К 2022 году спрос на квалифицированный персонал по кибербезопасности превысит предложение на 1,8 миллиона работников. Что может сделать отрасль, чтобы уменьшить эту глобальную угрозу? По словам Ричарда Бакленда, ученого в Университете Нового Южного Уэльса (UNSW) в Сиднее, ответ – образование. Он экспериментировал со способами обучения начинающих защитников в течение двух десятилетий. В 2016 году он и Банк Содружества также запустили SecEDU, программу, направленную на укрепление учебной программы университета, распространение их практики в других университетах и средних школах, а также на то, чтобы все их курсы безопасности были свободно доступны в Интернете. Я встретился с Баклендом в UNSW, чтобы обсудить разработку программного обеспечения и будущее хакеров в белых шапках. Это интервью было отредактировано для краткости и ясности.
Что привлекает вас в кибербезопасности?
Для меня кибербезопасность является основной инженерной проблемой. Если вы сегодня ехали сюда, если проезжали мост через мост в Сиднее, я думаю, никто никогда не беспокоится о мосте. И это отчасти потому, что инженеры-строители решили проблему строительства мостов. Но безопасность не является решенной проблемой. Если бы у меня был продукт для Windows, каждую неделю во вторник я бы загружал на него патчи. А патчи – это вежливый способ сообщить об исправлении ошибок, а ошибка – это вежливый способ сказать об ошибке, а ошибка – это вежливый способ сказать, что все в порядке. Мы не знаем, как спроектировать безопасность.
Почему инженерия безопасности отличается?
Если бы мне пришлось выбрать одну причину, это сложность. Есть также эта асимметричная природа кибербезопасности. Чтобы сделать что-то безопасное, вы должны защищать каждую точку, но чтобы успешно атаковать, вам просто нужно найти одну маленькую точку. Как старые средневековые замки: не важно, насколько толстыми были стены, потому что люди копали туннели, поэтому они ставили рвы, а нападавшие подкупали человека, который управляет воротами. Кроме того, это действительно весело атаковать. Это человеческая природа. Моим ученикам это нравится. Если я даю им правило, я даю им вызов. Вы должны быть осторожны, чтобы не дать им правила.
Вы предпочитаете устранять ошибки или распространять информацию о безопасности?
Мне нравится решать конкретные ошибки, но моя страсть – образование. А в области безопасности самая большая проблема, с которой мы сталкиваемся, – это то, что вокруг не хватает хороших людей из службы безопасности, что является огромным фактором. Мои студенты покидают университет – один из них получил Корвет в качестве подписного бонуса. Люди все время звонят мне и говорят: «Позвольте мне войти в ваш класс безопасности. У меня отличная работа для ваших лучших учеников ». И я говорю:« Чувак, у тебя даже не может быть моих худших учеников. У них всех уже есть работа ». Итак, у нас есть такая вещь, как SECedu. Мы пытаемся обучить как можно больше людей, но также разрабатываем способы обучения, а затем рекламируем это.
Что вы узнали до сих пор?
Для меня самым большим сюрпризом было то, что для того, чтобы быть хорошим инженером по безопасности, нужно быть креативным и негодяем, немного дерзким. Лучшие охранники ставят под сомнение каждое правило. И действительно вкусная проблема заключается в том, что все, что мы делаем в университете, в большей или меньшей степени связано с производством людей, соответствующих промышленным стандартам. Я думаю, что вы учитесь соблюдению в детском саду. [Он раскрыл это более красочно и продуманно, но я сократил пространство.] К тому времени, когда я их получаю, они становятся последователями правил. На самом деле, если вы ведете обычную работу в универе по обучению кибербезопасности, вы на самом деле не учите нужных людей правильным вещам, и, вероятно, правильные люди даже не попадут в универ, и если они в универе, они ‘ Наверное, мне будет скучно, и я пойду домой, потому что они сумасшедшие.
Трудно ли вывести на себя мошенничество, или оно становится естественным, когда вы отпускаете студентов?
Я думаю, что это близко к поверхности у всех нас, и часто возникает чувство радости и восторга, когда они понимают, что это допустимо. Я помню, как кто-то передал что-то рано утром, и я сказал: «Я очень разочарован, что вы передаете это рано. Ты подвел меня, чувак. В следующий раз я хочу, чтобы это было немного поздно ». Так что просто такие мелочи, чтобы поощрить их.
Как вы делаете раскализм совместимым с университетской средой?
Это основано на ценностях. Я никогда не хочу, чтобы кто-то что-то делал, потому что я сказал им это сделать. Я хочу, чтобы они верили в это. Если кто-нибудь из моих учеников когда-либо делал что-то плохое и попадал в СМИ, мне пришлось бы немедленно прекратить мой курс. Есть только все эти кошмарные заголовки, которые я могу себе представить: «Uni Trains Hackers», «UNSW тренирует некоторых студентов, которые ворвались в банк на днях». Я думаю, что вам нужно знать, как атаковать, чтобы защищаться, так как я могу научить людей атаковать и не делать это ужасно, ужасно неправильно? Сначала у меня были все эти правила. Но потом я прочитал об этом действительно интересном исследовании. Они послали много денег людям. Одна группа, они угрожали вещам, если они не отправили это назад. Другая группа, они сказали: «О, пожалуйста, отправьте это обратно». Когда людям доверяли, они доверяли. Поэтому я подумал: «О, я делаю это неправильно». Я придумал эту политику добросовестности, которая заключается в том, чтобы просто не делать ничего, что принесет униформе или профессии какую-либо репутацию.
Почему злоумышленники становятся лучшими защитниками?
Первый пример заставил меня осознать, что когда я преподавал компьютерную безопасность в первые годы, я брал их ночью в фойе здания и говорил, что хочу, чтобы вы определили все имеющиеся механизмы безопасности. Они заметят толстое стекло, освещение, датчики и камеры. В конце этого я сказал: «Вау, ребята, вы проделали отличную работу. Как ты думаешь, как тяжело было бы ворваться? »И они сказали бы:« Очень тяжело ».« По шкале от одного до пяти? »« Четыре! Четыре с половиной! Действительно хорошо! Лучший дизайн в мире! »И я бы сказал:« Отлично. Теперь у нас будет вечерний перерыв на чай. Мы встретимся через десять минут. О, и если кто-то может взломать, не нарушая закон, не причинив никакого вреда, первый взломавший получит бар Марса ». И кто-то всегда мог войти. Это заняло всего около пяти минут. Заставив их перечислять все системы физической защиты, я заставил их думать как защитник. Но как только вы начинаете думать, как нападающий, вы не беспокоитесь о сильных вещах. Вы начинаете думать: «В чем слабость?». Вам нужно скептически относиться ко всему, что вы делаете.
Этот разговор состоялся во время стажировки по месту жительства журналиста в UNSW с расходами на проезд, покрываемыми университетом.