作者：陈煦

科技情报工作者有时会陷入两难的尴尬境地，在技术领域精不过专业技术人员，在情报领域专不过做理论研究的学者。在寻找自身定位的过程中，有时“敢想”——想象技术跨界的可能性并引领方向，比一味埋头苦干更能发挥所长。

在美国情报高级研究计划局（IARPA）历年的情报计划中，就有很多“跳出常规思维”的情报跨界应用，这些情报计划很好地体现了那些思维上灵光乍现的时刻：技术未必最前沿，但一定独辟蹊径，用意料之外却又情理之中的手段达成目的。

2023年，美国情报高级研究计划局（IARPA）启动ReSCIND计划，创新性地将心理学应用于情报安全领域，着眼于研究、了解黑客的心理，发现他们的认知偏差和决策盲点，并构建利用这些缺陷来提高计算机安全性的软件。

 网络安全的阿喀琉斯之踵——人类 

在保护计算机系统方面，人类往往是最薄弱的环节。——这是网络安全领域的陈词滥调，但也是至理名言。

人们点开本不该点击的链接，下载本应该避免的附件，并陷入事后看来显而易见的骗局，这样的事每天都在发生。人类的天然弱点使得保护开放互联网变得更加困难，许多公司和组织都致力于让键盘后面的普通人更好地进行数字“自卫”。通过将人类行为置于设计防御系统的中心，网络心理学旨在寻找并创造出能解决人类弱点的系统。 

 以攻为守，黑客同样拥有人性的弱点

网络犯罪与计算机无关，人的行为才是核心，最复杂和持久的网络攻击主要是人为驱动的。因此理解和预测黑客的行为，将能更有效地阻止网络安全事件。可惜到目前为止，网络安全研究人员还没有过多关注攻击者的心理弱点。他们有哪些缺陷、习惯或其他可以用来对付他们的行为模式？他们通常会犯哪些错误？如何利用这些特征来阻止攻击？

ReSCIND计划将通过开发“网络心理学系统”来提高，甚至有望从根本上改善网络防御态势，结合网络心理学防御措施，将人类行为和决策整合到网络领域使人们能够理解、预测和影响黑客的行为。

图ReSCIND的网络防御概念

ReSCIND参与者面临的主要挑战之一是弄清楚特定攻击者可能容易受到哪些弱点影响——同时在动态环境中进行操作。为了解决这个问题，该项目提案要求参与者提出其所设想的“偏差传感器”和“偏差触发器”，它们一起识别漏洞，然后引发攻击者的认知漏洞被利用的情况。 

 早期理论基础

网络心理学研究表明，蜜罐（旨在引诱黑客进入网络某个部分的虚假服务器）等欺骗工具会改变攻击者的行为和感受。该项目负责人Kimberly Ferguson-Walter 女士进行的一项研究中有 130 多名参与者报告说，在进行了攻击诱饵服务器的实验后，他们感到更加困惑、自我怀疑和沮丧，这项研究于 2018年发表。

在她2018年合作发表的另一篇会议论文中，提到了分散攻击者注意力、影响其认知资源的分配来提升网络防御安全。例如，在防御系统中检测到攻击者时，通常做法是会立即移除攻击者，但考虑到人的认知资源是有限的，更好的做法是持续地与黑客互动，不让他们的注意力转移到破坏其他系统上，以保持风险的已知可控。再例如，当攻击者任务过多，造成认知超载时，人类就会进入任务选择的决策中，而将蜜罐或诱饵程序“包装”成显著性高（抓人眼球、容易被注意到）、难度适中、优先级高和收益大等“首选”任务的样子就额外重要。

欺骗工具只是网络心理学研究的一小部分。研究人员需要采用心理学理论并将其应用于网络安全，利用人类参与者并在实验中对其进行测试。例如，研究可以测试如果黑客认为自己处于不被发现的环境中，他们是否更有可能冒险。Ferguson-Walter指出：“让我们从攻击者所拥有的认知漏洞的心理基础以及如何利用它们进行防御，然后在此基础上构建技术。”

ReSCIND的最新进展

项目的负责人Ferguson-Walter表示：“网络安全研究界还没有足够重视了解网络攻击者的行为方式、决策、选择策略以及他们的认知方式。”社会科学家和心理学家利用网络心理学来了解欺凌、约会和赌博等活动在网上进行时如何变化，但这些原理尚未广泛应用于网络安全。

根据该计划的项目要求，计划目标是设计包含人类局限性（例如人们决策偏差）的系统，以防止黑客行动或延迟网络攻击。最终，嵌入工具中的算法可以适应黑客观察到的行为。

正如行为科学工具已被用来彻底改变经济、广告和政治竞选领域一样，ReSCIND和更广泛的网络心理学领域旨在深入了解人类行为以改善结果。

“广告、政治竞选、电子商务、在线游戏或社交媒体中使用的策略和技术利用了人类心理的脆弱性，”网络心理学家、Paladin Capital Group（一家专注于网络安全的风险投资公司）的战略顾问Mary Aiken认为。“ReSCIND应用传统的认知行为科学研究——以网络心理学的发现和学习为媒介——并将其应用于网络安全，以提高防御能力。” 

Ferguson-Walter表示，网络安全公司正在使用一些网络心理学工具来设计防御措施，但在整合人类行为研究方面做得还不够。网络上的蜜罐或诱饵系统等工具可能被认为是利用攻击者的心理弱点来对付他们，但防御者可以采取更多措施来利用这些弱点。

技术的商业应用潜力

亚马逊公司首席安全官Stephen Schmidt表示，对于企业网络负责人来说，有助于识别特定类型可疑数字行为的技术可能会让安全工程师腾出时间对黑客方法进行更复杂的分析。亚马逊正在招聘网络安全人员，但没有足够的合格候选人来完成公司所需的所有分析工作。“无论是从人员数量还是从资金角度来看，我都无法聘请我所需的随业务扩展而扩展的工程师数量。我需要工具。”

Schmidt根据他认为驱动黑客的四种动机建立了亚马逊的网络安全防御：自我、金钱、意识形态和胁迫。网络防御团队利用该评估来预测黑客可能的技能以及他们可能愿意承担的风险类型。他说： “心理学的意义在于理解这个人为什么要做他们正在做的事情，他们的动机是什么。因为这揭示了他们下一步要做什么。”例如，追求金钱的黑客很容易被发现，因为他们试图访问系统以获取数据或将计算机用于其他目的，如挖掘加密货币。此类评估的技术将使亚马逊能够扩大其保护措施，并将工程师的重点放在更复杂的“灰色地带”。 再例如，界定自我驱动的网络攻击可能很困难，预测特定计算机上的异常活动的工具可能会有所帮助。 

投资网络安全提供商的风险投资公司Paladin Capital Group的首席投资官Chris Steed 表示，少数但越来越多的科技公司提供的工具反映了网络心理学的一些发现。

Paladin投资的公司以不同的方式利用该领域的研究，例如根据有关错误信息如何在网上传播并可能被用来伤害公司的心理发现，帮助企业客户评估风险。一家公司开发了一种软件，可以识别有关公司的错误信息和虚假信息，帮助他们准备和驳斥可能损害其声誉和业务的虚假声明。

结语

在心理学中，认知偏见/偏差是一个庞大的集合，包含种种显然根植于人类大脑的错误思维方式，这些强大的错误思维方式哪怕被意识到，都极难克服。2002年诺贝尔经济学奖得主，认知偏差的重要提出者，普林斯顿大学心理学教授丹尼尔·卡尼曼（Daniel Kahneman）在著作《思考，快与慢》中表示“关于认知偏差最常被问到的问题是，我们能否克服它们。我只能说……情况不容乐观。”而将心理学相关知识应用到网络和情报安全领域，能化被动为主动，抓住攻击者的阿喀琉斯之踵，形成情报和网络安全保护的新思路。

参考文献：

[1]https://www.iarpa.gov/research-programs/rescind[EB/OL].https://www.iarpa.gov/research-programs/rescind.

[2]US intelligence research agency examines cyber psychology to outwit criminal hackers[EB/OL].https://cyberscoop.com/iarpa-cyber-psychology-hackers/?utm_campaign=CyberScoop%20-%20Editorial&utm_content=250692625&utm_medium=social&utm_source=twitter&hss_channel=tw-720664083767435264.

[3]U.S. Intelligence Wants to Use Psychology to Avert Cyberattacks[EB/OL].https://www.wsj.com/articles/u-s-intelligence-wants-to-use-psychology-to-avert-cyberattacks-11674670443.

[4]ReSCIND计划：美国IARPA通过网络心理学重构网络防御[EB/OL].http://tech.qhdxw.cn/tech/20230404/400245075.html.

[5] Gutzwiller Robert, Ferguson-Walter Kimberly, Fugate Sunny, Rogers Andrew.  “Oh, look, a butterfly!" A framework for distracting attackers to improve cyber defense[EB/OL].https://www.researchgate.net/publication/326561335_Oh_look_a_butterfly_A_framework_for_distracting_attackers_to_improve_cyber_defense.