A10分析使用者資安思維 被駭已視為常態

許多人早上起床後，第一件事情不是取用早餐，而是打開各款社交軟體，看看這段時間交友圈中發生了什麼事；有的人則是手機如影隨形，無時無刻都會透過其上各類應用程式處理公務或私事，一旦應用程式無法使用，就彷彿世界末日到來。就像日前因為社交網站當機，結果造成哀聲遍野一樣。

究竟有多少人把應用程式看得相當重要？對於應用程式使用管制的看法又是什麼？這些過去難以回答的問題，在5月11號A10 Networks所發表的Application Intelligence Report(AIR)研究中，都可以找到相對應的答案。

A10 Networks行銷副總裁Neil Wu Becker認為，「現在有許多研究報告都是以技術或產品為主軸，雖然可以呈現一定的市場動態與趨勢，但是卻沒有辦法明確點出使用者行為與心態上的差異，但是在AIR中，我們可以發現有別於技術或市場分析的指標，更貼近使用者的行為分析，也更接近我們眼中的現實。」

AIR報告中收集分析了10個國家，共計2,000名以上的受訪者，探討全球勞動人口在使用商務或私人應用程式時的行為和態度，並分析其對風險、安全及公司文化的影響。

「其實在報告中我們可以看到有些有趣的地方，像是不同年齡層對資安的感受程度有所差異，就連不同國家對於安全防護的責任都有所歧異。」Neil Wu Becker如此說明。

在研究報告中我們也可以看到，亞洲地區超過一半以上的受訪者(55%)認為應用程式的重要性等同或幾乎等同呼吸和飲食；同時也有超過九成的受訪者表示「沒有應用程式無法生活」或「沒有應用程式日子會很難過」，但同樣的問題在美洲就稍低於90%，而在歐洲就降低至75%。

「事實上這些行為根據地區、國家甚至是當地文化都會有所差異，」Neil Wu Becker進一步解釋，「在這份報告中我們可以看到亞洲地區對於手機與應用程式的依賴程度相當高，而全世界的受訪者認為使用手機甚至比接觸陽光或戶外環境重要。」

在報告中甚至呈現了很獨特的文化差異性。在詢問「究竟誰該為安全防護負責」一題中，同樣在歐洲，法國與德國或英國就有相當大的差異，對法國人來說，無論是IT人員、公司、應用程式開發商或資安廠商等都應該要負責，但只有使用者本人不必負責，而這也相對的呈現出，為什麼資安防護喊了這麼多年，卻沒有辦法完全落實，就是因為文化與認知上的差異，在沒有推動正確的行為規範或教育之前，是很難真正執行資安管理的。

而對網路世代而言，網路與應用程式儼然成為他們的「數位 DNA」，不但生活作息都習慣透過應用程式，就連所面對的資安威脅也習以為常。例如全世界有 19%的受訪者在20多歲時就經歷過身份竊取的狀況，30歲以下的受訪者則有 31%曾經被駭客侵襲過，這群受訪者也有34%曾經遺失行動裝置或電腦。

難以想像的是，全世界的受訪者中有29%的人認為「網路攻擊已經是生命中逃不掉的一部分」，而有13%的人認為「就儘量不去想就好了」！

這份研究報告呈現出更深層也更直觀的使用者心態，也能找出為什麼導入了許多資安設備卻依然有資安事件發生的潛在原因。特別是在行動化且人手多機的狀況下，工作場所與私人領域之間的界線也越來越模糊，傳統固守資安邊界以建構安全領域的概念已經無法承擔資安風險，甚至形同虛設。

其實我們可以發現，資安防護的方法論一直不斷在改變，從早期僅透過設備保護區域網路不受外部侵擾，到現在除了整合企業工作流程與架構外，更需要注意的是使用者行為。具體呈現上除了防護入侵與攻擊外，更需要進一步做好風險管理、流程管理、政策規劃乃至於使用者行為管理，這樣才能夠有效落實資安防護，確保資訊安全。

「使用者行為會是下一階段資安防護的重點，」Neil Wu Becker表示，「除了不斷提升技術水準及產品效能之外，如何協助企業整合流程，並透視分析使用者行為，提高資安可視性，進一步建構出安全的防護體系，才是更值得我們思考的課題。」