Синьмин «Саймон» Оу, адъюнкт-профессор вычислительной техники и информационных наук, и Майк Веш, адъюнкт-профессор антропологии, недавно получили почти 700 000 долларов от Национального научного фонда для финансирования трехлетнего проекта, основанного на антропологическом подходе к кибербезопасности. Данные будут использоваться для разработки алгоритмов повышения кибербезопасности.
Оу и Веш, а также Сатья Чандран Сундарамурти из Индии и Юпинг Ли из Китая — докторанты в области вычислительной техники и информационных наук — работают вместе с аналитиками в отделе информационной безопасности и соблюдения нормативных требований университета. Исследователи используют антропологические методы, чтобы понять, как аналитики выполняют свои служебные обязанности.
Эти методы помогают им изучить неявные знания, а не традиционные формальные знания о должностных обязанностях и требованиях к персоналу для центров безопасности.«Неявное знание — это знание, которое у нас есть о чем-то, что мы не можем выразить словами», — сказал Вес. «Вы не можете войти в деревню Новой Гвинеи и просто спросить людей, какова их культура.
Вы должны прожить ее и испытать, чтобы понять ее».Исследователи переведут это неявное знание в алгоритмы, которые ускорят выполнение различных задач и должностных обязанностей, выполняемых аналитиками.
Например, профессиональному аналитику требуется от пяти до шести минут, чтобы определить адрес Интернет-протокола и физическое местоположение компьютера, который был скомпрометирован вирусами и вредоносным ПО. Алгоритм мог завершить процесс за пять-шесть секунд.
«Мы хотели бы автоматизировать скучную, повторяющуюся часть задач, которые не сильно зависят от человеческого интеллекта, но больше связаны с их выполнением людьми, потому что у них нет лучшей поддержки инструментов», — сказал Оу. «Это позволило бы аналитикам сосредоточиться на более сложных задачах, таких как расследование более крупномасштабных и изощренных атак и устранение потенциальных дыр в безопасности в сети».По словам Оу, отсутствие понимания неявных знаний в области кибербезопасности может быть причиной того, что доступно так мало коммерческих инструментов и инструментов поддержки с открытым исходным кодом, которые помогут аналитикам в области кибербезопасности подробно разобраться в атаке. Часто разработчики инструментов не понимают задачи и временные затраты на анализ безопасности, что ограничивает их способность разрабатывать полезные алгоритмы для этих инструментов.
В результате поиск такой информации, как то, как злоумышленник проник в систему, какие данные были скомпрометированы и повреждены, является очень трудоемким процессом.«Сеть постоянно подвергается атакам, и многие из этих атак сами по себе автоматизированы», — сказал Веш. «Мы пытаемся автоматизировать части защиты».
Исследователи заявили, что их выводы о том, что необходимо для всестороннего анализа кибербезопасности в рамках этого уникального сотрудничества, не только упростят повторяющиеся задачи, но и приведут к лучшему обучению и обучению в этой области.«В конечном итоге мы создаем что-то вроде концептуальной модели того, как на самом деле работает кибербезопасность, а не только того, как она должна работать с точки зрения исследователя», — сказал Веш.