尽管存在风险，为什么人们会延迟软件更新

 
2017年5月，全球约有四分之一的运行Microsoft Windows的计算机受到恶意软件的攻击和感染，这些恶意软件后来被称为“ WannaCry”。受害者发现他们的计算机已锁定且无法使用，但如果受害者将比特币(通常相当于300-600美元)转移给攻击背后的人，则可以释放它们。
事实证明，如果人们应用了攻击发生前几周微软发布的软件更新，就可以避免攻击。此更新修复了攻击者利用的漏洞，但许多人选择延迟实施它。
CyLab的社会与决策科学系教授Cleotilde Gonzalez说：“了解导致人们延迟软件更新的原因-这是一项重要的保护性措施，因为它们可以修复攻击者可以利用的漏洞-将会是防止此类网络攻击的一步。”卡内基·梅隆大学。
在最新一期的《网络安全杂志》上发表的一项研究中，冈萨雷斯及其合著者发现，更新的时间成本和个人的风险偏好对用户是否应用软件更新以及如何使用软件更新具有重大影响。他们需要很长时间才能这样做。
研究人员创建了一个模拟，其中参与者以20天为期10天的时间冒充投资者，每个模拟的“天”包括做出投资决策或对他们的计算机进行软件更新。在现实世界中，用户通常无法在处理软件更新的同时执行其主要任务，因此，他们必须选择一个并延迟另一个。
在模拟中，投资决策(投资者的主要任务)是在获得2分的“安全”投资与获得0或4分的概率相等的“风险”投资之间做出选择。
冈萨雷斯说：“通过计算冒险选择的数量，我们可以确定冒险者的状况。”
或者，参与者可以放弃其主要投资任务，以便对其计算机应用安全更新。在百分之八十五的时间里，更新花费10分，类似于需要一定时间并破坏用户主要任务的更新过程。否则，更新成本为0点，类似于整夜或不中断用户主要任务的其他时间进行的更新过程。
在投资或应用安全更新之后，参与者可以了解他们是否遇到了安全失败。安全故障导致损失100点，并且应用更新会将安全故障的可能性从3%降低到1%。在做出200次决策(模拟为投资者200天)之后，根据参与者积累的积分数对其进行补偿。
即使就优化点而言，最好的决定是在每个时段的第一天应用安全更新，但许多人还是延迟了。结果表明，参与者仅更新了54%的时间，而这些更新中的65%被延迟了。风险偏好和更新成本在促使参与者延迟安全更新方面起着相对相等的作用。
考虑到安全更新延迟的突出性，许多参与者都遇到了安全故障。但是他们学到了教训吗?是的，没有。
冈萨雷斯说：“如果参与者遇到安全故障，他们几乎总是在第二天应用安全更新。” “但是这种行为通常会随着时间的流逝而衰减，参与者会回到原来的习惯。”
鉴于这些结果，研究人员建议公司应提出激励用户的方法，或至少减少时间和精力成本，以在安全更新发布后立即予以应用。
冈萨雷斯说：“使它更容易。使它更简单。使它更便宜。” “对我们做出的决定产生重大影响的是我们做出这些决定的动机。降低成本(不仅是金钱成本，而且是时间和精力)也有所帮助。”
该研究的其他作者包括前卡耐基梅隆大学博士后研究员普拉尚斯·拉吉万(Prashanth Rajivan)和埃弗拉特·阿哈罗诺夫·马哈尔(Efrat Aharonov-Majar)。