Я календарь перевернул… в понедельник прошел день знаний и я бы хотел задаться очередным риторическим вопросом относительно нашего образования по ИБ и той странной ситуации, которая сложилось при приеме на работу, когда от соискателя требуют высшего образования по ИБ, но при этом сразу говорят ему, чтобы он забыл все, чему его учили в институте 🙂 И дело тут не в самой парадоксальной ситуации, сколько в том, что у нас действительно учат не совсем тому, а самое главное, не совсем так, как того требует жизнь.
Когда я учился на «Прикладной математике», моя специализация по диплому была «Защита информации», но что удивительно, нам не преподавали теорию игр, которая, очень хорошо подходит для преподавания специалистам по ИБ. Сейчас я оставлю в стороне тему бизнес-направленности ИБ — ей очень трудно учить студентов технических специальностей, которые еще даже не знают, пойдут они работать в ИБ или нет. А вот теория игр подойдет, независимо от того, станет ли выпускник безопасником или пойдет искать себя на каком-либо ином поприще. В области же ИБ эта теория может найти свое достойное место, повернув процесс преподавания как от тупого пересказа преподавателями российской нормативки, в которой даже ее авторы уже путаются, так и от рассмотрения устаревших версий средств защиты, которые составляют хорошо если 10% от портфолио, с которым придется иметь дело выпускнику.
ВУЗ готовит специалиста в непонятной для меня парадигме. Либо ты учишь нормативку и твоя задача, выполнять кучу приказов, стандартов, положений и законов, которые выполняют только потому, что это якобы обязательные нормативные акты. Но насколько они нужны бизнесу, насколько они помогают бороться с современными угрозами, совершенно непонятно. Либо студенту рассказывают и показывают скриншоты отечественных средств защиты, которые могут и не отразить те атаки (а может и вовсе не увидеть), которые против них будут реализовывать злоумышленники. Теория же игр позволяет учесть нам многомерность мира современного безопасника и то, что ему приходится выбирать стратегию лавирования между хакерами и регуляторами (как минимум).
По сути речь идет о некооперативной игре с ненулевой суммой, где как минимум 3 игрока — компания, хакеры и регуляторы. Каждая из сторон имеет свою цель и некоторую стратегию, которая ведет либо к выигрышу, либо к проигрышу — в зависимости от поведения других игроков. Вот эта зависимость от поведения других игроков отличает теорию игр от типичного преподавания ИБ в российских ВУЗах. Теория игр учитывает ресурсы игроков, их поведение и его вариативность, различные цели игроков, а также наличие определенных правил игры. Все это позволяет выстроить (или приблизиться) оптимальную стратегию деятельности своей службы. В более реалистичном примере игроков у нас становится больше — и регулятор у нас обычно не один, и хакерских групп с разной тактикой не одна, и даже сама компания представляет из себя набор разных сил с разными интересами, которые надо учитывать в ИБ, — пользователи, бизнес, ИТ…
К сожалению, теория игр до недавнего времени не находила своего отражения не только в преподавании ИБ, но и на корпоративном рынке. Ситуация стала меняться только в последнее время, когда в ИБ стали набирать популярность подходы к
геймификации, которые можно условно разделить на два основных течения — киберучения и игры. Первое позволяет моделировать различные реальные ситуации, происходящие в жизни, и смотреть, как на них будут реагировать специалисты по ИБ, которым приходится выходить за шоры своих вузовских знаний, которые часто действительно неприменимы в жизни. Я очередные киберучения буду проводить через месяц, в октябре, на
Алтайском региональном ИТ-форуме в Барнауле. Второе позволяет в привычной для фанатов компьютерных или настольных игр форме, поучаствовать в кибербаталиях. В феврале я уже
писал про пример одной такой игры — «Хакер».
Про игру Касперского я повторяться не буду, покажу еще парочку примеров игр по ИБ, которые основаны на теории игр (я постил их скриншоты в своем
Twitter, но решил повторить и в блоге). Начну с решения
Project Ares компании Circadence, которое позволяет моделировать различные ситуации и учить специалистов по ИБ реагированию на различные ситуации.
За последний год проект существенно обновился и «вырос» — появились различные варианты подписки — для ВУЗов, для корпоративных пользователей и т.п.
Есть различные сценарии проведения игр с разным числом участников и разными заданиями.
Есть своя система рейтингов и подсчета очков, которая позволяет проводить соревнования между студенческими группами или группами специалистов по ИБ в рамках одной компании или группы компаний.
Есть в Project Ares и развлекательные компоненты, например, «пасьянс «Косынка» на тему ИБ:
или аналог «Своей игры»:
или аналог «Змейки»:
Стоит отметить, что несмотря на игровой формат, Project Ares — это не обычная компьютерная игрушка. Это целая платформа для обучения специалистов по ИБ, использующая разные техники, вплоть до искусственного интеллекта, подстраивающегося под манеру каждого игрока и меняющего задания на ходу.
Но стали появляться и компьютерные игры, доступные каждому желающему. Например, на игровой платформе Steam скоро выпустят игру
ThreatGEN: Red vs Blue, которая позволит множеству игроков попробовать себя в роли хакеров или защитников, не ломая реальные сети и системы, но оттачивая свои стратегические и тактические навыки, которые можно будет применять в реальной жизни (конечно, с оговорками).
У этой игры будет несколько
версий:
- Red vs Blue. Игра для всех желающих на платформе Steam.
- Red vs Blue Corporate. Настраиваемые сценарии игр для корпоративных тренингов.
- Red vs Blue CTF. Соревнования команд.
- Red vs Blue Tabletop. Игра для проведения штабных киберучений.
- Red vs Blue Instructor Led Training.
Несмотря на громкое название заметки, я не ставил перед собой цель написать учебник или пособие по теории игр для кибербезопасника (все-таки я учил эту дисциплину в качестве факультатива, для себя лично, уже после окончания ВУЗа, и не могу сказать, что я в ней специалист). Скорее мне хотелось показать, что сегодня, в условиях непрерывно меняющихся технологий, атак, нормативки, и постоянно устаревающих знаний, подходы к обучению (в том числе и корпоративному) должны меняться. И геймификация, построенная на теории игр, является одним из инструментов решения этой задачи.
Могу точно сказать, что сейчас во многих университетах на специальности информационная безопасность преподают подобные теории. В частности в моё время обучения 2011-2017 у нас целый семестр был отведен под это (разные теории, под теорию игр: введение было около 2 месяцев, затем на магистратуре изучали непосредственно модели математические).
Так всетаки Теорию или Практику игр?
Теорию игр преподают. А делать образование по ИБ в игровой форме — мало где применяется — в основном CTF.
Сергей: теорию игр применительно к ИБ. А геймификация — это просто один из форматов
Представляю. Космонавтам преподают "теорию игр".
Вообще-то вузы сами не решают, что преподавать. ФГОСы спускаются сверху, и вуз учит тому, что написано в ФГОС. Инициатива у нас, как известно, наказуема.
Что касается бизнеса, то он практически не участвует в формировании требований к специалистам по ИБ. Бизнес не формирует спроса на специалистов с определенными знаниями/умениями. Проще говоря, бизнесу до лампочки, что знает и умеет безопасник. Ну а коли так — он получает тех, кого заслуживает.
В ФГОСе есть 10% самодеятельности насколько я помню. И есть факультативы
А что касается бизнеса, то как показывает опыт, он предпочитает учить сам, создавая корпоративные университеты. Все лучше, что до МинОбраза достучаться
Учился в МИРЭА с 2003 по 2009 года по специальности Прикладная математика. Теория игр была.
Этот комментарий был удален автором.
Константин: мне не повезло. В 90-96 в МИРЭА на Примате этого не было. Было исследование операций
Мне понравился подход, описанный в статье https://habr.com/ru/post/286114/
О, хорошая тема. Спасибо