Оценка уязвимости к фишингу участников сетевых геймифицированных образовательных проектов в области информационной безопасности
Автор: Сафонов Константин Владимирович, Золотарев Вячеслав Владимирович
Журнал: Вестник Красноярского государственного педагогического университета им. В.П. Астафьева @vestnik-kspu
Рубрика: Теория и методика профессионального образования
Статья в выпуске: 2 (52), 2020 года.
Бесплатный доступ
Постановка проблемы. В статье рассматриваются вопросы, связанные с защищенным взаимодействием внутри геймифицированной образовательной среды, в частности в области игровых кейсов, применяемых для обучения информационной безопасности. Основные угрозы, рассмотренные ниже, это реализация различных типов фишинговых атак, показаны экспериментальные данные по оценке некоторых параметров групп проекта, реализованных в социальной сети. Также приведен алгоритм действий при оценке уязвимости участников сетевых геймифицированных проектов к фишинговым атакам. Цель исследования ориентирована на разработку подхода к оценке опасности фишинга как способа разрушения или негативного использования группового взаимодействия с точки зрения информационной безопасности, применимого для проектов в форме кейс-стади. Методологию исследования составляют: изучение и анализ результатов междисциплинарных исследований отечественных и зарубежных ученых, посвященных использованию геймификации в различных обучающих задачах, игровых сред и решений, их оценки; анализ действующих игровых практик в рамках обучения информационной безопасности. Результаты. Разработаны авторские рекомендации по оценке уязвимости участников сетевых геймифицированных образовательных проектов к фишинговым атакам, выполнен обзор связанных работ и противоречий, показаны ограничения. Заключение. По результатам проведенного эксперимента показано, что сетевое взаимодействие может быть оценено, а итоги оценки использованы для прогнозирования развития фишинговых атак в сетевых геймифицированных образовательных проектах. Рассматриваемые в статье авторские рекомендации могут быть применены в ходе обучения магистров по направлению подготовки 10.04.01 Информационная безопасность (очная форма обучения).
Обучение, информационная безопасность, геймификация, фишинг, социальная сеть
Короткий адрес: https://sciup.org/144161862
IDR: 144161862 | УДК: 378:811 | DOI: 10.25146/1995-0861-2020-52-2-201
Assessment of participants vulnerability to phishing within network gamified projects in the field of information security
Statement of the problem. The article deals with issues related to secure interaction within a gamified educational environment, in particular in the field of game cases used for information security training. The main threats discussed below are the implementation of various types of phishing attacks. Experimental data are shown on the evaluation of some parameters of project groups implemented in the social network. An algorithm for evaluating the vulnerability of participants in network gamified projects to phishing attacks is also provided. The purpose of the article is focused on developing an approach to assessing the danger of phishing as a way to destroy or negatively use group interaction from the point of view of information security applicable to case study projects. The research methodology consists of an analysis of current gaming practices in the framework of information security training; the study of the results of interdisciplinary research by Russian and foreign scientists on the use of gamification in various training tasks, game environments and solutions, and their evaluation. Research results. Author’s recommendations for assessing the vulnerability of participants in network gamified educational projects to phishing attacks were developed, a review of related works and contradictions was performed, and restrictions were shown. Conclusion. Based on the results of the experiment, it is shown that network interaction can be evaluated, and the results of the evaluation can be used to predict the development of phishing attacks in network gamified educational projects. The author’s recommendations considered in the article can be applied during the training of masters in the field of training: 10.04.01 Information security (full-time training).
Список литературы Оценка уязвимости к фишингу участников сетевых геймифицированных образовательных проектов в области информационной безопасности
- Абрамов М.В., Азаров А.А., Тулупьева Т.В. и др. Модель профиля компетенций злоумышленника в задаче анализа защищенности персонала информационных систем от соци-оинженерных атак // Информационно-управляющие системы. 2016. № 4 (83). C. 77-84. DOI: 10.15217/issn1684-8853.2016.4.77
- Басараб М.А., Иванов И.П., Колесников А.В., Матвеев В.А. Обнаружение противоправной деятельности в киберпространстве на основе анализа социальных сетей: алгоритмы, методы и средства (обзор) // Вопросы кибербезопасности. 2016. Вып. 4 (17). С. 11-19. DOI: 10.21681/2311-3456-2016-4-11-19
- Кириченко Л., Радивилова Т., Барановский А. Обнаружение киберугроз с помощью анализа социальных сетей // Information technologies & knowledge. 2017. Vol. 11, No. 1. P. 23-48. URL: https://www. researchgate.net/publication/320233252_ OBNARUZENIE_KIBERUGROZ_S_POMOSU_ ANALIZA_SOCIALNYH_SETEJ (дата обращения: 01.05.2020).
- Beckers K., Pape S. A Serious game for eliciting social engineering security requirements. In: Proceedings of the 2016 IEEE 24th International Requirements Engineering Conference (RE), 2016. DOI: 10.1109/RE.2016.39
- Hart S., Margheri A., Paci F., Sassone V. Riskio: A serious game for cyber security awareness and education // Computers & Security. 2020. Vol. 95. P. 101827. DOI: 10.1016/j. cose.2020.101827
- Jin G., Tu M., Kim T.-H., Heffron J., White J. Game based cybersecurity training for high school students. In: SIGCSE '18 Proceedings of the 49th ACM Technical Symposium on Computer Science Education. P. 68-73. DOI: 10.1145/3159450.3159591
- Kang L., Chek K., Choon, L. A survey of phish-ing attacks: Their types, vectors and technical approaches // Expert Systems with Applications. 2018. No. 106. P. 1-20. DOI: 10.1016/j. eswa.2018.03.050
- Liu L., Yasin A., Li T., Fatima R., Wang J. Improving software security awareness using a serious game. In: IET Software, 2018. DOI: 10.1049/ iet-sen.2018.5095
- Safonov K., Zolotarev V., Derben A. Analysis of attack strategies on game resources for technological processes training games. In: Proceedings of the IOP Conference series, 2019 [in press].
- Tang S., Hanneghan M. A Model-driven framework to support development of serious games for game based learning. In: Proceedings of the 3rd International Conference on Developments in e-Systems Engineering. London, UK. 2010. DOI: 10.1109/DeSE.2010.23
- Trickel E., Disperati F., Gustafson E. Shall we play a game? CTF-as-a-service for Security Education. In: Proceedings of the USENIX Workshop on Advances in Security Education (ASE), 2017. URL: https://www.researchgate.net/ publication/319141725_Shell_We_Play_A_ Game_CTF-as-a-service_for_Security_Educa-tion (дата обращения: 10.04.2020).
- Yasin A., Liu L., Li T., Wang J., Zowghi D. Design and preliminary evaluation of a cyber Security Requirements Education Game (SREG) // Information and Software Technology. 2018. № 95. P. 179-200. DOI: 10.1016/j. infsof.2017.12.002
- Zani A.A.A., Norman A.A., Ghani N. A review of security awareness approaches: Towards achieving communal awareness / Ed. by V. Benson, J. Mcalaney. In: PACIS 2018 Proceedings «Cyber influence and cognitive threats». Academic Press, 2018. P. 97-127. URL: https://aisel. aisnet.org/pacis2018/278 (дата обращения: 13.04.2020).
