実際のサイバーインシデントが発生したとき、それは教室の授業には似ていません。インストラクターが攻撃を一時停止して、研修生が定義を書き留められるようにすることはありません。ランサムウェアは、チームが学習ガイドをパラパラめくっている間、行儀よく待ってくれません。侵害が始まった瞬間、すべての秒がプレッシャーです - 混乱、ノイズ、部分的な情報、偽の手がかり、そして何かがおかしいと直感した瞬間に襲ってくるアドレナリンの絶え間ないポンプ、そして誰もその理由を知りません。
しかし奇妙なことに、ほとんどのサイバーセキュリティ教育は、実際に攻撃されることはないかのように人々をトレーニングしています。
20年間、サイバー指導はほぼ同じように見えました:講義、スライドデッキ、認定、そして電話が鳴り始める午前2時30分にSIEMのライブアラートを解釈できるかどうかではなく、正しい頭字語を覚えているかどうかをテストする多肢選択式試験。
そしてそのギャップ - 知ることと行うことの間のギャップ - こそが、組織が侵害されている場所なのです。
「サイバーセキュリティについて教える」ことの問題点
サイバー世界は、攻撃について語ることはできても、実際に戦ったことのない専門家で溢れています。
最近の卒業生にランサムウェアについて説明するように頼めば、多くの人ができます。 ランサムウェアを封じ込めるように頼めば、不快な沈黙が続くことがよくあります。
サイバーセキュリティにおけるほとんどの失敗は知識不足から来るのではありません。練習された直感の欠如から来ます。誰もが「感染した資産を切断する」ことを暗記できます。しかし、実際のインシデント対応では、問題はこれです:どのデバイスを、どの順序で、ビジネスへの巻き添え被害を避けながら - そして今すぐ誰に知らせる必要があるのか?
そのような種類の判断は、クイズから開発することは不可能です。
なぜ私たちは読んだことではなく、したことを覚えているのか
人間は行うことによって学びます - これは比喩ではありません。生物学です。
パイロットに、シミュレーターで着陸させるのと比べて、飛行機の操縦について読むのに何時間費やしたか尋ねてみてください。 外科医に、筆記試験に合格した後で初めて患者を手術したかどうか尋ねてみてください。 兵士に、最初の実弾射撃の決定が戦場で起こったかどうか尋ねてみてください。
経験は、理論を通じてアクセスできない種類の記憶を作成します。私たちが行動するとき、脳は異なった配線をします。
サイバーセキュリティも違いはありません。防衛者は情報以上のものを必要としています - 彼らは反射を必要としています。
SOCアナリストがラテラルムーブメントを初めて見るのは、本番環境であってはなりません。
シミュレーションは方程式を変える
ハンズオンシミュレーションは、学習者を現実の混乱 - 不確実性、プレッシャー、不完全なログ、誤解を招く手がかり、突然のエスカレーション - に接触させます。
現実的なサイバーラボでは、単にSQLインジェクションについて「学ぶ」だけではありません。攻撃者がそれを悪用するのを見て、トラフィックを選別し、流出を特定し、データベースが空になる前にドアを閉めます。コマンドアンドコントロールを「勉強」するのではありません。ビーコンを発見し、そのチャネルを壊し、キルチェーンを文書化します。
人々が練習することは、人々が覚えていることです。 彼らが覚えていることは、ストレス下で彼らが行動することです。
シミュレーションは、学習者を観客からオペレーターに変えます。
誰もが話している数字
応用学習環境における最近の研究は、一貫した利点を指摘しています:トレーニングが聞くことよりも行うことを伴う場合、人々は約70%多くの能力を保持し、移転します。
これは魔法ではありません - 人間の脳がどのように進化したかです。プレッシャーと結果は注意を研ぎ澄ませます。相互作用は経路を固めます。感情は記憶を粘着性のあるものにします。
ライブ攻撃シナリオは、PowerPointが決してそうならないような方法で忘れられないものです。
間違えることのコスト
トレーニングの失敗に対する賭け金は毎年上昇しています。
組織はツールに何百万ドルも費やしていますが、侵害の大部分は依然として人間の相互作用 - ミスステップ、見落とし、誤った仮定、遅延 - に起因しています。サイバーセキュリティは単なるエンジニアリングの問題ではありません。それはパフォーマンスの問題です。
従来のトレーニングは、プレイブックを説明できる専門家を生み出します。 シミュレーションは、プレイを実行した専門家を生み出します。
これらは同じ結果ではありません。
誰も認めたくない部分
何年もの間、サイバーセキュリティ文化は能力よりも認定を報いてきました。認定は採用を容易にしました。それらは標準化された言語を作成しました。それらはグローバルな労働力を生み出しました。
しかし、それらは盲点も生み出しました:資格が即応力に等しいという仮定です。
第一世代のサイバー防衛者は、代替手段がなかったため、ライブインシデントに放り込まれることで学びました。今日、代替手段は存在しており、それを使用しないことはますます過失に見えます。
サイバー即応力の新しいベースライン
シミュレーションはもはや「あればいいもの」ではありません。
それは急速に期待になりつつあります:
- 国家即応力プログラムを構築する省庁
- アカデミーを立ち上げるトレーニングプロバイダー
- 侵害の影響を減らそうとする企業
- ルールに縛られない敵対者に備える防衛チーム
シミュレーションは、スキルをスキャンするのではなく内面化することを強制するため、人々をより速くレベルアップさせます。
もっと重要なことに - それは自信を築きます。アラートが本物であるときに重要な種類の自信です。
未来は参加であり、プレゼンテーションではない
サイバーセキュリティは講義ではありません。それはキーボードとコンソールを通じて行われるコンタクトスポーツです。
トレーニングを理論的なものとして扱う組織は、環境が燃え上がる最初の瞬間に凍りつく防衛者を生み出し続けるでしょう。シミュレーションを通じてトレーニングする組織は、マッスルメモリー - それが重要なときに現れる種類の記憶 - を持つ専門家を構築するでしょう。
なぜなら、結局のところ、重要な唯一のトレーニングは、プレッシャーの下で機能するトレーニングだからです。
ハンズオンはサイバー教育の代替手段ではありません。 それはサイバー教育そのものです。
そして、それはちょうど間に合って到着しています。
