為什么人們不顧風險而延遲軟件更新

2017年5月，全球大約25萬臺運行微軟(Microsoft) Windows的電腦受到攻擊和感染，這些惡意軟件后來被命名為“WannaCry”。受害者發(fā)現(xiàn)他們的電腦被鎖住了，無法使用，但如果受害者將比特幣(通常相當于300-600美元)轉(zhuǎn)移給攻擊背后的人，他們就能獲得自由。

事實證明，如果人們使用了微軟在攻擊前幾周發(fā)布的軟件更新，攻擊本可以避免。此次更新修復了攻擊者利用的漏洞，但許多人選擇推遲實施。

CyLab的Cleotilde Gonzalez教授是卡內(nèi)基梅隆大學社會與決策科學系的一名教授，他說:“了解是什么驅(qū)使人們推遲軟件更新——這是一個重要的保護措施，因為他們修復了攻擊者可以利用的漏洞——這將是防止此類網(wǎng)絡攻擊的一步。”

在一項研究發(fā)表在最新一期的《網(wǎng)絡安全,岡薩雷斯和她的合著者發(fā)現(xiàn)更新的時間成本和個人的風險偏好有顯著影響用戶應用軟件更新,是否需要多長時間他們這樣做。

研究人員創(chuàng)建了一個模擬實驗，參與者假扮成投資者，為期10天，共20天，每一個模擬的“一天”要么是做出投資決定，要么是對電腦進行軟件升級。在現(xiàn)實世界中，用戶通常無法在處理軟件更新的同時執(zhí)行他們的主要任務，因此他們必須選擇其中一個并延遲另一個。

在模擬中，投資決策——投資者的主要任務——是決定是進行一項“安全的”投資，獲得2分，還是進行一項“有風險的”投資，獲得0分或4分，概率相等。

“通過計算風險選擇的數(shù)量，我們可以確定人們的冒險程度，”Gonzalez說。

另一種選擇是，參與者可以放棄他們投資的主要任務，以便對他們的計算機應用安全更新。85%的情況下，更新需要花費10點，類似于更新過程需要一些時間，并且會中斷用戶的主要任務。否則，更新成本為0點，類似于更新過程在夜間或其他時間發(fā)生，此時用戶的主要任務不會中斷。

在投資或應用安全更新之后，參與者將了解他們是否經(jīng)歷了安全故障。安全失敗會導致100分的損失，應用更新會將安全失敗的概率從3%降低到1%。在做出這些決定200次之后——模擬投資者的200天——參與者根據(jù)他們所累積的點數(shù)獲得補償。

即使在優(yōu)化點方面的最佳決策是在每個周期的第一天應用安全更新，許多人還是推遲了。結(jié)果顯示，參與者更新的時間只有54%，其中65%的更新被延遲。風險偏好和更新成本在促使參與者延遲安全更新方面發(fā)揮了相對平等的作用。

考慮到安全性更新延遲的重要性，許多參與者都經(jīng)歷了安全性失敗。但他們吸取教訓了嗎?是的,沒有。

“如果一個參與者遭遇了安全故障，他們幾乎總是在第二天應用安全更新，”Gonzalez說。“但隨著時間的推移，這種行為通常會減弱，參與者會回到原來的習慣。”

考慮到這些結(jié)果，研究人員建議公司應該想辦法鼓勵用戶——或者至少減少時間和精力成本——在安全更新可用時盡快應用。

”更容易。使它更簡單。讓它更便宜，”岡薩雷斯說。“我們做決定的一個很大的影響是我們做出這些決定的動機。降低成本——不僅是金錢成本，還有時間和努力——這是有幫助的。”

這項研究的其他作者包括前卡內(nèi)基梅隆大學博士后研究員普拉桑特·拉吉萬和埃夫拉特·阿哈羅諾夫-瑪嘉。