Cyber security game based training

Η εκπαίδευση στην κυβερνοασφάλεια κερδίζει ολοένα και περισσότερη προσοχή τα τελευταία χρόνια, καθώς τα περιστατικά κυβερνοεπιθέσεων αυξάνονται συνεχώς σε αριθμό και σφοδρότητα. Παράλληλα, παρατηρείται έλλειμμα στο εργατικό δυναμικό κυβερνοασφάλειας, καθώς οι απαιτήσεις σε εξειδικευμένο προσωπικό συνεχώς αυξάνονται ενώ οι εγκληματίες στον κυβερνοχώρο επιδεικνύουν νέες δεξιότητες, οι οποίες σε πολλές περιπτώσεις ξεπερνούν τις γνώσεις και δεξιότητες των επαγγελματιών του χώρου. Μία από τις βασικές προτεραιότητες για την κάλυψη αυτού του προβλήματος είναι η βελτίωση της αποτελεσματικότητας της εκπαίδευσης στην κυβερνοασφάλεια. Ωστόσο, ο τομέας της κυβερνοασφάλειας είναι ένας πολύπλοκος τομέας και η εκπαίδευση στην κυβερνοασφάλεια περιλαμβάνει πολλά προβλήματα και προκλήσεις που υποβαθμίζουν την αποτελεσματικότητά της. Συγκεκριμένα, η εκπαίδευση στην κυβερνοασφάλεια αξιοποιεί κυρίως παραδοσιακές μεθόδους διδασκαλίας και συχνά χρησιμοποιεί τους διαγωνισμούς κυβερνοασφάλειας (συνήθως της μορφής Capture-the-flag ή CtF), στους οποίους οι συμμετέχοντες ανταγωνίζονται με βάση τις γνώσεις και τις δεξιότητές τους. Παρόλο που οι διαγωνισμοί κυβερνοασφάλειας ενσωματώνουν πολλά παιδαγωγικά οφέλη, όταν υιοθετούνται σε εκπαιδευτικά πλαίσια, συνδέονται επίσης με πολλά προβλήματα που μειώνουν την παιδαγωγική τους αξία και την αποτελεσματικότητά τους. Οι προσεγγίσεις που βασίζονται σε παιχνίδια φαίνεται να έχουν τη δυνατότητα να βελτιώνουν την αποτελεσματικότητα της εκπαίδευσης στον τομέα της κυβερνοασφάλειας, καθώς τα σοβαρά παιχνίδια κερδίζουν συνεχώς αναγνώριση, ενώ ήδη χρησιμοποιούνται με επιτυχία σε άλλους τομείς.Σε αυτήν την διατριβή, αρχικά αναλύεται ο τομέας της εκπαίδευσης στην κυβερνοασφάλεια γενικότερα και των διαγωνισμών κυβερνοασφάλειας ειδικότερα, ενώ εντοπίζονται τα πλεονεκτήματα και τα μειονεκτήματά τους. Αξιοποιούνται τα μοντέλα ανάπτυξης σοβαρών παιχνιδιών, και με βάση την ανάλυση του κάθε τομέα, χρησιμοποιείται ως όχημα η εκπαίδευση με αξιοποίηση ψηφιακών παιχνιδιών για την αντιμετώπιση των αδυναμιών εκπαίδευσης στην κυβερνοασφάλεια και την βελτίωση της αποτελεσματικότητάς της. Για το σκοπό αυτό, προτείνεται το εννοιολογικό πλαίσιο για την ηλεκτρονική μάθηση και κατάρτιση (Conceptual Framework for eLearning and Training) με την ονομασία COFELET, ως ένας οδηγός για το σχεδιασμό και την ανάπτυξη σοβαρών παιχνιδιών για την ασφάλεια στον κυβερνοχώρο. Το πλαίσιο COFELET βασίζεται σε σύγχρονες θεωρίες μάθησης και βλέπει τα σοβαρά παιχνίδια στην κυβερνοασφάλεια ως οργανωμένα και παραμετροποιήσιμα περιβάλλοντα μάθησης που καταγράφουν τις ενέργειες των εκπαιδευομένων, αξιολογούν τις δραστηριότητές τους, προσαρμόζονται στις ανάγκες τους και στηρίζουν τις προσπάθειές τους. Τα παιχνίδια που είναι συμβατά με το COFELET παρέχουν στους μαθητές τις δυνατότητες να εξασκήσουν τις γνώσεις και τις δεξιότητές τους, να εξαπολύσουν κυβερνοεπιθέσεις και να πειραματιστούν σε ένα ασφαλές περιβάλλον μάθησης. Το COFELET προτείνει την υιοθέτηση γνωστών μοντέλων και στρατηγικών (π.χ., το CAPEC της MITRE, το Cyber Kill Chain της Lockheed Martin) που χρησιμοποιούνται γενικά σε προσεγγίσεις ανάλυσης και μοντελοποίησης κυβερνοαπειλών που επαληθεύουν την εγκυρότητα και τη βιωσιμότητα των προσεγγίσεων COFELET. Προς αυτό το σκοπό, προτείνεται η οντολογία COFELET, της οποίας η συνδυασμένη εφαρμογή στοχεύει στη δημιουργία ενός μοντέλου γνώσης για την ηλεκτρονική μάθηση και κατάρτιση στον κυβερνοχώρο ασφάλειας. Η οντολογία COFELET παρέχει λεπτομερείς περιγραφές των βασικών στοιχείων που πρέπει να περιλαμβάνουν τα παιχνίδια που είναι συμβατά με το πλαίσιο COFELET ώστε να μοντελοποιούν τις ενέργειες που κάνουν οι επιτιθέμενοι στον κυβερνοχώρο. Επιπλέον, το πλαίσιο COFELET εφαρμόζει τον κύκλο ζωής του παιχνιδιού COFELET (COFELET game life-cycle), για να καθορίζει τον τρόπο οργάνωσης των βασικών συστατικών και των στοιχείων της οντολογίας COFELET στη δομή ενός παιχνιδιού COFELET, καθώς επίσης και τους κύριους ρόλους του προσωπικού που συμμετέχει στη διαδικασία ανάπτυξης του παιχνιδιού.Με βάση το πλαίσιο COFELET αναπτύχθηκε ένα πρωτότυπο παιχνίδι προσομοίωσης κυβερνοεπιθέσεων, που ονομάζεται HackLearn. Το HackLearn είναι ένα σοβαρό παιχνίδι, το οποίο είναι σχεδιασμένο για να προσφέρει διδακτικές συνεδρίες μέσω προγράμματος φυλλομετρητή (browser), χωρίς να είναι απαραίτητη η παρουσία εκπαιδευτή. Το HackLearn υιοθετεί τη χρήση παραμετροποιήσιμων δυναμικών σεναρίων για τη διδασκαλία βασικών εννοιών κυβερνοασφάλειας, ενώ παρέχει στους εκπαιδευόμενους ευκαιρίες για πρακτική άσκηση και απόκτηση εμπειριών στο ethical hacking. Οι λεπτομέρειες σχεδίασης και εφαρμογής του HackLearn παρουσιάζονται λεπτομερειακά στη διατριβή μαζί με ένα πρωτότυπο σενάριο και το σύνολο στοιχείων από την οντολογία COFELET.Το HackLearn αξιολογήθηκε δύο φορές: αρχικά κατά τη φάση σχεδιασμού του και στη συνέχεια στα πλαίσια μαθημάτων κυβερνοασφάλειας στο Πανεπιστήμιο Μακεδονίας όπου αξιολογήθηκε η αποτελεσματικότητά του στη διδασκαλία βασικών εννοιών της κυβερνοασφάλειας και τεχνικών και στρατηγικών κυβερνοεπιθέσεων, καθώς και στην απόκτηση χρήσιμων εμπειριών από τον χρήστη. Τα αποτελέσματα των αξιολογήσεων δείχνουν ότι το HackLearn περιλαμβάνει δυνατότητες που διευκολύνουν τη δημιουργία αποτελεσματικών διδακτικών προσεγγίσεων στην κυβερνοασφάλεια. Οι εκπαιδευόμενοι ήταν αφοσιωμένοι στην επίτευξη του εκπαιδευτικού σεναρίου και δήλωσαν ικανοποιημένοι από τις εμπειρίες που αποκόμισαν. Συνεπώς, οι προσεγγίσεις COFELET μπορούν να ενισχύσουν τον αντίκτυπο της μάθησης και της κατάρτισης στον τομέα της εκπαίδευσης στην κυβερνοασφάλεια. Ακόμη, φάνηκε ότι τα σοβαρά παιχνίδια μπορούν να αποτελούν μέρος ενός εκπαιδευτικού προγράμματος, καθώς οι μαθητές έχουν κίνητρο στη μάθηση με πιο ενεργούς, δημιουργικούς και διασκεδαστικούς τρόπους. Παρόλα αυτά, Η αξιολόγηση αποκάλυψε ορισμένες ελλείψεις, οι οποίες δείχνουν τις προοπτικές για μελλοντική έρευνα, όπως η έλλειψη υποστήριξης για πολλούς παίκτες (multi-player), η ανάγκη για πιο εξελιγμένη βοήθεια και υποστήριξη των προσπαθειών του χρήστη και η έλλειψη πρόσθετων τρόπων λειτουργίας (π.χ. λειτουργίες πιστοποίησης των γνώσεων του εκπαιδευόμενου και λειτουργία διαγωνισμού εκπαιδευόμενων).