Absztrakt

Ebben a cikkben a technikai jellegű kiberbiztonsági gyakorlatok jellemzőit, az IT biztonsági képzésben betöltött helyét és szerepét mutatom be az olvasónak. Ezen gyakorlatok egy része a támadásokra való felkészüléssel, és az informatikai rendszerek védelemével foglalkozik (olyan kibergyakorlatok, melyekben a védőknek az ellenerő támadásait kell detektálni és kivédeni), a másik része a biztonsági rések keresésére fókuszál (ezek az úgynevezett zászlófoglaló, másnéven CTF (Capture The Flag) gyakorlatok. Napjainkban mindkettőre szükség van, hiszen az elméleti tudás a gyakorlatban való alkalmazhatóság nélkül hasztalan, illetve, ha nem ismerjük a támadó gondolkodásmódját, akkor védekezni sem tudunk ellene. A technikai gyakorlatok célja lehet a motiváció (érdeklődők szakmai orientációja), a képzés, a kiválasztás (szakmailag kompetens személyek), a validálás (rendszerek és procedúrák megfelelőségének ellenőrzése), demonstráció (egy-egy új támadási/védelmi módszernek), vagy a kutatás és fejlesztés támogatása (innovatív megoldások keresése). A mű a KÖFOP-2.1.2-VEKOP-15-2016-00001 azonosítószámú, „A jó kormányzást megalapozó közszolgálat-fejlesztés” elnevezésű kiemelt projekt keretében működtetett Ludovika Kiemelt Kutatóműhely keretében, a Nemzeti Közszolgálati Egyetem felkérésére készült.

This article is deal with the main reasons why and how should organizations use technical cyber security exercises to challenge their cyber security experts. A part of these exercises deals with cyber defence (also known as Red team/blue team exercises), the other part is about the offensive operations (the so called Capture the flags - CTF). Nowadays we need both, because we won't be able to create an effective cyber defence, without knowing the capabilities of the attackers. There can be multiple reason to organize such an exercise: to motivate (orientate people), to train the audience, to select competent persons, to validate (by checking the suitability of systems and procedures), to demonstrate Proof of concept of novel attack / defence methods, or to conduct a research (by finding innovative solutions to a problem). The work was created in commission of the National University of Public Service under the priority project KÖFOP-2.1.2-VEKOP-15-2016-00001 titled „Public Service Development Establishing Good Governance” in the Ludovika Workshop.

Kulcsszavak: Kiberbiztonság, gyakorlat, oktatás, képzés ~ cybersecurity, exercise, education, training