دنیا با کمبود ۱ میلیون متخصص امنیت اطلاعات رو به رو است!

هر ساله میزان رخنه و نفوذ در اپلیکیشن ها یا همان چیزی که آن‌ را به نام  هک می‌شناسیم از نظر اندازه، تعداد و شدت رشد می‌کند و این در حالی است که جای خالی استعدادهای امنیت سایبری بیشتر به چشم می‌آید و متخصصین کافی برای پر کردن پست‌های خالی در این زمینه وجود ندارد! با سرویس‌ها و خدمات مبتنی بر اینترنت که به تمامی جنبه‌های زندگی ما نفوذ کرده‌اند هر روز نقاط آسیب‌پذیر جدیدی جوانه می‌زند؛ نقاطی که برای بازیگران مخرب دنیای مجازی فرصتی برای حملات تازه و اجرای نقشه‌های شیطانی‌شان فراهم می‌کند. هر شخص، هر دیوایس متصل شده به اینترنت و هر بخشی از یک اپلیکیشن که به یک شبکه‌ی کامپیوتری وصل می‌شود می‌تواند به عنوان یک فرصت برای نفوذکنندگان تلقی شده و مورد بهره برداری قرار بگیرد. برای آشنایی با روش‌های استفاده از مفاهیم مربوط به گیم در افزایش امنیت سایبری، با سکان آکادمی همراه باشید.

یک راه که می‌تواند به صورت فوق‌‌العاده بر این مشکلات غلبه کند استفاده از Gamification (یا معادل فارسی آن، بازی‌وار سازی) است. بازی‌وار سازی در حقیقت به خدمت گرفتن ابزار بازی (یا مفاهیم مربوط به بازی) برای اهدافی غیر از بازی و سرگرمی است. استفاده از مفاهیم مربوط به بازی‌ها از بسیاری جهات به ما کمک می‌کند تا پیچیدگی وظایف امنیت سایبری را از میان برداشته و انگیزه‌ای برای تلاش‌های جمعی در مسیر کنار آمدن با چالش‌های روزافزون آن ایجاد کنیم و این همان چیزی است که در ادامه مورد بررسی قرار خواهد گرفت که چگونه بازی و بازی‌وار سازی می‌تواند فضای امنیت سایبری را به محیط بهتری تبدیل کند.

افزایش آگاهی در میان کارمندان و مدیران 
خطای انسانی یکی از دلایل اصلی حوادث سایبری در سازمان‌ها و شرکت‌ها به حساب می‌آید. بسیاری از مخاطراتی که برای اطلاعات حساس سازمان‌ها پیش می آید در نتیجه‌ی ناآگاهی کارمندی رخ می‌دهد که یک بدافزار آلوده پیوست شده به یک ایمیل را باز می‌کند، بر روی لینکی به یک سایت مخرب کلیک می‌کند یا با بی‌دقتی، یک ویروس آلوده را به سمت دیگر کامپیوترهای شرکت می‌فرستد.

در هر صورت آموزش کارمندان و مدیران درباره قوانین امنیتی چالش‌های خاص خود را ایجاد می‌کند. بسیاری از شرکت‌ها به این دلیل که در تامین آموزش‌های موثر به کارکنان خود ناکام می‌مانند و نمی‌توانند تغییری در رفتار خطرآفرین آن‌ها ایجاد کنند، از حملات سایبری رنج می‌برند.

کارشناسان شرکت مشاوره بین‌المللی است PwC، معتقدند که بازی کردن می‌تواند نقشی موثر در اصلاح این شرایط داشته باشد. گیم Game of Threats (بازی تهدیدات) نرم‌افزاری است که با هدف آموزش اصول و مفاهیم امنیت سایبری به مدیران ارشد ساخته شده است. این نرم‌افزار از طریق ارائه یک محیط بازی که در آن می‌توان امنیت سایبری در دنیای واقعی را شبیه‌ سازی کرد به این آموزش‌ها می‌پردازد.

شرکت‌کنندگان در این بازی می‌توانند نقش مهاجم یا مدافع در یک حمله‌ی سایبری را بازی کنند و با توانایی‌ها، تاکتیک‌ها، استعداد و ابزار خود بر علیه یکدیگر بجنگند. با این شبیه‌سازی، شرکت‌کنندگان اجازه می‌یابند هر دو سوی یک حمله‌ی سایبری را ببینند و در نتیجه واکنش بهتری در برابر تهدیدات امنیتی داشته باشند.

بهبود در اجرای اصول و قوانین امنیتی 
بسیاری از کارمندان حتی زمانی که به صورت کامل آموزش دیده‌اند به نادیده‌ گرفتن قوانین و اصول امنیتی ادامه می‌دهند. این مسئله به ویژه زمانی که کارمند با فرا رسیدن مهلت مقرر برای انجام یک وظیفه روبرو می‌شود بیشتر خود را نشان می‌دهد. مشکل آنجا است که قوانین امنیتی معمولا دست و پا گیر تلقی می‌شوند، احتیاطی بیش از حد و بدون پاداش که می‌تواند به خاطر فشار مسائل دیگر نادیده گرفته شود. بی‌انگیزگی برای به دوش کشیدن سختی‌های رعایت مسائل امنیتی بهانه‌ای است برای کارمندان و مدیران تا با آغوش باز به استقبال حملات سایبری بروند.

شرکت امنیتی Digital Guardian که برای ارائه‌ی راهکارهای «پیشگیری از فقدان اطلاعات» یا DPL مشهور است (راهکارهایی که به شرکت‌ها در امن نگه داشتن داده‌هایشان کمک می‌کند)، ابزار و مفاهیم بازی‌ها را با معیارهای امنیتی ترکیب کرده است. راهکاری که این شرکت ارائه داده است تلاش دارد تا با استفاده از تجربه‌ی گرفتن پاداش در بازی، کارمندان را برای تعهد به برنامه‌های امنیتی در تمامی سطوح تشویق کرده و اینگونه از سازمان آن‌ها در برابر تهدید‌های امنیتی محافظت کند.

Data Defender (مدافع داده) عنوانی است که این شرکت برای این تغییر از امنیت سایبری سنتی انتخاب کرده است (که تنها بر شناسایی، گزارش و تنبیه رفتارهای نامطمئن دلالت می‌کرد.) این شرکت امنیتی اینگونه بیان می‌کند که علیرغم تنبیه رفتارهای نادرست در زمینه امنیت سایبری، می‌توان با تشویق رفتارهای صحیح انگیزه‌ی بیشتری برای رعایت پایدار و همیشگی قوانین امنیتی در کارمندان ایجاد کرد. انگیزه‌ای که می‌تواند باعث رعایت کردن قوانین امنیتی حتی در شرایطی باشد که کارمند تحت فشار عوامل دیگر مانند زمان قرار دارد.

کاربران این روش با هر بار تطبیق دادن فعالیت‌هایشان با شیوه‌های امنیتی و رعایت قوانینی که به امنیت سایبری سازمان کمک می‌کند، مانند ارسال ایمیل بدون فراموش کردن سیاست‌های امنیتی یا استفاده از سرویس‌های ابری مورد تایید شرکت، امتیازاتی برای خود جمع می‌کنند.

جدول ‌های رده‌بندی و امتیازدهی به کارمندان می‌تواند بر رقابت میان آن‌ها بیفزاید. کاربران با رسیدن به نقاطی خاص، مثل ارسال ۱۰۰۰ ایمیل امن، نشان‌های مخصوصی دریافت می‌کنند و نهایتا با جمع کردن امتیازات کافی می‌توانند برنده جوایز این رقابت شوند.

یافتن و استخدام استعدادهای امنیت 
یکی از تحقیقات شرکت سیسکو نشان می‌دهد که دنیا با کمبود بیش از ۱ میلیون متخصص امنیت اطلاعات رو به رو است و این کمبود تا سال ۲۰۱۹ به ۱/۵ میلیون نفر خواهد رسید. در نتیجه‌ی چنین کمبودی، بسیاری از سازمان‌ها با صندلی‌ها خالی در پست‌های حساس امنیتی روبرو خواهند شد که به آسیب‌پذیری بیشتر آن‌ها در برابر رخنه‌های اطلاعاتی خواهد انجامید.

سازمان غیر انتفاعی Cyber Security Challenge در بریتانیا با برگزاری سالیانه‌ی رقابت‌های بازی‌های کامپیوتری، که شرکت در آن برای همگان آزاد است، به یافتن و استخدام استعدادهای نوظهور این حوزه کمک می‌کند. در این رقابت هر شرکت‌کننده می‌تواند با توانایی‌های خود به مقابله با تهدید‌های شبیه‌سازی شده بپردازد و شانس خود را برای اثبات توانایی‌هایش امتحان کند.

این سازمان از یک محیط بازی به نام CySphinx برای آزمودن و استخدام استعدادهای امنیت سایبری طراحی شده استفاده می‌کند. محیط سه بعدی این بازی، بازیکنان را قادر به تعامل با یکدیگر می‌سازد. در این محیط، توانایی‌های مختلف شرکت‌کنندگان مانند توانایی‌های تکنیکی، کار تیمی، قدرت ارائه و برقراری ارتباط بررسی و ارزیابی می‌شود.

دور مقدماتی این رقابت‌ها به صورت آنلاین و از طریق یک پلتفرم اینترنتی برگزار می‌شود، اما دور نهایی به صورت رو در رو و حضوری انجام شده و به برندگان علاوه بر جوایز مسابقه، فرصت‌های شغلی در آژانس‌های دولتی و شرکت‌های بزرگ حوزه تکنولوژی پیشنهاد می‌شود. این سازمان غیرانتفاعی فرصتی برای هر کس که تجربه‌ای در زمینه برنامه‌نویسی و  فناوری اطلاعات دارد فراهم می‌آورد تا شغل خود را به عنوان متخصص امنیت سایبری آغاز کند. نکته جالب این که آخرین برنده‌ی این رقابت یک مهندس شبکه بود که برای یک فروشنده‌ی خودرو کار می‌کرد!

ریشه‌کن کردن آسیب‌پذیری در نرم‌افزار 
هر ساله نقاط آسیب‌پذیر در نرم‌افزارها باعث بروز موارد بسیاری نفوذ و رخنه در اطلاعات می‌شود. مهم نیست که یک نرم‌افزار را چندبار در زمان ساخت تست کرده باشید، همیشه باگ‌ها (مشکلات و خطاهای موجود در نرم‌افزار) و شاید نقاط ضعف جدی وجود دارد که از چشم توسعه دهنده پنهان مانده و پس از انتشار پیدا خواهند شد!

برای اطمینان از کشف نقاط آسیب‌پذیر نرم‌افزار قبل از سوء استفاده از آن‌ها توسط خرابکارها، شرکت‌های بزرگ و آژانس‌های دولتی برنامه‌هایی با عنوان Bug Bounty برگزار می‌کنند. این برنامه‌ها به هکرهای اخلاق‌مدار (یا کلاه سفید) و همچنین محققین امنیتی اجازه می‌دهد در ازای یافتن باگ‌ها و نقاط ضعف امنیتی نرم‌افزار جوایزی دریافت کنند. فیسبوک، گوگل و مایکروسافت از معروف‌ترین شرکت‌هایی هستند که برنامه‌های Bug Bounty برگزار می‌کنند و البته وزارت دفاع ایالات متحده نیز یکی از برگزارکنندگان این گونه برنامه‌ها است.

یکی از جذاب‌ترین برنامه‎‌های Bug Bounty متعلق به شرکت Uber است، جایی که محققین امنیت برای یافتن هر باگ بحرانی مربوط به امنیت تا ۱۰ هزار دلار پاداش دریافت می‌کنند. این برنامه شامل یک نقشه‌ی گنج است که به محققین برای یافتن راهشان در پلتفرم Uber و تمرکز بر پیدا کردن باگ‌ها در ناحیه‌های بحرانی و حساس نرم‌افزار کمک می‌کند. این برنامه همچنین به پژوهشگرانی که در دوره زمانی مشخص بیش از ۴ باگ پیدا کنند، به پاس وفاداری آن‌ها، جوایز دیگری نیز اهدا می‌کند تا با این وسیله آن‌ها را به تعهد بیشتری برای تلاش فعالانه در برنامه تشویق کند.

به نظر شما به غیر از بازی های کامپیوتری، از چه راه کار یا راه کارهای دیگری می توان برای پر نمودن خلاء آموزش مسائل امنیتی در سازمان ها و ... استفاده نمود؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

4 ways gamification is advancing cybersecurity

0







از طریق این فرم، می توانید بدون ثبت نام نظر دهید و یا اگر قبلا ثبت نام کرده اید، با ورود ناحیه ی کاربری می توانید علاوه بر ثبت نظر، به مدیریت نظرات خود نیز بپردازید.
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)
(فیلد اجباری)