Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Почему ВУЗы не преподают теорию игр специалистам по ИБ?
24 сентября 2019 |
Я календарь перевернул... в понедельник прошел день знаний и я бы хотел
задаться очередным риторическим вопросом относительно нашего образования
по ИБ и той странной ситуации, которая сложилось при приеме на работу,
когда от соискателя требуют высшего образования по ИБ, но при этом сразу
говорят ему, чтобы он забыл все, чему его учили в институте :-) И дело
тут не в самой парадоксальной ситуации, сколько в том, что у нас
действительно учат не совсем тому, а самое главное, не совсем так, как
того требует жизнь.
Когда я учился на "Прикладной математике", моя специализация по диплому
была "Защита информации", но что удивительно, нам не преподавали теорию
игр, которая, очень хорошо подходит для преподавания специалистам по ИБ.
Сейчас я оставлю в стороне тему бизнес-направленности ИБ - ей очень
трудно учить студентов технических специальностей, которые еще даже не
знают, пойдут они работать в ИБ или нет. А вот теория игр подойдет,
независимо от того, станет ли выпускник безопасником или пойдет искать
себя на каком-либо ином поприще. В области же ИБ эта теория может найти
свое достойное место, повернув процесс преподавания как от тупого
пересказа преподавателями российской нормативки, в которой даже ее
авторы уже путаются, так и от рассмотрения устаревших версий средств
защиты, которые составляют хорошо если 10% от портфолио, с которым
придется иметь дело выпускнику.
ВУЗ готовит специалиста в непонятной для меня парадигме. Либо ты учишь
нормативку и твоя задача, выполнять кучу приказов, стандартов, положений
и законов, которые выполняют только потому, что это якобы обязательные
нормативные акты. Но насколько они нужны бизнесу, насколько они помогают
бороться с современными угрозами, совершенно непонятно. Либо студенту
рассказывают и показывают скриншоты отечественных средств защиты,
которые могут и не отразить те атаки (а может и вовсе не увидеть),
которые против них будут реализовывать злоумышленники. Теория же игр
позволяет учесть нам многомерность мира современного безопасника и то,
что ему приходится выбирать стратегию лавирования между хакерами и
регуляторами (как минимум).
По сути речь идет о некооперативной игре с ненулевой суммой, где как
минимум 3 игрока - компания, хакеры и регуляторы. Каждая из сторон имеет
свою цель и некоторую стратегию, которая ведет либо к выигрышу, либо к
проигрышу - в зависимости от поведения других игроков. Вот эта
зависимость от поведения других игроков отличает теорию игр от типичного
преподавания ИБ в российских ВУЗах. Теория игр учитывает ресурсы
игроков, их поведение и его вариативность, различные цели игроков, а
также наличие определенных правил игры. Все это позволяет выстроить (или
приблизиться) оптимальную стратегию деятельности своей службы. В более
реалистичном примере игроков у нас становится больше - и регулятор у нас
обычно не один, и хакерских групп с разной тактикой не одна, и даже
сама компания представляет из себя набор разных сил с разными
интересами, которые надо учитывать в ИБ, - пользователи, бизнес, ИТ...
К сожалению, теория игр до недавнего времени не находила своего
отражения не только в преподавании ИБ, но и на корпоративном рынке.
Ситуация стала меняться только в последнее время, когда в ИБ стали
набирать популярность подходы к геймификации,
которые можно условно разделить на два основных течения - киберучения и
игры. Первое позволяет моделировать различные реальные ситуации,
происходящие в жизни, и смотреть, как на них будут реагировать
специалисты по ИБ, которым приходится выходить за шоры своих вузовских
знаний, которые часто действительно неприменимы в жизни. Я очередные
киберучения буду проводить через месяц, в октябре, на Алтайском региональном ИТ-форуме в Барнауле.
Второе позволяет в привычной для фанатов компьютерных или настольных
игр форме, поучаствовать в кибербаталиях. В феврале я уже писал про пример одной такой игры - "Хакер".
Про игру Касперского я повторяться не буду, покажу еще парочку примеров
игр по ИБ, которые основаны на теории игр (я постил их скриншоты в
своем Twitter, но решил повторить и в блоге). Начну с решения Project Ares
компании Circadence, которое позволяет моделировать различные ситуации и
учить специалистов по ИБ реагированию на различные ситуации.
За последний год проект существенно обновился и "вырос" - появились
различные варианты подписки - для ВУЗов, для корпоративных пользователей
и т.п.
Есть различные сценарии проведения игр с разным числом участников и разными заданиями.
Есть своя система рейтингов и подсчета очков, которая позволяет
проводить соревнования между студенческими группами или группами
специалистов по ИБ в рамках одной компании или группы компаний.
Есть в Project Ares и развлекательные компоненты, например, "пасьянс "Косынка" на тему ИБ:
или аналог "Своей игры":
или аналог "Змейки":
Стоит отметить, что несмотря на игровой формат, Project Ares - это не
обычная компьютерная игрушка. Это целая платформа для обучения
специалистов по ИБ, использующая разные техники, вплоть до
искусственного интеллекта, подстраивающегося под манеру каждого игрока и
меняющего задания на ходу.
Но стали появляться и компьютерные игры, доступные каждому желающему. Например, на игровой платформе Steam скоро выпустят игру ThreatGEN: Red vs Blue,
которая позволит множеству игроков попробовать себя в роли хакеров или
защитников, не ломая реальные сети и системы, но оттачивая свои
стратегические и тактические навыки, которые можно будет применять в
реальной жизни (конечно, с оговорками).
У этой игры будет несколько версий:
- Red vs Blue. Игра для всех желающих на платформе Steam.
- Red vs Blue Corporate. Настраиваемые сценарии игр для корпоративных тренингов.
- Red vs Blue CTF. Соревнования команд.
- Red vs Blue Tabletop. Игра для проведения штабных киберучений.
- Red vs Blue Instructor Led Training.
Несмотря на громкое название заметки, я не ставил перед собой цель
написать учебник или пособие по теории игр для кибербезопасника
(все-таки я учил эту дисциплину в качестве факультатива, для себя лично,
уже после окончания ВУЗа, и не могу сказать, что я в ней специалист).
Скорее мне хотелось показать, что сегодня, в условиях непрерывно
меняющихся технологий, атак, нормативки, и постоянно устаревающих
знаний, подходы к обучению (в том числе и корпоративному) должны
меняться. И геймификация, построенная на теории игр, является одним из
инструментов решения этой задачи.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.