白駭客的 decision-making
為什麼是這篇文章
資訊安全如今日趨重要,甚至有資安即國安的說法。而相關工作者在面臨資安威脅時如何決策,也因此而顯得重要。本文介紹兩篇關於其 decision-making 的研究,雖尚未完善,然而,或許於未來可以了解其模式,而其神經機制,亦值得展望。
駭客有分白帽和黑帽,這一點也不稀奇。
資料外洩與電腦攻擊事件,這也一點都不稀奇。
可是,你有看過駭客們的腦內小劇場decision-making 嗎?
2018 年,MIT 的管理學院發表了一篇研究:他們給一群白帽駭客們設計了一套模擬情境遊戲,研究這群白駭客遇到攻擊與資料外洩事件時的反應變化。遊戲的設計(如圖一)分為兩個等級,玩家也分成兩組:有經驗的白駭客和沒經驗的資安小白。
這項模擬主要是在觀察他們的行為,但可以從此看出兩者在每一關裡面學習趨勢的差異。相關的行為,可能與 information 的汲取有關,但在此曲線中,也明顯展現 noise 的特性,如圖二。
釣魚網站和惡意程式的辨識也和 decision-making 有關,而這不只是白駭客,一般使用者也有這樣的機制,可能是因為大家多少都會見到這些威脅。在這篇 2016 年的研究中,設計釣魚網站和惡意程式以讓使用者辨識,而研究者並且提出這樣的 decision-making 可能也有關於 impulsive decision-making。研究中也使用 fMRI 觀察此過程中受試者的腦部活動情形,發現在 RIPL, RMTG/RSTG 以及 cuneus 等腦區較為活化。而在 functional connectivity 的分析中,也可以看到很強的連結,如圖三。
從這些研究中,或許可以稍微窺見與資訊安全相關的 decision-making 的相關腦區活化與決策行為。或許,有朝一日,能看見此方面更完整的 decision-making 模擬模型。
撰稿 ︳郭彥伶
Reference:
1. Mohammad S.Jalali, Michael Siegel, Stuart Madnick (2018). Decision-making and biases in cybersecurity capability development: Evidence from a simulation game experiment. ScienceDirect 28:1, 66-82.
2. Ajaya Neupane, Nitesh Saxena, Jose Omar Maximo, Rajesh Kana (2016). Neural Markers of Cybersecurity: An fMRI Study of Phishing and Malware Warnings. IEEE, 11:9.
資訊安全如今日趨重要,甚至有資安即國安的說法。而相關工作者在面臨資安威脅時如何決策,也因此而顯得重要。本文介紹兩篇關於其 decision-making 的研究,雖尚未完善,然而,或許於未來可以了解其模式,而其神經機制,亦值得展望。
駭客有分白帽和黑帽,這一點也不稀奇。
資料外洩與電腦攻擊事件,這也一點都不稀奇。
可是,你有看過駭客們的
2018 年,MIT 的管理學院發表了一篇研究:他們給一群白帽駭客們設計了一套模擬情境遊戲,研究這群白駭客遇到攻擊與資料外洩事件時的反應變化。遊戲的設計(如圖一)分為兩個等級,玩家也分成兩組:有經驗的白駭客和沒經驗的資安小白。
 |
| 圖一 |
這項模擬主要是在觀察他們的行為,但可以從此看出兩者在每一關裡面學習趨勢的差異。相關的行為,可能與 information 的汲取有關,但在此曲線中,也明顯展現 noise 的特性,如圖二。
 |
| 圖二 |
釣魚網站和惡意程式的辨識也和 decision-making 有關,而這不只是白駭客,一般使用者也有這樣的機制,可能是因為大家多少都會見到這些威脅。在這篇 2016 年的研究中,設計釣魚網站和惡意程式以讓使用者辨識,而研究者並且提出這樣的 decision-making 可能也有關於 impulsive decision-making。研究中也使用 fMRI 觀察此過程中受試者的腦部活動情形,發現在 RIPL, RMTG/RSTG 以及 cuneus 等腦區較為活化。而在 functional connectivity 的分析中,也可以看到很強的連結,如圖三。
 |
| 圖三 |
從這些研究中,或許可以稍微窺見與資訊安全相關的 decision-making 的相關腦區活化與決策行為。或許,有朝一日,能看見此方面更完整的 decision-making 模擬模型。
撰稿 ︳郭彥伶
Reference:
1. Mohammad S.Jalali, Michael Siegel, Stuart Madnick (2018). Decision-making and biases in cybersecurity capability development: Evidence from a simulation game experiment. ScienceDirect 28:1, 66-82.
2. Ajaya Neupane, Nitesh Saxena, Jose Omar Maximo, Rajesh Kana (2016). Neural Markers of Cybersecurity: An fMRI Study of Phishing and Malware Warnings. IEEE, 11:9.
留言
張貼留言