Das Sichern eines Netzwerks oder eines anderen Systems gegen Angriffe ist ein schwieriges Problem.
Herauszufinden, wie ein Angreifer Ihr System schlägt, ist eine andere.
Menschen, die in der Informationssicherheit erfolgreich sind, sind in der Regel diejenigen, die diese schwierigen Rätsel und Probleme zu schätzen wissen, auch wenn sie normalerweise einmalig sind.
Wie üben Sie und können Probleme besser lösen?
Das Sicherheitsdienstleistungsunternehmen PwC UK möchte „Vertrauen in die Gesellschaft aufbauen und wichtige Probleme lösen“.
Matt Wixey, Forschungsleiter bei PwC, verbrachte zwei Jahre mit einem Programm zur Übung und Verbesserung der Fähigkeiten zur Problemlösung in einem Team von 300 Cyber-Profis, wobei er Rätsel und Rätsel verwendete, die speziell für das Programm entwickelt wurden.
Sein Vortrag am Donnerstag fiel in den Human Factors-Track der Black Hat-Konferenz, der in den letzten Jahren immer beliebter wurde.
Die meisten Gespräche in diesem Track beinhalten die Anleitung der Mitarbeiter, sicherheitshalber das Richtige zu tun, oder die Entwicklung von Systemen, die auch dann funktionieren, wenn Mitarbeiter das Falsche tun.
In dieser Sitzung konzentrierte sich Wixey darauf, die Fähigkeiten der Sicherheitselite zu verbessern - eine erfrischende Veränderung.
Gehirne brechen und Probleme lösen
Wixey führte seinen Vortrag mit einem Eingeständnis ein: "Ich bin ein Puzzlesüchtiger." Anschließend bot er den Teilnehmern ein kryptisches Kreuzworträtsel im britischen Stil an, dessen Antworten alle Themen der Informationssicherheit sind.
Für diejenigen, die nicht vertraut sind, unterscheiden sich diese völlig von gewöhnlichen Kreuzworträtseln.
Es gibt nur wenige Wortkreuzungen, und die Hinweise beinhalten Wortspiel und verzerrte Logik, kein Wissen oder ein großes Vokabular.
Wixey zeigte ein breites Wissen über Technologie und Kognition und begann mit einer Diskussion über die Art der Problemlösung.
"Alle übergeordneten Erkenntnisse lösen Probleme", bemerkte Wixey.
„Jede Aktivierung von Konzepten im Gehirn, um auf weitere Konzepte zuzugreifen.
Bestimmte Bereiche des Gehirns werden aktiviert, wenn Sie diese Aha-Moment-Lösung erleben.
“
Er beschrieb eine Vielzahl von Problemlösungsstrategien und kam zu dem Schluss: „Die interessanteste davon ist die Einsicht, die zu einer Änderung des Problems selbst führt.
Es gibt ein altes Problem, bei dem Sie einen Fuchs, ein Huhn und eine Tüte Mais nacheinander über den Fluss bringen müssen, ohne den Fuchs zu verlassen, um das Huhn zu essen, oder das Huhn, um den Mais zu essen.
Einsicht ist die Erkenntnis, dass man auch Dinge nehmen kann zurück über den Fluss."
Puzzle-Muskeln trainieren
"Problemlösung wird von manchen als angeborene Fähigkeit angesehen", sagte Wixey.
"Aber die Forschung zeigt, dass jeder besser darin werden kann." Er stellte fest, dass Verbesserungen gemessen werden müssen und dass Forscher Gerätetests durchführen, um die Fähigkeiten zur Problemlösung zu messen.
"Wie verbessern Sie sich?" fragte Wixey.
"Je mehr du tust, desto besser wirst du darin." Er überprüfte Techniken, die solche Fähigkeiten verbessern können, einschließlich des Wechsels der Perspektive vom kleinen zum großen Bild oder umgekehrt, der Überprüfung auf Vorurteile und der Vermeidung, das Kaninchenloch hinunterzugehen.
Das Puzzle-Programm
"Wir bei PwC haben ungefähr 300 Mitarbeiter, die eine Mischung aus Hintergrund und technischem Wissen aufweisen", sagte Wixey.
„Das Puzzle-Programm wurde von mir gestartet, als ich einen Kollegen mit dem Blue Eyes-Puzzle von XKCD trollte.
Seitdem haben wir vielleicht 40 Rätsel gelöst, von denen die meisten von Grund auf neu entwickelt wurden.
Sie sollen zwei oder drei Tage dauern.
“
Wixey beschrieb einige der Rätsel, und mir wurde klar, dass ich in seinem Programm möglicherweise nicht gut abschneiden würde.
Ein Rätsel bestand darin, die Bedeutung des 35.
Mai zu kennen (das ist kein Tippfehler).
Die Lösung eines anderen Puzzles führte die Löser zum Ort eines Teamevents.
Um dorthin zu gelangen, mussten sie jedoch einen Clip von Rick Astleys „Never Gonna Give You Up“ durch einen Spektrographen laufen lassen, den einem Filmclip überlagerten Morsecode entschlüsseln und dann den entschlüsseln Ultraschall- Morsecode im selben Clip versteckt.
Verrückt!
Rätselhaft für alle
Wixey präsentierte Umfragedaten, aus denen unter anderem hervorgeht, dass die meisten Teilnehmer des Puzzle-Programms es interessant fanden, dass jedoch nicht alle Versuche zur Messung der Fähigkeiten zur Problemlösung befürworteten.
"Ich habe gelernt, dass es wichtig ist, das Format zu verwechseln", sagte Wixey.
„Idealerweise lösen Sie die Rätsel so, dass Sie das Engagement messen können.
Das Verknüpfen mit anderen Ereignissen wie Teamevents kann hilfreich sein.
Es ist gut, die Zusammenarbeit zu fördern oder sogar zu beauftragen.
Vielleicht erfordert das Lösen des Puzzles einen Penetrationstester für einen Teil, aber jemanden mit Bedrohungsinformationen für einen anderen.
Und fördern Sie die Inklusivität, indem Sie nicht alles technisch gestalten.
“
Wixey schloss mit der Empfehlung, dass andere Unternehmen ein ähnliches Puzzle-Programm in Betracht ziehen.
„Beginnen Sie mit bereits vorhandenen Rätseln“, schlug er vor, „da das Erstellen von Puzzles von Grund auf zeitaufwändig ist.
Sie könnten sogar die kryptischen Kreuzworträtsel aus der Zeitung verwenden.
“ Er versprach, irgendwann ein Repository für die Rätsel aus dem PwC-Programm zu erstellen und andere einzuladen, einen Beitrag zu leisten.
