Αξιοποίηση επιτραπέζιων ασκήσεων για την εκπαίδευση στην κυβερνοασφάλεια

Abstract

Σε μία εποχή όπου η τεχνολογία συνεχώς αναπτύσσεται και προοδεύει, οι κίνδυνοι που αφορούν στην κυβερνοασφάλεια, διαρκώς πληθαίνουν και εξελίσσονται. Για την αντιμετώπιση των απειλών αυτών από τους οργανισμούς, η εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας καθίσταται, πλέον, επιτακτική. Η παρούσα διατριβή επικεντρώνεται στην αξιοποίηση επιτραπέζιων ασκήσεων για την εκπαίδευση στην κυβερνοασφάλεια. Μέρος της διατριβής αποτελεί ο σχεδιασμός μίας επιτραπέζιας άσκησης και παράδειγμα διεξαγωγής της. Η μεθοδολογία που ακολουθήθηκε, αποτελεί μία προτεινόμενη μεθοδολογία στη βάση του προτύπου NIST και της προσέγγισης της μωβ ομάδας. Το πρότυπο NIST παρέχει δομημένες κατευθυντήριες γραμμές για τη σχεδίαση ενώ η προσέγγιση μωβ ομάδας προσθέτει έναν καινοτόμο χαρακτήρα λόγω της συνεργασίας μεταξύ της μπλε και της κόκκινης ομάδας. Η διεξαγωγή της επιτραπέζιας άσκησης εκτελέστηκε με τη χρήση του εργαλείου CALDERA, το οποίο αποτελεί μία αυτοματοποιημένη τεχνολογία προσομοίωσης κόκκινης ομάδας. Με την προσομοίωση των επιθέσεων, η διεξαγωγή της άσκησης, γίνεται πιο ρεαλιστική επιτρέποντας, έτσι, την πρακτική εξάσκηση των συμμετεχόντων σε συνθήκες που ανταποκρίνονται στην πραγματικότητα. Η άσκηση διεξάχθηκε σε δύο σκέλη. Κάθε σκέλος αποτελείτο αρχικά από μία συνάντηση μεταξύ όλων των συμμετεχόντων με σκοπό τη συζήτηση των παραμέτρων της άσκησης και ανταλλαγή απόψεων σχετικά με το σενάριό της. Το δεύτερο μέρος του κάθε σκέλους αποτελούσε η εκτέλεση της άσκησης με τη χρήση της CALDERA. Η πρόταση αυτή σε συνδυασμό με τη χρήση του εργαλείου CALDERA για προσομοίωση της κόκκινης ομάδας, μπορεί να αποτελέσει μία ολοκληρωμένη πρακτική προσέγγιση για την εκπαίδευση στη κυβερνοασφάλεια και στη βελτίωση της ασφάλειας ενός οργανισμού.