カテゴリー

Uncategorized

最高のサイバー捜査官のように、「ばかげた」人になりましょう

  1. HOME >
  2. Uncategorized >

最高のサイバー捜査官のように、「ばかげた」人になりましょう

サイバーセキュリティ業界で最も親しい友人の1人は、他に類を見ないキャリアパスを持っています。事件対応で業界リーダーを雇用している間、彼は一貫して彼らの最も忙しい法医学捜査官であり、彼らの最も悪名高い事件のいくつかを主導していました。

サイバー捜査官

その後、大手EDR企業が独自のフォレンジックサービスを開始するのを支援する役割を果たしました。それでも不十分な場合は、シリコンバレーの大手テクノロジーベンダー向けに、洗練された内部脅威検出プログラムを(ゼロから)作成しました。彼は現在、彼のユニークな洞察を相談して提示するために、法律事務所とVCから同様に求められています。

ある日、飲み物を飲みながらおしゃべりをしているときに、私は彼に尋ねました。あなたを他の研究者から引き離しているのはあなたについて何ですか?」

彼の答えは即座でした:「ゲイリー、私は私が知っている最大のばかげた人です。」

彼は心から笑いましたが、私は不快に笑い、おそらく混乱しているように見えました(落胆していなければ)。

彼の説明の中で、彼は、特定の機能またはプロセスが攻撃者によってどのように悪用されて目標を達成したかを技術的に詳細に説明する、より多くの若手研究者から脅威レポートと調査を受け取る頻度を強調しました。その後、彼は通常、次のような質問をします。

  • それがそのように起こったことをどうやって知っていますか?
  • この機能をその目的に利用できると確信していますか?
  • この主張を検証するための情報はどこで入手しましたか?

彼は続けて、レポートを書いた調査員が技術的なギャップを埋めるために多くの「知識に基づいた推測」をした可能性があることを(十分な圧力と掘り下げで)しばしば発見するだろうと私に言いました。

彼は彼の成功の多くを1つの単純な点に帰しています。たとえあなたがかなり確信していても、何かがどのように起こったかをあなたが知っていると思い込まないでください。「ばかげた」こと。すべてを検証します。はい、これは難しい場合がありますが、結果として得られる作業の質は、多くの場合、同僚よりも頭を悩ませることになります。

彼が共有した概念は東洋の伝統、つまり「初心者の心」で長い間よく知られているので、彼は確かに賢人です。鈴木俊隆の言葉は、初心者の心をよく捉えています。「初心者の心には多くの可能性がありますが、専門家の心にはほとんどありません。」

調査している脅威に存在する可能性のある可能性を探る前に、そもそもそれらの可能性を受け入れる必要があります。

私の以前のヘルプネットセキュリティの記事(では12)、私はキャリアを開始し、脅威を調査し、それらについて書くことによって潜在的な雇用の前に目立つする方法については、脅威のハンター、研究者やresearcersを志望のためのアドバイスを共有しました。「ばかげている」ことは、それが聞こえるかもしれませんが、私の2番目の大きなアドバイスであり、あなたの研究と執筆をさらに価値のあるものにするのに役立ちます。

私の3番目のアドバイスは、フォーチュンクッキーからのもののように聞こえるかもしれませんが、それを推進する洞察は、セキュリティ業界全体で基本的に不明です。実際、これは、情報セキュリティの「擁護者」であるというこの側面について公に議論した最初の記事の1つである可能性があります。

私のアドバイスは次のとおりです。データを操作しないでください。データで遊ぶ。

最高の研究者や脅威ハンターの心の中に入る

Awake Securityを構築する最初の2年間、私たちはSOCに組み込まれた数千人時間を費やし、Tier 1、2、および3のアナリストと肩を並べて座っていました。私たちの調査は、アナリストがクリックするたびに手動で計測することから始まりました。これにより、プラットフォームでの開発を開始する前に、パターンを分析し、ユーザーのニーズに関する貴重な洞察を得ることができました。この調査の深さは、私がこのレベルで、またはこの厳格さで実行されたことを私が見たり聞いたりしたことのない、本当にユニークな経験でした。

私たちの調査は、アナリストがクリックするたびに動機付けられたものの認知的および心理的プロファイリングに発展しました。この調査は、認知と教育の分野の専門家によって実施されました。技術的に言えば、この研究分野は認知作業分析(CWA)として知られており、「複雑な社会技術作業システムのモデル化」に使用されます。ウィキペディアに説明しました

認知作業分析は、システムによって課せられる制約、その機能特性、実行されるアクティビティの性質、さまざまなアクターの役割、およびそれらの認知スキルと戦略を説明するために使用できます。CWAフレームワーク内のさまざまなツールは、システムモデリング、システム設計、プロセス設計、トレーニングニーズ分析、トレーニング設計と評価、インターフェイスの設計と評価、情報要件の仕様、入札評価、チーム設計など、さまざまな目的で使用されてきました。 、およびエラー管理トレーニングの設計。原子力ドメイン内での起源にもかかわらず、上記のCWAアプリケーションは、海軍、軍事、航空、運転、およびヘルスケアのドメインを含む、さまざまなドメインで行われています。

AwakeのCWA研究者の仕事は、スタンフォード、ハーバード、カーネギーメロン、オックスフォード、カリフォルニア大学バークレー校、およびその他の著名な大学のエンジニアチームによって支えられていました。チームには、数十年の経験を持つハッカーや調査員も含まれていました。パブリックドメインで同様の研究が見つかっていないため、この研究は前例のないものです。これにより、アナリストが実行するアクションを実行する理由について、まれでユニークな理解が得られました。私たちが見つけたものは、私たちの誰もが予想したものを超えており、理想的な脅威の検出とハンティングのプラットフォームを構築する方法についての先入観の多くに挑戦しました。

私たちの調査では、情報セキュリティの人々を他のテクノロジー部門から分離する認知特性だけでなく、セキュリティアナリストをセキュリティの他のサブディシプリンから分離する特性も分析しました。最高のパフォーマンスを発揮するアナリストが帰納的推論で平均よりもはるかに高いスコアを持っていることを知っても驚くことではありません。これは、一見無関係に見えるイベントの断片を組み合わせてパターンを識別する機能だからです。

補足として、そしておそらく同じように興味深いことに、攻撃的なセキュリティ分野(ハッキング)に最も成功した人々は、はるかに高度な演繹的推論特性を必要とする傾向があることもわかりました。

しかし、私たちの調査は、最初に正確な意思決定を行うために「閉鎖の柔軟性」と呼ばれる精神的特徴を持っている極端な信頼のアナリスト、特にアナリストに遭遇したとき、急激で予想外の変化を遂げました。クロージャの柔軟性は、データ内の重要なパターン(または動作)が気を散らすデータに囲まれている場合にそれらを識別する機能として広く定義されています。

これを理解する1つの方法は、一連のデータを調べるときに「閉鎖」を「重要性を探し続けるのをやめる」と理解することです(これは、侵害された可能性のあるデバイスの修復プロセスを開始する前にアナリストが下す​​重要な決定でもあります。 )。

「閉鎖」の前に「柔軟性」を高めるということは、他のほとんどの人が同じデータのパターンを探すのをやめた後もずっと、データセットからおそらく重要な情報を精神的に抽出し続けるということです。

これらすべての影響は、セキュリティ製品のUI設計に非常に深く関わっています(そして、ほとんどすべての主要な製品がアナリストの認知要件をサポートするように設計されていない理由を示しています)が、この理解は、作業への取り組み方にも深く関わっています。閉鎖の高度な柔軟性を行使している人を説明することは、その仕事に幼稚に、素朴に、あるいはおそらく頑固に従事している人を見ているようなものです。しかし、それは頑固さや素朴さではなく、むしろ遊びです。これに関する他の説明は、「フロー」である可能性があります(いくつかの点で)。

私は、閉鎖の柔軟性が高い人を「創造性」と表現します。創造性は、「自己批判や、アイデアや可能性の有用な探求を妨げるその他の制約がない」と表現できます。閉鎖の柔軟性という用語の「閉鎖」とは、一連のデータを調べるときに「重要性を探し続けることをやめる」ことを意味し、「停止」は通常、自分のプロセスまたは自信に対する否定的な判断に基づいていることを忘れないでください。

言い換えれば、遊びます。見る。おそらく単純に、ドットを接続することは、たとえ完全に意味がない場合でもです。そして、データで遊んでいるときは、愚か者であり続けるのに最適な時期です。すでに答えを知っていると思っていても、時間をかけて質問し、調査してください。そうすることで、他のすべての人が「やめる」のが早すぎて見逃したパターンが表面化する可能性があります。

業界の他の部分が見逃した脅威のパターンを見つけることは、あなたのキャリアの見通しにとって非常に有益です。

-Uncategorized