Sécuriser un réseau ou un autre système contre les attaques est un problème difficile.
Comprendre comment un attaquant a battu votre système en est une autre.
Les personnes qui réussissent dans le domaine de la sécurité de l'information ont tendance à être celles qui apprécient ces énigmes et ces problèmes difficiles, même s'ils sont généralement ponctuels.
Alors, comment pratiquez-vous et améliorez-vous la résolution de problèmes?
La société de services de sécurité PwC UK vise à instaurer la confiance dans la société et à résoudre des problèmes importants.
Matt Wixey, responsable de la recherche chez PwC, a passé deux ans sur un programme visant à exercer et à améliorer les compétences de résolution de problèmes dans une équipe de 300 cyberprofessionnels, à l'aide d'énigmes et d'énigmes créées spécialement pour le programme.
Son discours de jeudi est tombé dans la piste des facteurs humains de la conférence Black Hat, qui a gagné en popularité ces dernières années.
La plupart des discussions de cette piste impliquent de guider les employés pour qu'ils agissent correctement en matière de sécurité ou de concevoir des systèmes qui fonctionnent même lorsque les employés font la mauvaise chose.
Avec cette session, Wixey s'est concentré sur le perfectionnement des compétences de l'élite de la sécurité - un changement rafraîchissant.
Briser les cerveaux et résoudre les problèmes
Wixey a introduit son discours avec un aveu: Je suis un accro du puzzle.
Il a ensuite offert aux participants un mot croisé cryptique de style britannique dont les réponses sont tous des sujets de sécurité de l'information.
Pour ceux qui ne sont pas familiers, ceux-ci sont complètement différents des mots croisés ordinaires.
Il y a peu de croisements de mots, et les indices impliquent un jeu de mots et une logique biaisée, pas des connaissances ou un grand vocabulaire.
Faisant preuve d'une vaste connaissance de la technologie et de la cognition, Wixey a commencé par une discussion sur la nature de la résolution de problèmes.
Toute cognition de plus haut niveau consiste à résoudre des problèmes, a noté Wixey.
Toute activation de concepts dans le cerveau pour accéder à d'autres concepts.
Des zones spécifiques du cerveau s'activent lorsque vous expérimentez cette solution de moment aha.
Il a ensuite décrit une variété de stratégies de résolution de problèmes, en concluant: La plus intéressante d'entre elles est la perspicacité, qui se traduit par un changement du problème lui-même.
Il y a un vieux problème qui vous oblige à prendre un renard, un poulet et un sac de maïs de l'autre côté de la rivière, un à la fois, sans laisser le renard manger le poulet ou le poulet pour manger le maïs.
Insight est la prise de conscience que vous pouvez également prendre les choses retour de l'autre côté de la rivière."
Exercer des muscles de puzzle
La résolution de problèmes est considérée par certains comme une compétence innée, a déclaré Wixey.
Mais les recherches montrent que tout le monde peut s’améliorer.
Il a noté que l'amélioration nécessite des mesures et que les chercheurs ont des tests d'appareils pour mesurer les compétences en résolution de problèmes.
Comment vous améliorez-vous? demanda Wixey.
Plus vous en faites, mieux vous y arrivez.
Il a passé en revue les techniques qui peuvent améliorer ces compétences, y compris le changement de perspective de la petite à la grande image ou vice versa, vérifier vous-même les préjugés et éviter de descendre dans le terrier du lapin.
Le programme Puzzle
Chez PwC, nous avons environ 300 employés comprenant un mélange d'expériences et de connaissances techniques, a déclaré Wixey.
Le programme de puzzle a commencé par moi à la traîne d'un collègue avec le puzzle aux yeux bleus de XKCD.
Depuis lors, nous avons exécuté peut-être 40 puzzles, la plupart conçus à partir de zéro.
Ils sont conçus pour durer deux ou trois jours.
Wixey a décrit quelques-unes des énigmes et j'ai réalisé que je ne réussirais peut-être pas bien dans son programme.
Un casse-tête consistait à connaître la signification du 35 mai (ce n'est pas une faute de frappe).
Une autre solution de casse-tête a conduit les solveurs à l'emplacement d'un événement d'équipe.
Cependant, pour y arriver, ils devaient exécuter un clip Never Gonna Give You Up de Rick Astley sur un spectrographe, déchiffrer le code Morse superposé sur un clip, puis décoder le ultrasonique Code Morse caché dans le même clip.
Fou!
Un peu déroutant pour tous
Wixey a présenté des données d'enquête indiquant, entre autres, que la plupart des participants au programme de puzzle l'ont trouvé intéressant, mais que tous n'ont pas approuvé les tentatives de mesurer les compétences en résolution de problèmes.
J'ai appris qu'il est important de mélanger le format, a déclaré Wixey.
Idéalement, vous lancerez les énigmes d'une manière qui vous permettra de mesurer l'engagement.
Les liens vers d'autres événements tels que les événements d'équipe peuvent aider.
Encourager ou même exiger la collaboration est une bonne chose.
Peut-être que la résolution du casse-tête nécessite un testeur de pénétration pour une partie, mais une personne en intelligence sur les menaces pour une autre.
Et encouragez l'inclusivité en ne rendant pas tout cela technique.
Wixey a terminé avec une recommandation que d'autres entreprises envisagent un programme de casse-tête similaire.
Commencez par des puzzles préexistants, a-t-il suggéré, car les créer à partir de zéro prend du temps.
Vous pouvez même utiliser les mots croisés cryptiques du journal.
" Il a promis de créer éventuellement un référentiel pour les puzzles du programme de PwC, en invitant les autres à contribuer.
