2017年5月,全球大约25万台运行微软(Microsoft) Windows的电脑受到攻击和感染,这些恶意软件后来被命名为“WannaCry”。受害者发现他们的电脑被锁住了,无法使用,但如果受害者将比特币(通常相当于300-600美元)转移给攻击背后的人,他们就能获得自由。
事实证明,如果人们使用了微软在攻击前几周发布的软件更新,攻击本可以避免。此次更新修复了攻击者利用的漏洞,但许多人选择推迟实施。
CyLab的Cleotilde Gonzalez教授是卡内基梅隆大学社会与决策科学系的一名教授,他说:“了解是什么驱使人们推迟软件更新——这是一个重要的保护措施,因为他们修复了攻击者可以利用的漏洞——这将是防止此类网络攻击的一步。”
在一项研究发表在最新一期的《网络安全,冈萨雷斯和她的合著者发现更新的时间成本和个人的风险偏好有显著影响用户应用软件更新,是否需要多长时间他们这样做。
研究人员创建了一个模拟实验,参与者假扮成投资者,为期10天,共20天,每一个模拟的“一天”要么是做出投资决定,要么是对电脑进行软件升级。在现实世界中,用户通常无法在处理软件更新的同时执行他们的主要任务,因此他们必须选择其中一个并延迟另一个。
在模拟中,投资决策——投资者的主要任务——是决定是进行一项“安全的”投资,获得2分,还是进行一项“有风险的”投资,获得0分或4分,概率相等。
“通过计算风险选择的数量,我们可以确定人们的冒险程度,”Gonzalez说。
另一种选择是,参与者可以放弃他们投资的主要任务,以便对他们的计算机应用安全更新。85%的情况下,更新需要花费10点,类似于更新过程需要一些时间,并且会中断用户的主要任务。否则,更新成本为0点,类似于更新过程在夜间或其他时间发生,此时用户的主要任务不会中断。
在投资或应用安全更新之后,参与者将了解他们是否经历了安全故障。安全失败会导致100分的损失,应用更新会将安全失败的概率从3%降低到1%。在做出这些决定200次之后——模拟投资者的200天——参与者根据他们所累积的点数获得补偿。
即使在优化点方面的最佳决策是在每个周期的第一天应用安全更新,许多人还是推迟了。结果显示,参与者更新的时间只有54%,其中65%的更新被延迟。风险偏好和更新成本在促使参与者延迟安全更新方面发挥了相对平等的作用。
考虑到安全性更新延迟的重要性,许多参与者都经历了安全性失败。但他们吸取教训了吗?是的,没有。
“如果一个参与者遭遇了安全故障,他们几乎总是在第二天应用安全更新,”Gonzalez说。“但随着时间的推移,这种行为通常会减弱,参与者会回到原来的习惯。”
考虑到这些结果,研究人员建议公司应该想办法鼓励用户——或者至少减少时间和精力成本——在安全更新可用时尽快应用。
”更容易。使它更简单。让它更便宜,”冈萨雷斯说。“我们做决定的一个很大的影响是我们做出这些决定的动机。降低成本——不仅是金钱成本,还有时间和努力——这是有帮助的。”
这项研究的其他作者包括前卡内基梅隆大学博士后研究员普拉桑特·拉吉万和埃夫拉特·阿哈罗诺夫-玛嘉。