Ментальные Модели В Информационной Безопасности

Ранее я приводил аргументы в пользу того, почему информационная безопасность находится в постоянном движении.

когнитивный кризис , и ситуация ухудшается.

Несмотря на обилие свободно доступной информации, мы плохо справляемся с выявлением и обучением практическим навыкам в области информационной безопасности по всему многообразию имеющихся специальностей.

Большинство новых специалистов в основном самоучки, а университеты не способны выпускать специалистов, готовых к работе.

Ситуация не уникальна для нашей профессии.

Медицина, право, бухгалтерский учет и другие сферы ранее сталкивались с подобными проблемами.

На их примере мы можем выделить несколько признаков, определяющих когнитивный кризис: Спрос на специалистов существенно превышает предложение .

Для опытных специалистов имеется огромное количество вакансий.

Поскольку многим организациям требуется опыт, они не в состоянии адекватно инвестировать в обучение своих сотрудников.

Нехватка значительно раздувает зарплаты практиков с соответствующими навыками, происходит гиперспециализация.

Большая часть информации недостоверна и не поддается проверке.

.

Существует мало авторитетных источников знаний о важнейших компонентах и процедурах.

Практикующие во многом полагаются на личный опыт и наблюдения, которые не проверены и не подтверждены объективно.

Это затрудняет надежное изучение новой информации и еще больше затрудняет разработку передового опыта и оценку успеха.

Остаются серьезные проблемы отрасли, которые невозможно решить систематически.

.

Отрасль не может организовать или эффективно бороться с самыми серьезными проблемами, с которыми она сталкивается.

В медицине это эпидемии и кризисы; в бухгалтерии - это бесконтрольные хищения в крупных размерах путем фальсификации отчетности.

А черви 2000-х годов до сих пор свирепствуют в компьютерных сетях: в Интернете существуют сотни тысяч хостов с уязвимыми портами SMB, и нет никаких признаков того, что эпидемия программ-вымогателей идет на убыль.

Многие из основных проблем, с которыми мы столкнулись двадцать лет назад, остались прежними или даже усугубились.

Поскольку другие области выходят из когнитивного кризиса более формализованными и эффективными, появляется надежда на информационную безопасность.

Мы можем учиться у них и создавать свои собственные когнитивная революция .

Должно произойти три вещи:

1. Мы должны тщательно понимать процессы, посредством которых делаются выводы.

2. Эксперты должны разработать надежные, воспроизводимые методы и приемы обучения.

3. Учителя должны формировать и продвигать практическое мышление.

Ментальные модели Ментальная модель — это просто способ взглянуть на мир.

Мы окружены сложными системами, поэтому мозг создает модели для упрощения.

Вы постоянно используете ментальные модели.

Вот некоторые примеры:



Распределение и колоколообразная кривая .

В нормально распределенных данных большинство точек группируется вокруг середины.

Таким образом, большинство людей обладают средним интеллектом и лишь немногие имеют крайне низкий или высокий интеллект.



Оперантного кондиционирования .

Во многих случаях рефлекс возникает не из-за предшествующего раздражителя, а из-за его последствий.

Если мышь будет получать еду каждый раз, когда нажимает на рычаг, она с большей вероятностью нажмет его.

Если вы заболеваете каждый раз, когда едите ананас, вы вряд ли будете продолжать есть его часто.

Научный метод .

Научное открытие обычно следует стандартному процессу: задайте вопрос, сформулируйте гипотезу, проведите эксперимент для проверки этой гипотезы и сообщите о результатах.

Мы используем это не только в наших собственных исследованиях, но и для подтверждения исследований других, оценивая согласованность между ключевыми вопросами, гипотезами, экспериментальными процедурами и выводами.

Каждая из этих моделей упрощает что-то сложное таким образом, что может быть полезно как для практиков, так и для преподавателей.

Это мышление направлено на интерпретацию проблем и принятие решений.

С другой стороны, модели — это инструменты.

Чем больше у вас инструментов, тем лучше вы подготовлены к решению множества проблем.

Модели приложений Ментальные модели — это специализированные инструменты для конкретной профессии.

За последние сто лет медицина пережила собственную когнитивную революцию, создав передовые ментальные модели.

Даже при наличии 60 000 возможных диагнозов и 4 000 процедур врачи эффективно используют эти простые модели:



13 систем органов .

Тело состоит из множества компонентов, но их можно рассматривать как отдельные, в значительной степени автономные системы.

Специалисты обычно сосредотачивают внимание на углубленном изучении одной из таких систем.

Это делает область обучения более управляемой.

Четыре жизненно важных признака .

Антропия человеческого тела огромна.

Существует четыре основных жизненно важных показателя, по которым можно обнаружить значительные изменения: температура, частота дыхания, артериальное давление и пульс.

Поставщики медицинских услуг на всех уровнях умеют постоянно собирать эту информацию в качестве постоянного средства предварительной диагностической оценки.

Десятибалльная шкала боли .

Боль является важным диагностическим показателем, поскольку она указывает на эффективность лечения или терапии.

Но боль трудно измерить объективно.

В то же время простая графическая шкала боли помогает врачам эффективно общаться с пациентами и замечать изменения боли по сравнению с исходным уровнем.

В компьютерной индустрии также существуют ментальные модели, на которые мы в значительной степени полагаемся, хотя обычно мы их не называем ментальными моделями.

Например,



Глубокоэшелонированная защита (глубокоэшелонированная оборона, DID).

Подход к архитектуре безопасности, в котором дополнительные категории (расследование, защита, реагирование и т. д.) накладываются на несколько слоев, чтобы обеспечить широкую и всеобъемлющую позицию.

Модель OSI .

Иерархическая классификация функций сетевых коммуникаций, используемая для разработки и анализа протоколов связи и их взаимодействия.

Разработчики ОС и приложений используют модель OSI для проектирования функциональности и установления границ.

Администраторы и аналитики используют его для устранения неполадок и расследования сетевых проблем и инцидентов.

Процесс расследования .

Расследования угроз безопасности обычно следуют этому процессу: обнаруживают подозрительные входные данные, задают вопросы, формируют гипотезу, начинают поиск ответов — и повторяют процесс, пока не придут к выводу.

Аналитики безопасности используют этот процесс для создания хроники событий и принятия решения о том, какие доказательства следует анализировать.

Вы постоянно используете всевозможные ментальные модели, но они не существуют в вакууме.

Каждый из нас воспринимает мир через призму своего уникального восприятия, созданного под влиянием жизненного опыта.

Хотя призма постоянно меняется, эти модели не применяются одна за другой.

Вместо этого восприятие состоит из наслоения множества моделей .

Иногда это вспомогательные зарубежные модели.

Например, модель бритвы Оккама предполагает, что самое простое объяснение обычно является правильным.

Врач может использовать этот принцип вместе с ментальными моделями для дедуктивных рассуждений и оценки психического состояния.

Например, быстрая потеря веса может быть связана не с раком поджелудочной железы или сотней других заболеваний, а просто с тем, что человек недостаточно ест, возможно, из-за депрессии.

Звучит просто, но для того, чтобы прийти к такому выводу, требуется большая вдумчивость и осознанность.

В других случаях мы принимаем во внимание конкурирующие ментальные модели, противоречащие друг другу: например, религия и государственное гражданство.

Христианство диктует «не убий», но демократическое государство призывает граждан идти на войну, чтобы защитить свои свободы.

Эти конфликты порождают внутренние раздоры, в ходе которых часто приходится идти на компромиссы.

Когда мы сталкиваемся с новой ментальной моделью, которая нам подходит, мы включаем ее в свой личный репертуар.

Все, о чем мы думаем, каждое действие, которое мы совершаем, проходит через фильтр этих мысленных моделей, которые подталкивают нас к действию или противоречат друг другу.

Модели отчаяния Специалисты по информационной безопасности отчаянно нуждаются в новых моделях, что еще больше подчеркивает когнитивный кризис.

На самом деле мы часто берем хорошие модели и злоупотребляем ими или выходим за рамки их практического назначения.

База знаний об атаках MITRE ATT&CK представляет собой список распространенных методов описания сетевых атак.

Это отличная модель, полезная во многих отношениях, и, честно говоря, в какой-то момент что-то подобное нам понадобилось.

Но поскольку моделей так мало, некоторые организации начали отказываться от других принципов безопасности и успешных инициатив в пользу проверки по списку MITRE ATT&CK. Аналогичным образом, я видел, как новые организации по обеспечению безопасности сосредотачивают все свои стратегии обнаружения и предотвращения только на ATT&CK, без предварительной формулировки модели угроз, понимания ценных активов и оценки рисков.

Это дорога в никуда.

Это не вина MITRE: сами разработчики фреймворка активно пытаются объяснить, когда следует и не следует использовать ATT&CK, подчеркивая ограничения фреймворка.

Проблема в том, что у нас недостаточно моделей, поэтому мы сразу же используем и злоупотребляем любой разумной моделью, как только она появляется.

В конечном счете, нужны хорошие модели.

Необходим надежный набор инструментов.

Но мы не можем везде пользоваться молотком, и нам не нужны четырнадцать циркулярных пил.

Что определяет хорошую модель? Я уже упомянул несколько моделей, которые помогают упростить обучение и практику в ИТ, но полезных и общепринятых моделей пока недостаточно.

Что определяет хорошую модель? Хорошая модель проста .

Модели помогают бороться со сложностью проблем.

Если они сами по себе сложнее проблем, то польза снижается.

Важна краткость формулировок.

20-страничное описание назначения и применения модели полезно, но простая графика, передающая суть, значительно облегчает понимание и использование.

Модель может быть представлена в виде диаграммы, таблицы или даже простого списка.

Хорошая модель полезна .

Модель должна быть достаточно широкой, чтобы ее можно было применить к довольно известным людям и ситуациям, но достаточно конкретной, чтобы ее можно было использовать для практического понимания конкретных сценариев.

Думайте об этом как о въезде на перекресток шоссе.

Выход хорошо виден и к нему легко подъехать на небольшой скорости.

Внутри трасса должна обеспечивать максимальное ускорение, чтобы вы могли двигаться в комфортном темпе.

Хорошие модели открывают путь от существующих знаний к сложным концепциям.

Хорошая модель несовершенна .

Большинство моделей представляют собой обобщения, полученные посредством индуктивных рассуждений.

Пограничные ситуации существуют всегда, и эти исключения важны, поскольку обеспечивают механизм фальсификации модели.

Ключом к пониманию теории или системы является понимание того, когда она не работает. Поскольку модели несовершенны, их нельзя применять к каждой ситуации.

Модель должна иметь четкие критерии использования, чтобы ее нельзя было применять в неподходящих ситуациях.

Создание моделей Большинство моделей созданы индуктивное мышление .

Индуктивное рассуждение — это процесс формирования обобщений на основе жизненного опыта, наблюдений или собранных данных.

Если вы встретите несколько вредоносных запутанных сценариев PowerShell, вы можете сделать вывод, что запутывание является признаком вредоносного сценария.

Это не модель, а эвристика (практическое правило), потенциально полезная в исследованиях.

Он объединяется с несколькими другими и образует модель для исследований, доказательств или чего-то еще.

Сила индуктивных рассуждений зависит от количества и разнообразия наблюдений, на которых основаны выводы.

.

Однажды я работал с аналитиком, который пару раз видел, как злоумышленники использовали веб-сервер Nginx в своей инфраструктуре.

Однако он никогда не видел, чтобы Nginx использовался в законных целях, поэтому он интуитивно пришел к выводу, что этот веб-сервер обычно используется злоумышленниками.

Конечно, Nginx используют все, и эта индуктивная эвристика не основана на подходящей закономерности, что привело к неверным выводам и потере времени.

При создании модели планка доказательности еще выше.

Модель должна быть основана на огромном количестве наблюдений в широком диапазоне измерений.

Я считаю, что большинство моделей начинаются с правильного вопроса.

Например, является ли хот-дог сэндвичем?



Это неправильный вопрос.

Но это позволяет нам прийти к правильному вопросу.

Независимо от вашего мнения, даже краткое обсуждение в конечном итоге приведет вас к правильному вопросу: «Каково определение сэндвичаЭ» Это правильный вопрос.

В своем ответе вы перечислите свойства сэндвича и взаимосвязь между этими свойствами.

Сэндвич состоит из нескольких слоев, внешний слой обычно состоит из углеводов и т. д. Вы проясните эти свойства, выявив наглядные примеры бутербродов и несэндвичей с учетом обсуждения пограничных ситуаций.

Итальянский герой – это определенно сэндвич.

Пицца - однозначно нет. В чем разница? Как это применимо к хот-догу? Обсуждения должны быть насыщенными и разнообразными, чтобы получить уникальную точку зрения.

Они раскрывают множество пограничных ситуаций и культурных различий, о которых вы даже не задумывались.

Как насчет тако? Это культурная версия сэндвича.

Как применить это в модели? Обсуждение создает ценность.

Задавать правильные вопросы и отвечать на них — это большая работа, чтобы создать полезную модель.

Кстати, правило куба это один из способов определить, является ли хот-дог сэндвичем.

Только не ругайтесь, это просто вариант. Заключение Ментальные модели позволяют вам принимать более правильные решения и учиться быстрее.

Это инструменты, которые упрощают сложность и имеют решающее значение в любой профессии.

Чтобы информационная безопасность смогла преодолеть когнитивный кризис, мы должны стать более искусными в разработке, использовании и обучении хороших моделей.

Если вы хотите узнать больше о конкретных моделях информационной безопасности, некоторые из них перечислены ниже.

Ссылки

• Саймон, HA (1957).

  «Модели человека; социальное и рациональное».

• Пейдж, С.

  (2018).

  «Мышление моделями: что нужно знать, чтобы информация работала на вас», Basic Books, Нью-Йорк.

• Кривая колокола
• Оперантного кондиционирования
• Научный метод
• Модель OSI
• Системы органов
• Жизненно важные признаки
• Десятибалльная шкала боли

• Процесс расследования
• Анализ вторжений с использованием ромбовидной модели
• МИТРА AT&CK
• Глубокоэшелонированная защита (Глубокоэшелонированная защита)
• Пирамида боли (Пирамида боли)
• Цепочка киберубийств (Кибер-убийственная цепочка)
• Доказательства намерения (Доказательство намерения)
• Процесс реагирования на инциденты PICERL

• Ознакомьтесь С Новым Ноутбуком Toshiba A500-132

  19 Oct, 24

• 2Гис Встроил В Картографический Сервис Мессенджер Для Общения С Компаниями

  19 Oct, 24

• Имобилко – Нелегально Легально?

  19 Oct, 24

• Чего Нового Ожидать От Amd?

  19 Oct, 24

• Связь-Экспокомм 2008

  19 Oct, 24

• Вот Как Apple Проникает В Сознание Невинных Землян

  19 Oct, 24

• Международный День Числа Пи

  19 Oct, 24

• Интересная Статья О Фрилансе

  19 Oct, 24

• 2007 Год Станет Годом Монетизации Социальных Сетей

  19 Oct, 24

• Приложение «Газетный Киоск». Создание Журнала Ios

  19 Oct, 24