Proteggere una rete o un altro sistema dagli attacchi è un problema difficile.
Capire come un utente malintenzionato ha battuto il tuo sistema è un altro.
Le persone che hanno successo nella sicurezza delle informazioni tendono ad essere il tipo che apprezza quegli enigmi e problemi difficili, anche se in genere sono una tantum.
Quindi come ti eserciti e migliori nella risoluzione dei problemi?
L'azienda di servizi di sicurezza PwC UK mira a "creare fiducia nella società e risolvere problemi importanti".
Matt Wixey, responsabile della ricerca presso PwC, ha trascorso due anni su un programma per esercitare e migliorare le capacità di risoluzione dei problemi in un team di 300 professionisti informatici, utilizzando puzzle e indovinelli creati appositamente per il programma.
Il suo discorso del giovedì è caduto nella traccia Human Factors della conferenza Black Hat, che è cresciuta in popolarità negli ultimi anni.
La maggior parte dei discorsi in questo percorso prevede la guida dei dipendenti a fare la cosa giusta in termini di sicurezza o la creazione di sistemi che funzionino anche quando i dipendenti fanno la cosa sbagliata.
Con questa sessione, Wixey si è concentrato sull'affinamento delle capacità dell'élite della sicurezza: un cambiamento rinfrescante.
Spezzare i cervelli e risolvere i problemi
Wixey ha introdotto il suo discorso con un'ammissione: "Sono un appassionato di puzzle".
Ha continuato offrendo ai partecipanti un cruciverba criptico in stile britannico le cui risposte sono tutti argomenti sulla sicurezza delle informazioni.
Per chi non lo conoscesse, questi sono completamente diversi dai normali cruciverba.
Ci sono pochi incroci di parole e gli indizi riguardano giochi di parole e logica distorta, non conoscenza o un grande vocabolario.
Mostrando un'ampia conoscenza della tecnologia e della cognizione, Wixey ha iniziato con una discussione sulla natura della risoluzione dei problemi.
"Tutta la cognizione di livello superiore è la risoluzione dei problemi", ha osservato Wixey.
“Qualsiasi attivazione di concetti nel cervello per accedere a ulteriori concetti.
Aree specifiche del cervello si attivano quando sperimentate quella soluzione del "momento aha".
"
Ha continuato descrivendo una varietà di strategie per la risoluzione dei problemi, concludendo: “La più interessante di queste è l'insight, che si traduce in un cambiamento del problema stesso.
C'è un vecchio problema che richiede che tu porti una volpe, un pollo e un sacco di mais dall'altra parte del fiume, uno alla volta, senza lasciare che la volpe mangi il pollo o il pollo che mangi il mais.
L'intuizione è la consapevolezza che puoi anche prendere le cose indietro dall'altra parte del fiume."
Esercitare i muscoli del puzzle
"La risoluzione dei problemi è considerata un'abilità innata da alcuni", ha detto Wixey.
"Ma la ricerca mostra che tutti possono migliorare." Ha notato che il miglioramento richiede la misurazione e che il ricercatore dispone di test sui dispositivi per misurare le capacità di risoluzione dei problemi.
"Come si migliora?" ha chiesto Wixey.
"Più fai, meglio ci riesci." Ha esaminato le tecniche che possono potenziare tali abilità, tra cui spostare la prospettiva dal quadro piccolo a quello grande o viceversa, controllando se stessi per pregiudizi ed evitando di andare nella tana del coniglio.
Il programma puzzle
"In PwC abbiamo circa 300 dipendenti che comprendono un mix di background e conoscenze tecniche", ha affermato Wixey.
“Il programma di puzzle è iniziato da me che ho trollato un collega con il puzzle degli occhi azzurri di XKCD.
Da allora abbiamo eseguito forse 40 puzzle, la maggior parte progettati da zero.
Sono progettati per richiedere due o tre giorni.
"
Wixey ha descritto alcuni degli enigmi e ho capito che avrei potuto non fare bene nel suo programma.
Un enigma riguardava la conoscenza del significato del 35 maggio (non è un errore di battitura).
La soluzione di un altro enigma ha portato i risolutori al luogo di un evento di squadra.
Tuttavia, per arrivarci è stato necessario eseguire una clip di Rick Astley "Never Gonna Give You Up" attraverso uno spettrografo, decifrare il codice Morse sovrapposto a un clip filmato e quindi decodificare il ultrasonico Codice Morse nascosto nella stessa clip.
Pazzo!
Sconcertante per tutti
Wixey ha presentato i dati del sondaggio che indicano, tra le altre cose, che la maggior parte dei partecipanti al programma di puzzle lo trovava coinvolgente, ma che non tutti hanno approvato i tentativi di misurare le capacità di risoluzione dei problemi.
"Ho imparato che è importante mescolare il formato", ha detto Wixey.
"Idealmente rilascerai i puzzle in un modo che ti consenta di misurare il coinvolgimento.
Il collegamento ad altri eventi come gli eventi di squadra può aiutare.
Incoraggiare o addirittura imporre la collaborazione è positivo.
Forse per risolvere l'enigma è necessario un penetration tester per una parte, ma qualcuno in intelligence sulle minacce per un'altra.
E incoraggiare l'inclusività non rendendo tutto tecnico.
"
Wixey ha concluso raccomandando che altre società considerino un programma di puzzle simile.
"Inizia con enigmi preesistenti", ha suggerito, "poiché crearli da zero richiede tempo.
Potresti anche usare le parole crociate criptiche del giornale.
" Ha promesso di creare eventualmente un repository per i puzzle dal programma di PwC, invitando altri a contribuire.
