Att säkra ett nätverk eller annat system mot attack är ett svårt problem.
Att räkna ut hur en angripare slår ditt system är en annan.
Människor som lyckas med informationssäkerhet tenderar att vara den typ som uppskattar dessa hårda pussel och problem, även om de vanligtvis är en engång.
Så hur tränar du och blir bättre på problemlösning?
Säkerhetstjänstföretaget PwC UK syftar till att ”bygga förtroende för samhället och lösa viktiga problem.” Matt Wixey, forskningsledare på PwC, tillbringade två år på ett program för att utöva och förbättra färdigheter i problemlösning i ett team av 300 cyberproffs, med hjälp av pussel och gåtor som skapats speciellt för programmet.
Hans torsdagsprat föll i Black Hat-konferensens Human Factors-spår, som har ökat i popularitet de senaste åren.
De flesta samtal i det här spåret handlar om att vägleda anställda till att göra rätt saker säkerhetsmässigt eller att utforma system som fungerar även när anställda gör fel saker.
Med denna session fokuserade Wixey på att finslipa säkerhetselitens färdigheter - en uppfriskande förändring.
Bryta hjärnan och lösa problem
Wixey introducerade sitt tal med ett erkännande: "Jag är en pusselmissbrukare." Han fortsatte med att erbjuda deltagarna ett kryptiskt korsord i brittisk stil vars svar är alla ämnen inom informationssäkerhet.
För de som inte är bekanta skiljer sig dessa helt från vanliga korsord.
Det finns få ordkorsningar, och ledtrådarna involverar ordspel och skev logik, inte kunskap eller ett stort ordförråd.
Med en bred kunskap om teknik och kognition ledde Wixey in med en diskussion om problemlösningens natur.
"All högre nivå kognition är problemlösning," noterade Wixey.
”Varje aktivering av begrepp i hjärnan för att få tillgång till ytterligare begrepp.
Specifika områden i hjärnan aktiveras när du upplever den "aha ögonblicket" -lösningen.
”
Han fortsatte med att beskriva en mängd olika problemlösningsstrategier och slutsatsen: ”Det mest intressanta av dessa är insikt, vilket resulterar i en förändring av själva problemet.
Det finns ett gammalt problem som kräver att du tar en räv, en kyckling och en påse majs över floden en i taget utan att lämna räven att äta kycklingen eller kycklingen att äta majsen.
Insikt är insikten att du också kan ta saker tillbaka på andra sidan floden."
Träna pusselmuskler
"Problemlösning anses av vissa vara en medfödd skicklighet", säger Wixey.
"Men forskning visar att alla kan bli bättre på det." Han noterade att förbättring kräver mätning, och att forskare har enhetstest för att mäta färdigheter för problemlösning.
"Hur förbättrar du dig?" frågade Wixey.
"Ju mer du gör, desto bättre blir du med det." Han granskade tekniker som kan öka sådana färdigheter, inklusive att flytta perspektiv från den lilla till stora bilden eller tvärtom, kontrollera dig själv för partiskhet och undvika att gå ner i kaninhålet.
Pusselprogrammet
"Vi på PwC har cirka 300 anställda som består av en blandning av bakgrund och teknisk kunskap", säger Wixey.
”Pusselprogrammet startade med att jag trollade en kollega med XKCD: s blå ögonpussel.
Sedan dess har vi kört 40 pussel, mest designade från grunden.
De är utformade för att ta två eller tre dagar.
”
Wixey beskrev några av pusselarna, och jag insåg att jag kanske inte gjorde det bra i hans program.
Ett pussel innebar att veta betydelsen av den 35 maj (det är inte ett stavfel).
Ett annat pussels lösning ledde lösare till platsen för ett lagevenemang.
Att komma dit krävde dock att de kör ett klipp Rick Astleys "Never Gonna Give You Up" genom en spektrograf, dechiffrerar Morse-koden som läggs på ett filmklipp och sedan avkodar ultraljuds- Morse-kod dold i samma klipp.
Galen!
Förvirrande för alla
Wixey presenterade undersökningsdata som indikerade bland annat att de flesta deltagare i pusselprogrammet tyckte att det var engagerande, men att inte alla godkände försök att mäta problemlösningskunskaper.
"Jag har lärt mig att det är viktigt att blanda ihop formatet", säger Wixey.
”Helst släpper du pusselarna på ett sätt som låter dig mäta engagemang.
Att länka till andra händelser som teamevenemang kan hjälpa till.
Att uppmuntra eller till och med kräva samarbete är bra.
Att kanske lösa pusslet kräver en penetrationstestare för en del men någon i hotinformation för en annan.
Och uppmuntra inkludering genom att inte göra allt tekniskt.
”
Wixey avslutade med en rekommendation att andra företag anser ett liknande pusselprogram.
”Börja med befintliga pussel”, föreslog han, “eftersom det är tidskrävande att skapa dem från grunden.
Du kan till och med använda de kryptiska korsorden från tidningen.
” Han lovade att så småningom skapa ett arkiv för pussel från PwCs program och bjuda in andra att bidra.
