Anteriormente discutí por qué la seguridad de la información se encuentra en un estado de crisis cognitiva , y la situación está empeorando. A pesar de la abundancia de información disponible gratuitamente, no nos adaptamos bien a la identificación y capacitación de habilidades prácticas en el campo de la seguridad de la información, en toda la variedad de especialidades disponibles. La mayoría de los nuevos especialistas son en su mayoría autodidactas, y las universidades no pueden dejar salir a los especialistas listos para trabajar.

La situación no es exclusiva de nuestra profesión. Problemas similares se encontraron anteriormente en medicina, derecho, contabilidad y otras áreas. Usando su ejemplo, uno puede identificar varios signos que determinan la crisis cognitiva:

La demanda de especialistas supera con creces la oferta . Para los profesionales experimentados, hay una gran cantidad de vacantes. Dado que muchas organizaciones necesitan experiencia, no pueden invertir adecuadamente en la capacitación de sus empleados. El déficit infla enormemente los salarios de los profesionales con habilidades relevantes y se produce hiperespecialización.

La mayor parte de la información no es confiable ni verificable . Existen pocas fuentes autorizadas de conocimiento sobre componentes y procedimientos críticos. Los practicantes dependen en gran medida de la experiencia personal y las observaciones que no están verificadas y objetivamente no verificadas. Esto dificulta el aprendizaje confiable de nueva información y hace aún más difícil desarrollar las mejores prácticas y medir el éxito.

Los principales problemas de la industria que no pueden resolverse sistemáticamente persisten . La industria no puede organizarse ni lidiar efectivamente con los mayores problemas que enfrenta. En medicina, se trata de epidemias y crisis, en contabilidad, robos incontrolados a gran escala mediante la falsificación de informes. Y los gusanos de la década de 2000 todavía están desenfrenados en las redes de computadoras: hay cientos de miles de hosts con puertos SMB vulnerables en Internet, y no hay signos de que la epidemia de cripto ransomware esté en declive. Muchos de los principales problemas que enfrentamos hace veinte años han sobrevivido o han empeorado.

A medida que otras áreas emergieron de la crisis cognitiva más formalizada y efectiva, la seguridad de la información tiene esperanza. Podemos aprender de ellos y hacer nuestra propia revolución cognitiva . Tres cosas deben suceder:

1. Debemos comprender a fondo los procesos sobre la base de los cuales se extraen conclusiones.
   
2. Los expertos deben desarrollar métodos y técnicas de enseñanza confiables y repetibles.
   
3. Los maestros deben construir y promover el pensamiento práctico.

En el centro de los tres pilares de la revolución cognitiva está el concepto del modelo mental.

Modelos mentales

El modelo mental es solo una forma de mirar el mundo. Estamos rodeados de sistemas complejos, por lo que el cerebro crea modelos para simplificar.

Usas modelos mentales todo el tiempo. Aquí hay algunos ejemplos:

Distribución y curva en forma de campana . En los datos distribuidos normalmente, la mayoría de los puntos se agrupan alrededor del medio. Por lo tanto, la mayoría de las personas tienen inteligencia media, y solo unas pocas son extremadamente bajas o altas.

Acondicionamiento operante . En muchos casos, el reflejo no surge debido al estímulo anterior, sino a las consecuencias. Si un ratón recibe comida cada vez que presiona una palanca, es más probable que la presione. Si está enfermo cada vez que come piña, es poco probable que continúe comiéndolas con frecuencia.

El metodo cientifico . Un descubrimiento científico generalmente sigue un proceso estándar: haga una pregunta, formule una hipótesis, realice un experimento para probar esta hipótesis e informe los resultados. Usamos esto no solo en nuestra investigación, sino también para probar la investigación de otros evaluando la correspondencia entre preguntas clave, hipótesis, procedimientos experimentales y conclusiones.

Cada uno de estos modelos simplifica algo complicado de tal manera que puede ser útil para profesionales y profesores por igual. Este pensamiento se centra en la interpretación de problemas y la toma de decisiones. Los modelos, por otro lado, son herramientas. Cuantas más herramientas tenga, mejor preparado estará para resolver muchos problemas.

Modelos aplicados

Los modelos mentales son herramientas especiales para una profesión en particular. En los últimos cien años, la medicina ha pasado por su revolución cognitiva, creando modelos mentales avanzados. Incluso con 60,000 diagnósticos posibles y 4,000 procedimientos, los médicos usan efectivamente estos modelos simples:

13 sistemas de órganos . Hay muchos componentes en el cuerpo, pero pueden considerarse como sistemas separados, en su mayoría autónomos. Los especialistas generalmente se centran en el estudio en profundidad de uno de estos sistemas. Esto hace que el aprendizaje sea más manejable.

Cuatro indicadores vitales . La entropía del cuerpo humano es enorme. Existen cuatro signos vitales básicos para detectar cambios significativos: temperatura, frecuencia respiratoria, presión arterial y frecuencia cardíaca. Los trabajadores médicos de todos los niveles pueden recopilar continuamente esta información como un medio permanente de evaluación diagnóstica preliminar.

Escala de dolor de diez puntos . El dolor es una medida diagnóstica importante porque indica la efectividad del tratamiento o la terapia. Pero el dolor es difícil de medir objetivamente. Al mismo tiempo, una escala de dolor gráfica simple ayuda a los médicos a comunicarse de manera efectiva con los pacientes y a notar cambios en el dolor desde el inicio.

También existen modelos mentales en la industria informática en los que confiamos mucho, aunque generalmente no los llamamos modelos mentales. Por ejemplo

Defensa en profundidad (DID). Un enfoque de la arquitectura de seguridad donde se agrupan categorías adicionales (investigación, defensa, respuesta, etc.) para proporcionar una posición amplia e integral.

Modelo OSI . Clasificación jerárquica de las funciones de comunicación de red utilizadas para desarrollar y analizar protocolos de comunicación y su interacción. Los desarrolladores de sistemas operativos y aplicaciones utilizan el modelo OSI para desarrollar la funcionalidad y establecer límites. Los administradores y analistas lo usan para solucionar e investigar problemas e incidentes de red.

Proceso de investigación . Una investigación de amenazas a la seguridad generalmente sigue este proceso: detecta datos de entrada sospechosos, hace preguntas, forma una hipótesis, comienza a buscar respuestas y repite el procedimiento hasta que llegue a una conclusión. Los analistas de seguridad utilizan este proceso para registrar eventos y decidir qué evidencia analizar.

Usas constantemente todo tipo de modelos mentales, pero no existen en el vacío. Cada uno de nosotros percibe el mundo a través del prisma de nuestra propia percepción única, creada bajo la influencia de la experiencia de la vida. Aunque el prisma cambia constantemente, estos modelos no se aplican uno tras otro. En cambio, la percepción consiste en superponer muchos modelos .

A veces estos son modelos auxiliares extraños. Por ejemplo, el modelo de afeitadora Occam supone que la explicación más simple suele ser correcta. El médico puede usar este principio junto con modelos mentales para el razonamiento deductivo y la evaluación del estado mental. Por ejemplo, la pérdida rápida de peso puede no deberse al cáncer de páncreas o a cientos de otras enfermedades, sino simplemente porque una persona no come lo suficiente, posiblemente debido a la depresión. Suena simple, pero sacar esa conclusión requiere una gran consideración y conciencia.

En otros casos, tenemos en cuenta modelos mentales competitivos que se contradicen entre sí: por ejemplo, la religión y la ciudadanía estatal. El cristianismo dicta "no matar", pero un estado democrático ofrece a los ciudadanos ir a la guerra para preservar sus libertades. Estos conflictos dan lugar a conflictos internos, durante los cuales a menudo se requieren compromisos.

Cuando nos enfrentamos a un nuevo modelo mental adecuado, lo incluimos en nuestro conjunto personal. Todo lo que pensamos, cada una de nuestras acciones pasa a través del filtro de estos modelos mentales, que empujan hacia acciones o se contradicen entre sí.

Modelos de desesperación

Los profesionales de seguridad de la información están desesperados por nuevos modelos, enfatizando aún más la crisis cognitiva. De hecho, a menudo tomamos buenos modelos y abusamos de ellos o los expandimos más allá de su propósito práctico.

La base de conocimiento de ataque MITER ATT & CK es una lista de métodos comunes para describir ataques de red. Este es un gran modelo que es útil de muchas maneras y, francamente, en algún momento, algo así era necesario.

Pero dado que los modelos son tan escasos, algunas organizaciones comenzaron a abandonar otros principios de seguridad e iniciativas exitosas, limitándose a verificar en la lista MITER ATT & CK. Del mismo modo, vi cómo las nuevas organizaciones de seguridad enfocan todas sus estrategias de detección y prevención solo sobre la base de ATT & CK sin primero formular un modelo de amenaza, sin comprender los activos valiosos y evaluar los riesgos. Este es el camino a ninguna parte. Esto no es culpa de MITRE: los propios desarrolladores de este marco están tratando activamente de explicar cuándo y cuándo no usar ATT & CK, enfatizando las limitaciones del marco.

El problema es que carecemos de modelos, por lo que inmediatamente usamos y abusamos de cualquier modelo razonable tan pronto como aparece. En definitiva, se necesitan buenos modelos. Se requiere una caja de herramientas robusta. Pero no en todas partes puede usar un martillo, y no necesitamos catorce sierras circulares.

¿Qué define a un buen modelo?

Ya mencioné varios modelos que ayudan a simplificar la educación y la práctica en TI, pero los modelos útiles y generalmente aceptados aún no son suficientes. ¿Qué determina un buen modelo?

Un buen modelo es simple . Los modelos ayudan a lidiar con la complejidad de los problemas. Si ellos mismos son más complejos que los problemas, entonces los beneficios disminuyen. La brevedad de la redacción es importante. Una descripción de 20 páginas del propósito y la aplicación del modelo es útil, pero los gráficos simples que transmiten la esencia simplifican enormemente la percepción y el uso. El modelo se puede representar en forma de diagrama, tabla o incluso una lista simple.

Un buen modelo es útil . El modelo debe ser lo suficientemente amplio como para aplicarse a personas y situaciones conocidas, pero lo suficientemente específico como para usarlo para una comprensión práctica de escenarios específicos. Imagínelo como una salida de cruce de autopista. La salida es claramente visible, es fácil conducir a baja velocidad. Una vez dentro, la pista debe proporcionar la máxima aceleración para que pueda moverse a un ritmo conveniente. Los modelos excelentes proporcionan a una persona un camino desde el conocimiento existente hasta conceptos complejos.

Un buen modelo es imperfecto . La mayoría de los modelos son generalizaciones creadas por razonamiento inductivo. Siempre hay situaciones límite, y estas excepciones son importantes porque proporcionan un mecanismo para refutar el modelo. La clave para entender una teoría o sistema es saber cuándo no funciona. Como los modelos son imperfectos, no se pueden aplicar a ninguna situación. El modelo debe tener criterios claros de uso para que no se use en situaciones inapropiadas.

Creación de modelos

La mayoría de los modelos se crean por razonamiento inductivo . El razonamiento inductivo es el proceso de formación de generalizaciones basadas en la experiencia de vida, observaciones o datos recopilados. Si se encuentra con varias secuencias de comandos PowerShell ofuscadas maliciosas, puede generalizar que la ofuscación es una señal de una secuencia de comandos maliciosa. Este no es un modelo, sino una heurística (regla general) que es potencialmente útil en la investigación. Se combina con varios otros y forma un modelo para la investigación, evidencia u otra cosa.

La fuerza del razonamiento inductivo depende del número y la variedad de observaciones en las que se basan las conclusiones . Una vez trabajé con un analista que vio un par de veces cómo los atacantes usan el servidor web Nginx en su infraestructura. Sin embargo, nunca vio que Nginx se usaba para fines legítimos, por lo que llegó a la conclusión inductiva de que este servidor web generalmente lo usan los atacantes. Por supuesto, Nginx es utilizado por todos, y esta heurística inductiva no se basa en el patrón correspondiente, lo que condujo a malas conclusiones y tiempo perdido.

Al crear un modelo, la barra de evidencia es aún mayor. El modelo debe basarse en una gran cantidad de observaciones en una amplia gama de mediciones.

Creo que la mayoría de los modelos comienzan con la pregunta correcta. Por ejemplo, ¿un hot dog es un sándwich?

Esta es la pregunta equivocada. Pero te permite llegar a la pregunta correcta. Independientemente de su opinión, incluso una breve discusión finalmente lo lleva a la pregunta correcta: "¿Cuál es la definición de un emparedado?"

Esta es la pregunta correcta. En la respuesta, enumera las propiedades del emparedado y la relación entre estas propiedades.

Un sándwich tiene varias capas, la capa externa generalmente se basa en carbohidratos, etc.

Refinará estas propiedades resaltando ejemplos claros de sándwiches y no sándwiches, teniendo en cuenta la discusión de situaciones límite.

Italian Hero es definitivamente un sandwich. Pizza, obviamente no. Cual es la diferencia ¿Cómo aplicar esto a un hot dog?

Las discusiones deben ser ricas y variadas para obtener una perspectiva única. Revelan una serie de situaciones límite y diferencias culturales en las que no has pensado.

¿Qué tal tacos? Esta es una variante de un sándwich en una cultura particular. ¿Cómo aplicarlo en el modelo?

La discusión crea valor. Las preguntas y respuestas correctas son mucho trabajo para llegar a un modelo útil.

Por cierto, una regla de cubo es una forma de determinar si un hot dog es un sándwich. Simplemente no jures, es solo una opción.

Conclusión

Los modelos mentales le permiten tomar mejores decisiones y aprender más rápido. Estas son herramientas que simplifican la complejidad y son cruciales en cualquier profesión. Para que la seguridad de la información supere la crisis cognitiva, debemos ser más hábiles en el desarrollo, uso y enseñanza de buenos modelos. Si desea saber más sobre modelos específicos de seguridad de la información, algunos de ellos se enumeran a continuación.

Referencias

• Simon, H. A. (1957). “Modelos humanos; social y racional ".
  
• Page, S. (2018). "Pensar en modelos: lo que necesita saber para que la información funcione para usted", Basic Books, NY
  
• Curva en forma de campana
  
• Condicionamiento operante
  
• Método cientifico
  
• Modelo OSI
  
• Sistemas de órganos
  
• Signos vitales
  
• Escala de dolor de diez puntos

Diferentes modelos de seguridad de la información.

• Proceso de investigación
  
• Análisis de invasión de diamantes
  
• MITRE ATT Y CK
  
• Defensa en profundidad
  
• Piramide del dolor
  
• Cyber ​​Kill Chain
  
• Intención de evidencia
  
• Proceso de respuesta a incidentes PICERL