آموزش امنیت سایبری کارکنان با رویکرد بازیمحور اناگرام
با وجود اینکه کارفرمایان از کارمندان خود میخواهند که دورههای آموزشی سالانه در حوزه امنیت سایبری را تکمیل کنند، هنوز هم نقضهای امنیتی تحت تأثیر انسان رخ میدهند. این مسأله ممکن است با افزایش هوش مصنوعی تولیدی و مقیاس و شخصیسازی کمپینهای مهندسی اجتماعی، به طور قابل توجهی بدتر شود. در این راستا، شرکت Anagram که قبلاً به نام Cipher شناخته میشد، رویکرد جدیدی برای آموزش امنیت سایبری کارمندان اتخاذ کرده است که امیدوار است بتواند با تغییرات این کمپینها همگام شود.
شرکت مستقر در نیویورک، یک پلتفرم را طراحی کرده است که شامل آموزشهای عملی امنیتی برای شرکتها میباشد. این آموزشها شامل ویدیوهای کوتاه و معماهای تعاملی شخصیسازی شده است که به کارمندان آموزش میدهند چگونه ایمیلها و ارتباطات مشکوک را شناسایی کنند. این آموزشها به گونهای طراحی شدهاند که نسبت به استاندارد فعلی، که معمولاً یک جلسه آموزشی طولانی در سال است، بیشتر و جذابتر باشند.
هارلی سوگمان، بنیانگذار و مدیرعامل Anagram، در گفتوگو با TechCrunch گفت که این فعالیتها شامل وظایفی مانند ایجاد ایمیلهای فیشینگ شخصیسازی شده توسط کارمندان است تا به آنها یاد دهد چگونه کمپینهای پیچیده را شناسایی کنند.
سوگمان در مورد آموزشهای موجود در حوزه امنیت سایبری گفت: “ما از هیچ چیز موجود الهام نگرفتیم. در واقع، ما تقریباً هیچ الهام خاصی از آموزشهای امنیت سایبری موجود نگرفتیم. آنچه که واقعاً مورد استفاده قرار دادیم، درسهایی از TikTok و Duolingo و Khan Academy بود.”
او ادامه داد: “ما به این پلتفرمها نگاه کردیم که واقعاً در تعامل و تغییر رفتار کاربر در خارج از حوزه امنیت موفق بودند و گفتیم، خوب، چگونه میتوانیم این درسها را در امنیت به کار ببریم؟”
ساخت آموزشهای امنیت سایبری به صورت بازیوار، آنچه که سوگمان، سرمایهگذار سابق در Bloomberg Beta، ابتدا برای راهاندازی شرکت در نظر داشت، نبود. ایده اولیه او یک راه برای بهبود مهارتهای کارمندان امنیت سایبری در حوزه صنعت بود.
رویکرد آموزشی “گرفتن پرچم” در صنعت امنیت سایبری شامل ساخت نرمافزارهای دارای آسیبپذیری و درخواست از محققان امنیتی برای یافتن اشکالات و یادگیری نحوه نوشتن کد بدون افتادن در تلههای مشابه است.
این شرکت در سال 2022 به عنوان Cipher راهاندازی شد و کمی پیشرفت کرد. اما مدیران امنیت اطلاعات (CISOs) به سوگمان گفتند که کسبوکارهایشان واقعاً با یک مشکل امنیتی بزرگتر مواجه هستند: کارمندان غیرامنیتی. سوگمان گفت که CISOs کارمندان خود را به عنوان ضعیفترین لینک امنیت سایبری خود توصیف کردند.
سوگمان اظهار داشت: “آنچه که واقعاً مرا شگفتزده کرد، میزان ناامیدی بود که در صدای آنها میشنیدم. این یک مشکل حلنشدنی برای آنها بود.”
Cipher در ژانویه 2024 به سمت حل این مشکل تغییر جهت داد. اکنون این استارتاپ نام خود را به Anagram تغییر داده است تا تمرکز جدید خود را بازتاب دهد و در حال کاهش محصول اصلی خود است. Anagram از زمان تغییر جهت خود رشد قابل توجهی را تجربه کرده و مشتریانی از جمله Thomson Reuters، MassMutual و Disney را به دست آورده است.
Anagram به تازگی یک دور تأمین مالی سری A به ارزش 10 میلیون دلار را با رهبری Madrona و مشارکت General Catalyst، Bloomberg Beta و Operator Partners به دست آورده است. این شرکت قصد دارد از این سرمایه برای توسعه تیم فروش خود و ادامه بهبود محصول استفاده کند. سوگمان گفت که تا کنون توانستهاند نرخ شکست فیشینگ شرکتها را از 20% به 6% کاهش دهند، اما او معتقد است که میتوانند به صفر نزدیکتر شوند.
سوگمان گفت: “ما محصول خود را در یک نقطه عطف بسیار جالب برای صنعت امنیت سایبری راهاندازی کردیم. با پیشرفتهای هوش مصنوعی تولیدی، کمپینهای مهندسی اجتماعی میتوانند بیشتر از همیشه شخصیسازی شوند که این مسئله تشخیص آنچه واقعی است و آنچه نیست را برای مردم سختتر میکند.”
او همچنین گفت: “من فکر میکنم که اثر جانبی آن این است که پلتفرمهای امنیت ایمیل سنتی واقعاً در شناسایی این فیشینگهای تولید شده توسط AI با مشکل مواجه خواهند شد.”
Anagram همچنین در حال کار بر روی توسعه یک عامل هوش مصنوعی است که در ایمیل کارمندان شرکتها نشسته و آموزش دیده است تا اشتباهات احتمالی امنیت سایبری را قبل از وقوع شناسایی کند. سوگمان گفت که این عامل میتواند اقداماتی از جمله این را انجام دهد که از کاربر بپرسد آیا واقعاً میخواهد اطلاعات کارت اعتباری خود را از طریق ایمیل ارسال کند یا نه.
در این میان، Anagram امیدوار است که معماها و ویدیوهای آموزشی شبیه TikTok آنها همچنان تأثیرگذار باشند. سوگمان گفت: “انسانها احمق نیستند، ما آسمانخراشها را ساختیم و میتوانیم سفر فضایی انجام دهیم. ما میتوانیم یاد بگیریم که چگونه روی یک لینک مشکوک در ایمیل کلیک نکنیم.”
