Det er et svært problem at sikre et netværk eller et andet system mod angreb.
At finde ud af, hvordan en angriber slår dit system, er en anden.
Folk, der lykkes med informationssikkerhed, har tendens til at være den slags, der sætter pris på disse hårde gåder og problemer, selvom de typisk er en engangsartikel.
Så hvordan træner du og bliver bedre til problemløsning?
Sikkerhedstjenesterfirmaet PwC UK har til formål at "opbygge tillid til samfundet og løse vigtige problemer." Matt Wixey, forskningsleder hos PwC, brugte to år på et program til at udøve og forbedre problemløsningskompetencer i et team på 300 cyberfagfolk ved hjælp af gåder og gåder, der blev oprettet specielt til programmet.
Hans torsdagsforedrag faldt i Black Hat-konferencens Human Factors-spor, som er vokset i popularitet de sidste mange år.
De fleste samtaler i dette spor involverer at lede medarbejdere til at gøre det rigtige sikkerhedsmæssigt eller at udvikle systemer, der fungerer, selv når medarbejdere gør de forkerte ting.
Med denne session fokuserede Wixey på at finpudse sikkerhedselitens færdigheder - en forfriskende ændring.
Bryde hjerne og løse problemer
Wixey introducerede sin tale med en indrømmelse: "Jeg er en narkoman." Han fortsatte med at tilbyde deltagerne et kryptisk krydsord i britisk stil, hvis svar alle er emner inden for informationssikkerhed.
For dem der ikke kender, er disse helt forskellige fra almindelige krydsord.
Der er få ordkrydsninger, og sporene involverer ordspil og skæv logik, ikke viden eller et stort ordforråd.
Med en bred viden om teknologi og kognition startede Wixey med en diskussion af arten af ??problemløsning.
”Al kognition på højere niveau er problemløsning,” bemærkede Wixey.
”Enhver aktivering af begreber i hjernen for at få adgang til yderligere begreber.
Specifikke områder af hjernen aktiveres, når du oplever den 'aha øjebliks' løsning.
”
Han fortsatte med at beskrive en række forskellige problemløsningsstrategier og konkluderede: ”Det mest interessante af disse er indsigt, hvilket resulterer i en ændring af selve problemet.
Der er et gammelt problem, der kræver, at du tager en ræv, en kylling og en pose majs over floden en ad gangen uden at lade ræven spise kyllingen eller kyllingen til at spise majsen.
Indsigt er erkendelsen af, at du også kan tage ting tilbage over floden.
”
Træner Puzzle Muskler
"Problemløsning betragtes af nogle som en medfødt færdighed," sagde Wixey.
"Men forskning viser, at alle kan blive bedre til det." Han bemærkede, at forbedring kræver måling, og at forskeren har enhedstest til at måle problemløsningskompetencer.
"Hvordan forbedrer du dig?" spurgte Wixey.
"Jo mere du gør, jo bedre får du det." Han gennemgik teknikker, der kan øge sådanne færdigheder, herunder at skifte perspektiv fra det lille til det store billede eller omvendt, kontrollere dig selv for forspændinger og undgå at gå ned i kaninhullet.
Puzzle-programmet
”Vi i PwC har omkring 300 medarbejdere, der består af en blanding af baggrunde og teknisk viden,” sagde Wixey.
”Puslespilsprogrammet startede med, at jeg trollede en kollega med XKCDs blå øjne-puslespil.
Siden da har vi kørt måske 40 gåder, mest designet fra bunden.
De er designet til at tage to eller tre dage.
”
Wixey beskrev et par af gåderne, og jeg indså, at jeg måske ikke gjorde det godt i hans program.
Et puslespil involverede at vide betydningen af ??den 35.
maj (det er ikke en skrivefejl).
Et andet puslespil førte løsere til placeringen af ??en holdbegivenhed.
At komme dertil krævede dem imidlertid at køre et klip Rick Astleys "Never Gonna Give You Up" gennem et spektrograf, dechifrere Morse-koden overlejret på et filmklip og derefter afkode ultralyd Morse-kode skjult i samme klip.
Helt vildt!
Gådefuldt for alle
Wixey præsenterede undersøgelsesdata, der blandt andet viste, at de fleste deltagere i puslespilsprogrammet fandt det engagerende, men at ikke alle godkendte forsøg på at måle færdigheder til problemløsning.
”Jeg har lært, at det er vigtigt at blande formatet,” sagde Wixey.
”Ideelt set frigiver du gåderne på en måde, der giver dig mulighed for at måle engagement.
Link til andre begivenheder som teambegivenheder kan hjælpe.
Det er godt at opmuntre eller endda kræve samarbejde.
Måske kræver løsningen af ??puslespillet en penetrationstester for den ene del, men en person i trusselsintelligens for den anden.
Og tilskynd til inklusion ved ikke at gøre det hele teknisk.
”
Wixey afsluttede med en anbefaling om, at andre virksomheder overvejer et lignende puslespilsprogram.
”Start med allerede eksisterende gåder,” foreslog han, “da det er tidskrævende at skabe dem fra bunden.
Du kan endda bruge de kryptiske krydsord fra avisen.
” Han lovede til sidst at oprette et lager til gåderne fra PwCs program og opfordre andre til at bidrage.
