論文の概要: Introducing Systems Thinking as a Framework for Teaching and Assessing Threat Modeling Competency

• arxiv url: http://arxiv.org/abs/2404.16632v1
• Date: Thu, 25 Apr 2024 14:21:15 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-26 13:30:22.140741
• Title: Introducing Systems Thinking as a Framework for Teaching and Assessing Threat Modeling Competency
• Title（参考訳）: 脅威モデリング能力の教育・評価フレームワークとしてのシステム思考の導入
• Authors: Siddhant S. Joshi, Preeti Mukherjee, Kirsten A. Davis, James C. Davis,
• Abstract要約: 本稿では,脅威モデリング能力の教育と評価にシステム思考とSTRIDEのような業界標準の脅威モデリングフレームワークを併用することを提案する。 システム思考とSTRIDE教育の両方を持つ学生は、コンポーネントレベルの脅威とシステムレベルの脅威を軽減しようと試みた。
• 参考スコア（独自算出の注目度）: 3.467282314524728
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Computing systems face diverse and substantial cybersecurity threats. To mitigate these cybersecurity threats, software engineers need to be competent in the skill of threat modeling. In industry and academia, there are many frameworks for teaching threat modeling, but our analysis of these frameworks suggests that (1) these approaches tend to be focused on component-level analysis rather than educating students to reason holistically about a system's cybersecurity, and (2) there is no rubric for assessing a student's threat modeling competency. To address these concerns, we propose using systems thinking in conjunction with popular and industry-standard threat modeling frameworks like STRIDE for teaching and assessing threat modeling competency. Prior studies suggest a holistic approach, like systems thinking, can help understand and mitigate cybersecurity threats. Thus, we developed and piloted two novel rubrics - one for assessing STRIDE threat modeling performance and the other for assessing systems thinking performance while conducting STRIDE. To conduct this study, we piloted the two rubrics mentioned above to assess threat model artifacts of students enrolled in an upper-level software engineering course at Purdue University in Fall 2021, Spring 2023, and Fall 2023. Students who had both systems thinking and STRIDE instruction identified and attempted to mitigate component-level as well as systems-level threats. Students with only STRIDE instruction tended to focus on identifying and mitigating component-level threats and discounted system-level threats. We contribute to engineering education by: (1) describing a new rubric for assessing threat modeling based on systems thinking; (2) identifying trends and blindspots in students' threat modeling approach; and (3) envisioning the benefits of integrating systems thinking in threat modeling teaching and assessment.
• Abstract（参考訳）: コンピューティングシステムは多様なサイバーセキュリティの脅威に直面している。 これらのサイバーセキュリティの脅威を軽減するために、ソフトウェアエンジニアは脅威モデリングのスキルに精通する必要がある。 産業や学界では脅威モデリングを教えるためのフレームワークが数多く存在するが,これらのフレームワークの分析から,(1)学生にシステムのサイバーセキュリティを論理的に論じるよりも,コンポーネントレベルの分析に重点を置いている傾向があり,(2)学生の脅威モデリング能力を評価するのに難色はないことが示唆された。 これらの問題に対処するために,システム思考とSTRIDEなどの業界標準の脅威モデリングフレームワークを併用して,脅威モデリング能力の教育と評価を行う手法を提案する。 これまでの研究では、システム思考のような全体論的アプローチは、サイバーセキュリティの脅威を理解し緩和するのに役立ちます。 そこで本研究では,STRIDE 脅威モデリング性能の評価と,STRIDE 実行時のシステム思考性能評価の2つの新しいルーリックを開発し,実験を行った。 本研究は,2021年秋,2023年春,2023年秋にプルデュー大学の上級ソフトウェア工学コースに入学した学生の脅威モデルアーティファクトを評価するために,上記の2つのルーブリックを試験した。 システム思考とSTRIDE教育の両方を持つ学生は、システムレベルの脅威だけでなく、コンポーネントレベルの脅威も軽減しようと試みた。 STRIDEの指導しか受けていない学生は、コンポーネントレベルの脅威の特定と緩和、システムレベルの脅威の割引に焦点をあてる傾向にあった。 我々は,(1)システム思考に基づく脅威モデリングを評価するための新しいルーリックを記述すること,(2)学生の脅威モデリングアプローチにおけるトレンドと盲点を特定すること,(3)脅威モデリング教育と評価にシステム思考を統合することのメリットを想定することによる工学教育に寄与する。

関連論文リスト

• From Silos to Systems: Process-Oriented Hazard Analysis for AI Systems [2.226040060318401]
  システム理論プロセス分析(STPA)をAIの操作と開発プロセスの解析に応用する。 我々は、機械学習アルゴリズムに依存したシステムと、3つのケーススタディに焦点をあてる。 私たちは、AIシステムに適したいくつかの適応があるにもかかわらず、anAを実行するための重要な概念とステップが容易に適用できることに気付きました。
  論文  参考訳（メタデータ） (2024-10-29T20:43:18Z)
• AsIf: Asset Interface Analysis of Industrial Automation Devices [1.3216177247621483]
  産業制御システムは、通信標準やプロトコルを含むITソリューションをますます採用している。 これらのシステムがより分散化され相互接続されるようになると、セキュリティ対策の強化に対する重要なニーズが生じる。 脅威モデリングは伝統的に、ドメインとセキュリティの専門家を含む構造化ブレインストーミングセッションで行われます。 本稿では,特に物理的脅威に着目した産業システムにおける資産分析手法を提案する。
  論文  参考訳（メタデータ） (2024-09-26T07:19:15Z)
• Attack Atlas: A Practitioner's Perspective on Challenges and Pitfalls in Red Teaming GenAI [52.138044013005]
  生成AI、特に大規模言語モデル(LLM)は、製品アプリケーションにますます統合される。 新たな攻撃面と脆弱性が出現し、自然言語やマルチモーダルシステムにおける敵の脅威に焦点を当てる。 レッドチーム(英語版)はこれらのシステムの弱点を積極的に識別する上で重要となり、ブルーチーム(英語版)はそのような敵の攻撃から保護する。 この研究は、生成AIシステムの保護のための学術的な洞察と実践的なセキュリティ対策のギャップを埋めることを目的としている。
  論文  参考訳（メタデータ） (2024-09-23T10:18:10Z)
• EAIRiskBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [47.69642609574771]
  EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。 高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。 しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。 EAIRiskBenchは、EAIシナリオにおける自動物理的リスクアセスメントのための新しいフレームワークである。
  論文  参考訳（メタデータ） (2024-08-08T13:19:37Z)
• Security Modelling for Cyber-Physical Systems: A Systematic Literature Review [7.3347982474177185]
  サイバー物理システム(サイバー物理システム、CPS)は、デジタル技術とエンジニアリング分野の交差点にある。 CPSに対する主要なサイバーセキュリティ攻撃は、これらのシステムの脆弱性に注意を向けている。 この文献は、CPSセキュリティモデリングの最先端の研究を精査し、脅威と攻撃モデリングの両方を包含している。
  論文  参考訳（メタデータ） (2024-04-11T07:41:36Z)
• Asset-centric Threat Modeling for AI-based Systems [7.696807063718328]
  本稿では、AI関連資産、脅威、対策、残留リスクの定量化のためのアプローチおよびツールであるThreatFinderAIを提案する。 このアプローチの実用性を評価するため、参加者はAIベースのヘルスケアプラットフォームのサイバーセキュリティ専門家によって開発された脅威モデルを再現するよう命じられた。 全体として、ソリューションのユーザビリティはよく認識され、脅威の識別とリスクの議論を効果的にサポートする。
  論文  参考訳（メタデータ） (2024-03-11T08:40:01Z)
• TMAP: A Threat Modeling and Attack Path Analysis Framework for Industrial IoT Systems (A Case Study of IoM and IoP) [2.9922995594704984]
  スマートファクトリにセキュアな産業制御生産システム(ICPS)を配備するには、サイバー脅威とリスクに対処する必要がある。 サイバー物理システム(CPS)における脅威モデリングの現在のアプローチはアドホックで非効率である。 本稿では,予測可能な攻撃ベクトルを同定し,攻撃経路を評価し,各ベクトルの大きさを評価することを目的とした,新しい定量的脅威モデリング手法を提案する。
  論文  参考訳（メタデータ） (2023-12-23T18:32:53Z)
• ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management [65.0114141380651]
  ThreatKGはOSCTIの収集と管理のための自動化システムである。 複数のソースから多数のOSCTIレポートを効率的に収集する。 さまざまな脅威エンティティに関する高品質な知識を抽出するために、AIベースの専門技術を使用する。
  論文  参考訳（メタデータ） (2022-12-20T16:13:59Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)
• A System for Efficiently Hunting for Cyber Threats in Computer Systems Using Threat Intelligence [78.23170229258162]
  ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。 ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
  論文  参考訳（メタデータ） (2021-01-17T19:44:09Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。