Влияние AI/ML на сферу кибербезопасности

Международная организация ISC2 проводит ежегодные исследования проблем и возможностей для специалистов по кибербезопасности. В 2023 году они изучали влияние новых технологий, в частности AI/ML, на кибербезопасность 🤔

У нас, к сожалению, таких опросов не проводится, но тенденция может совпадать, поэтому приведу краткие итоги исследования ISC2:

📎 45% опрошенных специалистов по кибербезопасности считают, что в течение двух лет искусственный интеллект восполнит нехватку квалифицированных кадров.

📎 35% специалистов считают, что сотрудникам в организации необходимо увеличивать компетенции по безопасности облаков, 32% - по AI/ML, 29% - по Zero Trust.

📎 84% респондентов говорят, что у них нет/минимальные знания или некоторые/умеренные знания в области AI/ML.

📎 52% опрошенных перешли в кибербез из ИТ, 45% - попали в отрасль благодаря самообразованию, 31% - окончили бакалавриат по ИБ и столько же по ИТ.

📎 27% респондентов пришли в кибербез из-за перспектив роста (в основном в области здравоохранения), 25% - из-за высокого спроса на навыки (военные) и столько же за наслаждением от работы (финансовые услуги).

Рекомендую, особенно HR, познакомиться с полным отчетом 👀

#аналитика

Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)

NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США 🤔

Адаптированный перевод фреймворка в виде матрицы компетенций от 🟥 можно найти по ссылке.

NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).

🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔

Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию 👀

Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать) 😔

В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году 😱

#nice_framework #модель_компетенций

Терминология NICE Framework. Что важно знать?

В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни 🤓

📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).

📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).

📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).

Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность 🤔

Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.

Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.

Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.

Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.

Для разработки программы повышения квалификации 👨‍🏫 для системных администраторов со знанием СЗИ сформируем область компетенций, включающую задачи T0054, T0514 и дополнительно T0335: Сборка, установка, настройка и тестирование специального оборудования для киберзащиты, где оценим знания с помощью тестов, а навыки на демо-стенде.

Подробнее про NICE Framework см. тут, тут и тут 👀 Обратите внимание на предложения по новым областям компетенций 🤔

#nice_framework #модель_компетенций

Европейская система навыков кибербезопасности (ECSF)

ЕС серьезно озадачился дефицитом кадров в области ИБ 🤔

Для решения этой проблемы была создана Академия навыков кибербеза и собственный фреймворк ECSF (European Cybersecurity Skills Framework), который описывает задачи, компетенции, навыки и знания, связанные с 12 типичными ролями специалистов по кибербезу (рисунок 1).

📎 Представленные роли можно связать с управленческим циклом (рисунок 2).

📎 Навыки и знания очевидно трансформируются в учебные программы (рисунок 3).

Перечислим роли, которые описывает ECSF.
1. Руководитель отдела информационной безопасности
2. Инженер по реагированию на инциденты
3. Консультант по киберправу
4. Аналитик киберразведки
5. Архитектор безопасности данных
6. Аудитор по рискам и соблюдению требований информационной безопасности
7. Тренер по кибербезопасности
8. Разработчик кибербезопасности (DevSecOps)
9. Инженер-исследователь кибербезопасности
10. Аналитик рисков информационной безопасности
11. Консультант по компьютерной криминалистике
12. Пентестер

Детальное описание самого ECSF тут, презентация и все роли 👀

#модель_компетенций #ECSF

SPARTA Cybersecurity Skills Framework

Еще один фреймворк с описанием навыков в области кибербеза от ЕС, построенный на основе NICE (NIST SP 800-181), но с фокусом на образование 👨‍🏫

В документах SPARTA подчеркивается, что разработчики учли особенности законодательства и образовательные стандарты ЕС 🤔

Для обучения кибербез-знаниям и навыкам SPARTA определяет набор компетенций, которые связываются с темами (topics) (рисунок 1, 2, 3) 🤔

Например (рисунок 3), в теме Probability and Statistics из раздела Математика, осваивается компетенция Modeling and Simulation and Data Analysis. Знания и навыки для компетенции берутся из NICE Framework. Правда, зачем изобретать велосипед? 🤔

Дополнительно SPARTA разработали интерактивный конструктор учебных программ по кибербезу 🔥

Детально познакомиться с методикой SPARTA можно по ссылкам:
📎 Структура навыков кибербезопасности.
📎 Описание учебных программ.

#модель_компетенций #SPARTA

От набора навыков к сервису на основе данных

Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).

За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков 🤯

На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий 🤔

В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение 👀

#nice_framework #модель_компетенций

Как формируются новые профессии в кибербезе?

Схема развития карьеры в кибербезе показывает, как вместе с внедрением новых типов СЗИ формируются новые профессии: инженер MP SIEM, специалист по поддержке PT AF, специалист по DLP системам, администратор антивирусных средств защиты итд. 🤔

Следуя этой логике в ближайшее время на рынке появится спрос на инженеров PT NGFW и MP Carbon 👨‍💻

#путь_в_ИБ

Канадская система навыков в области кибербезопасности

Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).

В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке) 🤔

#nice_framework #модель_компетенций

Модель обновления рабочих ролей в NICE Framework

В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность 👨‍💻

Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx) 🤔

Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов 👀

#nice_framework #модель_компетенций

Проблема передачи знаний

NICE Framework определяет знания, как извлекаемый набор понятий в памяти. Такой набор далее будем называть тезаурусом 👨‍🏫

Если психофизиологические характеристики ученика и учителя отчасти закладываются от рождения и в течение жизни изменяются незначительно, то тезаурус варьируется и подвержен ежедневным изменениям. Это позволяет нам учиться 👩‍🎓

Ученик пропускает мимо ушей любое сообщение, содержащее ключевые понятия, которых нет в его тезаурусе 🗣

Схема на рисунке 1 демонстрирует, что процесс передачи знаний от учителя к ученику сталкивается со множеством препятствий, т.к. каждый из уровней "стека" может существенно отличаться у источника и приемника знаний.

Если обобщить схему на группу учащихся, то знания передать очень сложно (практически невозможно), поэтому остается их формировать и каким-то образом "выращивать" в голове ученика 🧐

Подробнее, кому интересно, в моей монографии Кибернетический подход к управлению процессом обучения на основе семантических сетей знаний 🧑‍🔬

#наука

Специалист по управлению уязвимостями

Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать? 🤔

1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).

2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE 😎

На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп

Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка 👍

#nice_framework #модель_компетенций

Сингапурская модель развития карьеры в области промышленного кибербеза

Карьерный путь, карта навыков и описание компетенций для каждой из ролей по ссылке 🤔

#модель_компетенций #OTCCF

Области компетенций в NICE Framework

Обучение и работа — это разные типы деятельности 👨‍🏫

На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи 👨‍💻

Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).

В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).

1. Управление доступом
2. ИИ в кибербезе 🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок

Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза 🤔

Поставьте 👍 если интересно послушать такую лекцию.

#nice_framework #модель_компетенций

Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok

Карта карьеры в кибербезе на основе CyBOK

В Великобритании разработкой и продвижением системы карьерного роста в области кибербеза занимается Совет по кибербезопасности (UK Cyber Security Council): он пишет профстандарты (дорожная карта), этическую декларацию и продвигает карьерные пути 🤔

Рассмотрим некоторые карьерные инструменты UK Cyber Security Council:
📎 карьерное картирование в кибербезе, какая специализация лучше всего подойдет (анкета);
📎 карта киберкарьеры, 16 специализаций в области кибербеза, основанные на CyBOK. Например, специалист по управлению уязвимостями;
📎 список курсов и сертификаций.

#CyBOK

Человеко-ориентированная кибербезопасность (Human-Centered Cybersecurity)

Как учил нас Кевин Митник: "самое слабое звено в безопасности - человеческое звено" 👨‍🏫

Национальный институт стандартов и технологий (NIST), следуя этой логике, запустил программу междисциплинарных исследований Человеко-ориентированная кибербезопасность (ранее "Usable Cybersecurity"), чтобы лучше понять и улучшить взаимодействие людей с системами, продуктами и услугами кибербезопасности 🤔

Области исследований программы: осведомленность и обучение кибербезопасности, Интернет вещей, фишинг, восприятие и поведение пользователей, голосование, понимание молодежью конфиденциальности и безопасности, аутентификация, криптография 🤔

#человеко_ориентированная_кибербезопасность #психология

Схематическое представление проблем на рынке труда в области кибербезопасности

Эту схему увидел в отчете Организации американских государств о развитии кадров в области кибербезопасности 👩‍💻🧑‍💻

На схеме показаны все участники процесса подготовки ИБ-кадров 🔥

Мой фокус внимания сейчас на 1️⃣ схеме развития карьеры в ИБ и описании рабочих ролей, затем 2️⃣ их соотнесении с образовательными компетенциями 👨‍🏫

#схема #модель_компетенций

Что должен знать преподаватель по кибербезу?

Перенесем структуру знаний учителя информатики (Framework for Teacher Knowledge) на область кибербеза 👨‍🏫

Структура знаний учителя описывается тремя пересекающимися областями знаний, которые нужны преподавателю: технологические знания, педагогические знания и знание содержания. Получается диаграмма Венна со множеством пересечений 📊

1️⃣ Знание содержания. Очевидно, что преподаватель по кибербезу должен знать и понимать предмет, который он преподает, включая знание основных фактов, концепций и теории.

2️⃣ Технологические знания: знание операционных систем и компьютерного оборудования, а также способность использовать стандартные наборы программных инструментов. Поскольку технологии постоянно меняются, природа технологических знаний также должна меняться со временем.

3️⃣ Педагогические знания: знания о техниках или методах, которые будут использоваться в аудитории. Преподаватель понимает, как формируются знания у учащихся, приобретаются навыки и развиваются способности.

4️⃣ Знание технологического содержания: знания о том, как технологии и содержание связаны друг с другом. Новые технологии предоставляют разнообразные способы представления содержания (mind map, онтологии и пр.).

5️⃣ Знание педагогического содержания: знание педагогики применительно к преподаванию конкретного содержания (кибербеза) 🤔

6️⃣ Технологические педагогические знания: знание инструментов для ведения записей занятий, посещаемости и оценок, а также знание общих технологических идей (доски обсуждений, чаты и пр.).

7️⃣ Знание технологического педагогического содержания: синергия, полученная в результате знаний п. 1-6 👨‍🔬 👩‍🔬

#педагогика

Развитие кибербез карьеры в Сингапуре

SkillsFuture Singapore подготовили интерактивную схему в формате PDF, где перечислены все треки развития ИТ-специалиста. Отдельно на стр. 222 представлена схема по кибербезу 🥷

📎 Понравилось, что на схеме показана единая точка входа в ИБ-профессии (стр. 224), перечислены навыки и уровень их владения 🤔

📎 Единый документ с ИТ-навыками позволяет показать перекрестные связи кибербеза с разработкой ПО (стр. 82), SysOps (стр. 61) 🔥

📎 Отдельно представлены карты компетенций с техническими (стр.293) и "мягкими" (стр. 444) навыками 🔥

#модель_компетенций #Сингапур

Точки роста для отечественного кибербез образования на 2024 год

🔥 Завершил перевод схемы из отчета Организации американских государств 🌎 о развитии кадров в области кибербезопасности.

После адаптации к отечественным реалиям 🇷🇺 можно обозначить точки роста для кибербез образования в стране 🧐

1️⃣ Построение образовательного маршрута в вузах по примеру УрФУ.
2️⃣ Формирование структуры карьерного пути в ИБ. Начало положено в виде схемы и описания первой рабочей роли.
3️⃣ Построение отечественной структуры профессиональной сертификации по ИБ. Здесь прогресса еще нет 😔
4️⃣ Подготовка MOOC (массовых онлайн курсов) по примеру Белого хакера от CyberEd 👨‍💻
5️⃣ Исследование процесса перехода в кибербез из других областей. Формирование курсов, поддерживающих такие переходы 👀

Это, конечно, далеко не все точки роста 📈

#схема #модель_компетенций

Система кибернавыков австралийского управления связи

Перенесемся в теплую Австралию 🐨 🦘☀️

В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework 🤔

Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли 🤯

Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ 👀

AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷

#модель_компетенций #nice_framework