Saya sebelumnya berpendapat mengapa keamanan informasi berada dalam kondisi krisis kognitif , dan situasinya semakin buruk. Terlepas dari banyaknya informasi yang tersedia secara bebas, kami tidak dapat mengatasi dengan baik identifikasi dan pelatihan keterampilan praktis di bidang keamanan informasi, dalam seluruh ragam spesialisasi yang tersedia. Sebagian besar spesialis baru sebagian besar belajar sendiri, dan universitas tidak dapat mengeluarkan spesialis yang siap untuk bekerja.

Situasi ini tidak unik untuk profesi kita. Masalah serupa sebelumnya ditemui oleh kedokteran, hukum, akuntansi dan bidang lainnya. Dengan menggunakan contoh mereka, seseorang dapat mengidentifikasi beberapa tanda yang menentukan krisis kognitif:

Permintaan akan spesialis jauh melebihi pasokan . Untuk profesional berpengalaman, ada sejumlah besar lowongan. Karena banyak organisasi membutuhkan pengalaman, mereka tidak dapat berinvestasi dengan benar dalam pelatihan karyawan mereka. Defisit sangat menggembungkan gaji praktisi dengan keterampilan yang relevan, dan terjadi spesialisasi.

Sebagian besar informasi tidak dapat diandalkan dan tidak dapat diverifikasi . Ada beberapa sumber pengetahuan otoritatif tentang komponen dan prosedur penting. Praktisi sangat bergantung pada pengalaman pribadi dan pengamatan yang tidak diverifikasi dan objektif tidak diverifikasi. Ini membuatnya sulit untuk mempelajari informasi baru secara andal dan membuatnya semakin sulit untuk mengembangkan praktik terbaik dan mengukur keberhasilan.

Masalah industri utama yang tidak dapat diselesaikan secara sistematis tetap ada . Industri ini tidak dapat mengatur atau secara efektif menangani masalah terbesar yang dihadapinya. Dalam kedokteran, ini adalah epidemi dan krisis, dalam akuntansi, pencurian besar-besaran yang tidak terkontrol melalui pemalsuan pelaporan. Dan cacing tahun 2000-an masih merajalela di jaringan komputer: ada ratusan ribu host dengan port SMB yang rentan di Internet, dan tidak ada tanda-tanda bahwa epidemi crypto ransomware sedang menurun. Banyak masalah utama yang kami hadapi dua puluh tahun lalu telah bertahan atau menjadi lebih buruk.

Ketika bidang-bidang lain muncul dari krisis kognitif yang lebih formal dan efektif, keamanan informasi memiliki harapan. Kita dapat belajar dari mereka dan membuat revolusi kognitif kita sendiri. Tiga hal harus terjadi:

1. Kita harus benar-benar memahami proses berdasarkan kesimpulan yang ditarik.
   
2. Para ahli harus mengembangkan metode dan teknik pengajaran yang andal dan berulang.
   
3. Guru harus membangun dan mempromosikan pemikiran praktis.

Di tengah ketiga pilar revolusi kognitif adalah konsep model mental.

Model mental

Model mental hanyalah cara memandang dunia. Kita dikelilingi oleh sistem yang kompleks, jadi otak menciptakan model untuk disederhanakan.

Anda menggunakan model mental sepanjang waktu. Berikut ini beberapa contohnya:

Distribusi dan kurva berbentuk lonceng . Dalam data yang terdistribusi normal, sebagian besar poin dikelompokkan di tengah. Dengan demikian, kebanyakan orang memiliki kecerdasan sedang, dan hanya sedikit yang sangat rendah atau tinggi.

Pengkondisian operan . Dalam banyak kasus, refleks tidak muncul karena stimulus sebelumnya, tetapi karena konsekuensinya. Jika seekor tikus menerima makanan setiap kali ia menekan tuas, maka kemungkinan besar akan menekannya. Jika Anda sakit setiap kali makan nanas, Anda tidak akan sering memakannya.

Metode ilmiah . Penemuan ilmiah biasanya mengikuti proses standar: mengajukan pertanyaan, membentuk hipotesis, melakukan percobaan untuk menguji hipotesis ini dan melaporkan hasilnya. Kami menggunakan ini tidak hanya dalam penelitian kami, tetapi juga untuk menguji penelitian orang lain dengan menilai korespondensi antara pertanyaan kunci, hipotesis, prosedur eksperimental dan kesimpulan.

Masing-masing model menyederhanakan sesuatu yang rumit sedemikian rupa sehingga dapat bermanfaat bagi para praktisi dan guru. Pemikiran ini difokuskan pada interpretasi masalah dan pengambilan keputusan. Model, di sisi lain, adalah alat. Semakin banyak alat yang Anda miliki, semakin siap Anda untuk menyelesaikan banyak masalah.

Model yang diterapkan

Model mental adalah alat khusus untuk profesi tertentu. Selama seratus tahun terakhir, kedokteran telah melalui revolusi kognitifnya, menciptakan model mental yang maju. Bahkan dengan 60.000 kemungkinan diagnosis dan 4.000 prosedur, dokter secara efektif menggunakan model-model sederhana ini:

13 sistem organ . Ada banyak komponen dalam tubuh, tetapi mereka dapat dianggap sebagai sistem yang terpisah, sebagian besar otonom. Spesialis biasanya fokus pada studi mendalam dari salah satu sistem ini. Ini membuat pembelajaran lebih mudah dikelola.

Empat indikator vital . Entropi tubuh manusia sangat besar. Ada empat tanda vital dasar untuk mendeteksi perubahan signifikan: suhu, laju pernapasan, tekanan darah, dan denyut jantung. Pekerja medis dari semua tingkatan dapat terus mengumpulkan informasi ini sebagai sarana permanen untuk penilaian diagnostik awal.

Sepuluh titik skala rasa sakit . Nyeri adalah ukuran diagnostik yang penting karena menunjukkan efektivitas perawatan atau terapi. Tetapi rasa sakit sulit diukur secara objektif. Pada saat yang sama, skala nyeri grafik sederhana membantu dokter berkomunikasi secara efektif dengan pasien dan melihat perubahan rasa sakit dari awal.

Ada juga model mental dalam industri komputer yang sangat kami andalkan, meskipun kami biasanya tidak menyebutnya sebagai model mental. Sebagai contoh

Defense in depth (DID). Pendekatan arsitektur keamanan di mana kategori tambahan (investigasi, pertahanan, respons, dll.) Berlapis untuk memberikan posisi komprehensif yang luas.

Model OSI . Klasifikasi hirarki fungsi komunikasi jaringan yang digunakan untuk mengembangkan dan menganalisis protokol komunikasi dan interaksinya. Pengembang OS dan aplikasi menggunakan model OSI untuk mengembangkan fungsionalitas dan menetapkan batasan. Administrator dan analis menggunakannya untuk memecahkan masalah dan menyelidiki masalah dan insiden jaringan.

Proses investigasi . Investigasi ancaman keamanan biasanya mengikuti proses ini: mendeteksi data input yang mencurigakan, mengajukan pertanyaan, membentuk hipotesis, mulai mencari jawaban - dan ulangi prosedur hingga sampai pada kesimpulan. Analis keamanan menggunakan proses ini untuk mencatat peristiwa dan memutuskan bukti apa yang akan dianalisis.

Anda terus-menerus menggunakan semua jenis model mental, tetapi mereka tidak ada dalam ruang hampa. Kita masing-masing memandang dunia melalui prisma dari persepsi unik kita sendiri, yang diciptakan di bawah pengaruh pengalaman hidup. Meskipun prisma terus berubah, model-model ini tidak diterapkan satu demi satu. Sebaliknya, persepsi terdiri dari pelapisan banyak model .

Kadang-kadang ini adalah model luar tambahan. Sebagai contoh, model pisau cukur Occam mengasumsikan bahwa penjelasan paling sederhana biasanya benar. Dokter dapat menggunakan prinsip ini bersama dengan model mental untuk penalaran deduktif dan penilaian kondisi mental. Sebagai contoh, penurunan berat badan yang cepat mungkin bukan karena kanker pankreas atau ratusan penyakit lainnya, tetapi hanya karena seseorang tidak makan cukup, mungkin karena depresi. Kedengarannya sederhana, tetapi untuk menarik kesimpulan seperti itu membutuhkan perhatian dan kesadaran yang luar biasa.

Dalam kasus lain, kami mempertimbangkan model mental yang bersaing yang saling bertentangan: misalnya, agama dan kewarganegaraan negara. Kekristenan menentukan "jangan membunuh", tetapi negara demokratis menawarkan warga negara untuk berperang untuk menjaga kebebasan mereka. Konflik-konflik ini menimbulkan perselisihan internal, di mana seringkali diperlukan kompromi.

Ketika dihadapkan dengan model mental baru yang cocok, kami memasukkannya ke dalam perangkat pribadi kami. Segala sesuatu yang kita pikirkan, masing-masing tindakan kita melewati filter dari model mental ini, yang mendorong ke arah tindakan atau saling bertentangan.

Model dari Keputusasaan

Praktisi keamanan informasi sangat membutuhkan model baru, lebih jauh menekankan krisis kognitif. Bahkan, kita sering mengambil model yang baik dan menyalahgunakannya atau memperluasnya di luar tujuan praktisnya.

Basis pengetahuan serangan MITER ATT & CK adalah daftar metode umum untuk menggambarkan serangan jaringan. Ini adalah model hebat yang berguna dalam banyak hal, dan terus terang, pada titik tertentu, sesuatu seperti itu diperlukan.

Tetapi karena modelnya sangat kurang, beberapa organisasi mulai meninggalkan prinsip keamanan lain dan inisiatif yang berhasil, membatasi diri mereka untuk memeriksa daftar MITRE ATT & CK. Dengan cara yang sama, saya melihat bagaimana organisasi keamanan baru memusatkan semua strategi deteksi dan pencegahannya hanya berdasarkan ATT & CK tanpa terlebih dahulu merumuskan model ancaman, tanpa memahami aset berharga dan menilai risiko. Ini adalah jalan menuju ke mana-mana. Ini bukan kesalahan MITRE: para pengembang kerangka kerja ini sendiri secara aktif mencoba menjelaskan kapan dan kapan tidak menggunakan ATT & CK, dengan menekankan keterbatasan kerangka kerja.

Masalahnya adalah kita kekurangan model, jadi kami segera menggunakan dan menyalahgunakan model yang masuk akal begitu muncul. Pada akhirnya, dibutuhkan model yang baik. Diperlukan kotak peralatan yang kuat. Tetapi tidak di mana-mana Anda dapat menggunakan palu, dan kami tidak perlu empat belas gergaji bundar.

Apa yang mendefinisikan model yang baik?

Saya sudah menyebutkan beberapa model yang membantu menyederhanakan pendidikan dan praktik di bidang TI, tetapi model yang bermanfaat dan diterima secara umum masih belum cukup. Apa yang menentukan model yang baik?

Model yang baik itu sederhana . Model membantu mengatasi kompleksitas masalah. Jika mereka sendiri lebih kompleks daripada masalah, maka manfaatnya berkurang. Singkatnya kata-kata itu penting. Deskripsi 20 halaman tentang tujuan dan penerapan model ini berguna, tetapi grafik sederhana yang menyampaikan esensi sangat menyederhanakan persepsi dan penggunaan. Model dapat direpresentasikan dalam bentuk diagram, tabel atau bahkan daftar sederhana.

Model yang baik bermanfaat . Model harus cukup luas untuk diterapkan pada orang dan situasi yang terkenal, tetapi cukup spesifik untuk menggunakannya untuk pemahaman praktis tentang skenario tertentu. Bayangkan itu sebagai jalan keluar persimpangan. Pintu keluar terlihat jelas, mudah dikendarai dengan kecepatan rendah. Begitu masuk, trek harus memberikan akselerasi maksimum sehingga Anda bergerak dengan kecepatan yang nyaman. Model yang sangat baik memberi seseorang jalan dari pengetahuan yang ada ke konsep yang kompleks.

Model yang baik tidak sempurna . Kebanyakan model adalah generalisasi yang diciptakan oleh penalaran induktif. Selalu ada situasi batas, dan pengecualian ini penting karena memberikan mekanisme untuk menyangkal model. Kunci untuk memahami teori atau sistem adalah mengetahui kapan itu tidak berhasil. Karena model tidak sempurna, mereka tidak dapat diterapkan pada situasi apa pun. Model harus memiliki kriteria penggunaan yang jelas sehingga tidak digunakan dalam situasi yang tidak pantas.

Pembuatan model

Sebagian besar model diciptakan oleh penalaran induktif . Penalaran induktif adalah proses pembentukan generalisasi berdasarkan pengalaman hidup, pengamatan, atau data yang dikumpulkan. Jika Anda menemukan beberapa skrip PowerShell jahat yang dikaburkan, maka Anda dapat menggeneralisasi bahwa kebingungan adalah tanda dari skrip berbahaya. Ini bukan model, tetapi heuristik (aturan praktis) yang berpotensi berguna dalam penelitian. Menggabungkan dengan beberapa orang lain dan membentuk model untuk penelitian, bukti, atau sesuatu yang lain.

Kekuatan penalaran induktif tergantung pada jumlah dan variasi pengamatan yang menjadi dasar kesimpulan . Saya pernah bekerja dengan seorang analis yang melihat beberapa kali bagaimana penyerang menggunakan server web Nginx dalam infrastruktur mereka. Namun, dia tidak pernah melihat bahwa Nginx digunakan untuk tujuan yang sah, jadi dia membuat kesimpulan induktif bahwa server web ini biasanya digunakan oleh penjahat cyber. Tentu saja, Nginx digunakan oleh semua orang, dan heuristik induktif ini tidak didasarkan pada pola yang sesuai, yang menyebabkan kesimpulan yang buruk dan waktu yang hilang.

Saat membuat model, bilah bukti bahkan lebih tinggi. Model tersebut harus didasarkan pada sejumlah besar pengamatan dalam berbagai pengukuran.

Saya percaya sebagian besar model mulai dengan pertanyaan yang tepat. Misalnya, apakah hot dog sandwich?

Ini pertanyaan yang salah. Tapi itu memungkinkan Anda untuk sampai pada pertanyaan yang tepat. Terlepas dari pendapat Anda, bahkan diskusi singkat pada akhirnya mengarahkan Anda ke pertanyaan yang tepat: "Apa definisi sandwich?"

Ini pertanyaan yang tepat. Dalam jawabannya, Anda mencantumkan properti sandwich dan hubungan antara properti ini.

Sandwich memiliki beberapa lapisan, lapisan luar biasanya didasarkan pada karbohidrat, dll.

Anda akan menyaring properti ini dengan menyoroti contoh sandwich dan non-sandwich yang jelas, dengan mempertimbangkan diskusi tentang situasi batas.

Pahlawan Italia jelas merupakan sandwich. Pizza - jelas tidak. Apa bedanya? Bagaimana cara menerapkan ini pada hot dog?

Diskusi harus kaya dan beragam untuk mendapatkan perspektif yang unik. Mereka mengungkapkan sejumlah situasi batas dan perbedaan budaya yang belum Anda pikirkan.

Bagaimana dengan taco? Ini adalah varian sandwich dalam budaya tertentu. Bagaimana cara menerapkannya dalam model?

Diskusi menciptakan nilai. Pertanyaan dan jawaban yang tepat untuk mereka adalah banyak pekerjaan untuk datang ke model yang bermanfaat.

Omong-omong, aturan kubus adalah salah satu cara untuk menentukan apakah hot dog adalah sandwich. Hanya jangan bersumpah, itu hanya sebuah opsi.

Kesimpulan

Model mental memungkinkan Anda membuat keputusan yang lebih baik dan belajar lebih cepat. Ini adalah alat yang menyederhanakan kompleksitas dan sangat penting dalam profesi apa pun. Agar keamanan informasi dapat mengatasi krisis kognitif, kita harus menjadi lebih terampil dalam mengembangkan, menggunakan, dan mengajar model-model yang baik. Jika Anda ingin tahu lebih banyak tentang model keamanan informasi tertentu, beberapa di antaranya tercantum di bawah ini.

Referensi

• Simon, H. A. (1957). “Model manusia; sosial dan rasional. "
  
• Page, S. (2018). "Berpikir dalam Model: Apa yang Perlu Anda Ketahui agar Informasi Dapat Bekerja untuk Anda," Basic Books, NY
  
• Kurva berbentuk lonceng
  
• Pengkondisian operan
  
• Metode ilmiah
  
• Model OSI
  
• Sistem organ
  
• Tanda vital
  
• Skala nyeri sepuluh poin

Berbagai model keamanan informasi

• Proses investigasi
  
• Analisis invasi berlian
  
• ATT & CK MITER
  
• Pertahanan di Kedalaman
  
• Piramida Nyeri
  
• Rantai Pembunuh Cyber
  
• Niat Bukti
  
• Proses Respons Insiden PICERL