論文の概要: Introducing Systems Thinking as a Framework for Teaching and Assessing Threat Modeling Competency
- arxiv url: http://arxiv.org/abs/2404.16632v1
- Date: Thu, 25 Apr 2024 14:21:15 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-26 13:30:22.140741
- Title: Introducing Systems Thinking as a Framework for Teaching and Assessing Threat Modeling Competency
- Title(参考訳): 脅威モデリング能力の教育・評価フレームワークとしてのシステム思考の導入
- Authors: Siddhant S. Joshi, Preeti Mukherjee, Kirsten A. Davis, James C. Davis,
- Abstract要約: 本稿では,脅威モデリング能力の教育と評価にシステム思考とSTRIDEのような業界標準の脅威モデリングフレームワークを併用することを提案する。
システム思考とSTRIDE教育の両方を持つ学生は、コンポーネントレベルの脅威とシステムレベルの脅威を軽減しようと試みた。
- 参考スコア(独自算出の注目度): 3.467282314524728
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Computing systems face diverse and substantial cybersecurity threats. To mitigate these cybersecurity threats, software engineers need to be competent in the skill of threat modeling. In industry and academia, there are many frameworks for teaching threat modeling, but our analysis of these frameworks suggests that (1) these approaches tend to be focused on component-level analysis rather than educating students to reason holistically about a system's cybersecurity, and (2) there is no rubric for assessing a student's threat modeling competency. To address these concerns, we propose using systems thinking in conjunction with popular and industry-standard threat modeling frameworks like STRIDE for teaching and assessing threat modeling competency. Prior studies suggest a holistic approach, like systems thinking, can help understand and mitigate cybersecurity threats. Thus, we developed and piloted two novel rubrics - one for assessing STRIDE threat modeling performance and the other for assessing systems thinking performance while conducting STRIDE. To conduct this study, we piloted the two rubrics mentioned above to assess threat model artifacts of students enrolled in an upper-level software engineering course at Purdue University in Fall 2021, Spring 2023, and Fall 2023. Students who had both systems thinking and STRIDE instruction identified and attempted to mitigate component-level as well as systems-level threats. Students with only STRIDE instruction tended to focus on identifying and mitigating component-level threats and discounted system-level threats. We contribute to engineering education by: (1) describing a new rubric for assessing threat modeling based on systems thinking; (2) identifying trends and blindspots in students' threat modeling approach; and (3) envisioning the benefits of integrating systems thinking in threat modeling teaching and assessment.
- Abstract(参考訳): コンピューティングシステムは多様なサイバーセキュリティの脅威に直面している。
これらのサイバーセキュリティの脅威を軽減するために、ソフトウェアエンジニアは脅威モデリングのスキルに精通する必要がある。
産業や学界では脅威モデリングを教えるためのフレームワークが数多く存在するが,これらのフレームワークの分析から,(1)学生にシステムのサイバーセキュリティを論理的に論じるよりも,コンポーネントレベルの分析に重点を置いている傾向があり,(2)学生の脅威モデリング能力を評価するのに難色はないことが示唆された。
これらの問題に対処するために,システム思考とSTRIDEなどの業界標準の脅威モデリングフレームワークを併用して,脅威モデリング能力の教育と評価を行う手法を提案する。
これまでの研究では、システム思考のような全体論的アプローチは、サイバーセキュリティの脅威を理解し緩和するのに役立ちます。
そこで本研究では,STRIDE 脅威モデリング性能の評価と,STRIDE 実行時のシステム思考性能評価の2つの新しいルーリックを開発し,実験を行った。
本研究は,2021年秋,2023年春,2023年秋にプルデュー大学の上級ソフトウェア工学コースに入学した学生の脅威モデルアーティファクトを評価するために,上記の2つのルーブリックを試験した。
システム思考とSTRIDE教育の両方を持つ学生は、システムレベルの脅威だけでなく、コンポーネントレベルの脅威も軽減しようと試みた。
STRIDEの指導しか受けていない学生は、コンポーネントレベルの脅威の特定と緩和、システムレベルの脅威の割引に焦点をあてる傾向にあった。
我々は,(1)システム思考に基づく脅威モデリングを評価するための新しいルーリックを記述すること,(2)学生の脅威モデリングアプローチにおけるトレンドと盲点を特定すること,(3)脅威モデリング教育と評価にシステム思考を統合することのメリットを想定することによる工学教育に寄与する。
関連論文リスト
- Asset-driven Threat Modeling for AI-based Systems [7.754802111308721]
本研究の目的は、医療領域で設計されたAIシステムの脅威モデルを作成することである。
ソリューションのユーザビリティは良好に評価され,脅威識別に有効であることが示唆された。
論文 参考訳(メタデータ) (2024-03-11T08:40:01Z) - PsySafe: A Comprehensive Framework for Psychological-based Attack,
Defense, and Evaluation of Multi-agent System Safety [73.51336434996931]
大規模言語モデル(LLM)で拡張されたマルチエージェントシステムは、集団知能において重要な能力を示す。
しかし、悪意のある目的のためにこのインテリジェンスを誤用する可能性があり、重大なリスクが生じる。
本研究では,エージェント心理学を基盤とした枠組み(PsySafe)を提案し,エージェントのダークパーソナリティ特性がリスク行動にどう影響するかを明らかにする。
実験の結果,エージェント間の集団的危険行動,エージェントが危険な行動を行う際の自己反射,エージェントの心理的評価と危険な行動との相関など,いくつかの興味深い現象が明らかになった。
論文 参考訳(メタデータ) (2024-01-22T12:11:55Z) - Model evaluation for extreme risks [46.53170857607407]
AI開発のさらなる進歩は、攻撃的なサイバー能力や強力な操作スキルのような極端なリスクを引き起こす能力につながる可能性がある。
モデル評価が極端なリスクに対処するために重要である理由を説明します。
論文 参考訳(メタデータ) (2023-05-24T16:38:43Z) - ANALYSE -- Learning to Attack Cyber-Physical Energy Systems With
Intelligent Agents [0.0]
ANALYSEは、学習エージェントがサイバー物理エネルギーシステムにおける攻撃を自律的に見つけることができる機械学習ベースのソフトウェアスイートである。
未知の攻撃タイプを見つけ、科学文献から多くの既知のサイバー物理エネルギーシステムの攻撃戦略を再現するように設計されている。
論文 参考訳(メタデータ) (2023-04-21T11:36:18Z) - A Survey on Explainable Artificial Intelligence for Cybersecurity [14.648580959079787]
説明可能な人工知能(XAI)は、決定と行動に対して明確かつ解釈可能な説明を提供する機械学習モデルを作成することを目的としている。
ネットワークサイバーセキュリティの分野では、XAIは、サイバー脅威の振る舞いをよりよく理解することで、ネットワークセキュリティへのアプローチ方法に革命をもたらす可能性がある。
論文 参考訳(メタデータ) (2023-03-07T22:54:18Z) - Security for Machine Learning-based Software Systems: a survey of
threats, practices and challenges [0.76146285961466]
機械学習ベースのモダンソフトウェアシステム(MLBSS)を安全に開発する方法は、依然として大きな課題である。
潜伏中の脆弱性と、外部のユーザーや攻撃者に暴露されるプライバシー問題は、ほとんど無視され、特定が難しい。
機械学習ベースのソフトウェアシステムのセキュリティは、固有のシステム欠陥や外敵攻撃から生じる可能性があると考えている。
論文 参考訳(メタデータ) (2022-01-12T23:20:25Z) - Assessing Risks and Modeling Threats in the Internet of Things [0.0]
我々は、敵の資産、敵の行動、悪用可能な脆弱性、あらゆるIoT攻撃の構成要素である妥協されたプロパティを記述したIoT攻撃分類を開発する。
我々は、このIoT攻撃分類を、共同リスク評価と成熟度評価の枠組みを設計するための基盤として利用しています。
このIoTフレームワークの有用性は、複数の製造業者のコンテキストにおけるケーススタディの実装によって強調される。
論文 参考訳(メタデータ) (2021-10-14T23:36:00Z) - Multi Agent System for Machine Learning Under Uncertainty in Cyber
Physical Manufacturing System [78.60415450507706]
近年の予測機械学習の進歩は、製造における様々なユースケースに応用されている。
ほとんどの研究は、それに関連する不確実性に対処することなく予測精度を最大化することに焦点を当てた。
本稿では,機械学習における不確実性の原因を特定し,不確実性下での機械学習システムの成功基準を確立する。
論文 参考訳(メタデータ) (2021-07-28T10:28:05Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - A System for Efficiently Hunting for Cyber Threats in Computer Systems
Using Threat Intelligence [78.23170229258162]
ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。
ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
論文 参考訳(メタデータ) (2021-01-17T19:44:09Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。