даже при наличии таких признаков, как высокая загрузка процессора.
Второй этап эксперимента продемонстрировал еще более впечатляющие результаты. Исследователи предоставили участникам усовершенствованный диспетчер задач и инструкции о тревожных сигналах: обращение программ к большому количеству файлов, сетевые подключения к другим странам. Эта минимальная поддержка повысила общий уровень выявления малвари до 80%.
«Даже наличие небольшой информации ставит начинающих пользователей в один ряд с компьютерными ученым», — отмечает Брэндон Лит, ведущий автор исследования. Развитие критического мышления он считает одним из важнейших факторов повышения безопасности.
Работа представляет собой новый подход к изучению человеческого фактора в кибербезопасности, показывая, что при минимальной технической поддержке обычные пользователи могут стать эффективным барьером против киберугроз.