A molti è capitato di aprire un nuovo apparecchio o un nuovo dispositivo, di buttare via le istruzioni per l'uso e di iniziare a lavorare sull'apparecchio pensando: "Non voglio leggere tutto questo. Imparerò man mano che lo uso". Questa situazione è uno dei tanti esempi della Teoria del carico cognitivo, una teoria sviluppata da John Sweller, che analizza il modo in cui le persone apprendono e immagazzinano le informazioni.
Sebbene la sua applicazione sia per lo più incentrata sull'istruzione tradizionale, come le scuole, la Teoria del carico cognitivo si applica al modo in cui i professionisti della sicurezza conducono i loro flussi di lavoro quotidiani. In questo blog, facciamo un tuffo in cosa sia la Teoria del Carico Cognitivo, la sua applicazione alla cybersecurity e come il modo in cui le informazioni vengono presentate ai professionisti della sicurezza possa avere un impatto sul tempo di risposta alle minacce.
Teoria del carico cognitivo
Sviluppato alla fine degli anni '80, Sweller ha voluto tradurre in parole e ricerche il motivo per cui a volte l'apprendimento visivo funziona meglio delle informazioni scritte su una tabella. Sweller ha identificato tre tipi di carico cognitivo, chiamati carichi "intrinseci, estranei e germani".
- Il carico cognitivo intrinseco è il "livello intrinseco di difficoltà associato a uno specifico argomento didattico".1 Nell'esempio precedente, si tratta dell'idea dell'altezza media di diversi tipi di alberi.
- Il carico cognitivo estraneo è "generato dal modo in cui le informazioni vengono presentate".2 Nell'esempio, il modo in cui le altezze medie dei diversi tipi di alberi vengono presentate in una tabella. Si noti che la tabella non ha un'intestazione che indichi che i tipi di alberi sono, appunto, alberi.
- Il carico cognitivo germinale è "le risorse della memoria di lavoro che l'allievo dedica al carico intrinseco". 3 Poiché non c'è un'intestazione che indichi che questa tabella elenca i tipi di alberi, l'allievo deve estrarre dalla sua memoria di lavoro informazioni preesistenti, come che le querce, gli olmi e le acacie sono alberi.
L'eventualità di passare direttamente al nuovo apparecchio o dispositivo invece che al manuale di istruzioni per imparare a usarlo è dovuta alla differenza nel carico estraneo delle nuove informazioni che stiamo apprendendo. In altre parole, è molto più facile visualizzare le nuove informazioni sul dispositivo o sull'apparecchio che leggere le parole sul manuale di istruzioni. Ciò è dovuto al fatto che il carico cognitivo estraneo della pratica sul dispositivo (toccare il pulsante di accensione/spegnimento o regolare la temperatura) impegna l'elaborazione percettiva piuttosto che quella cognitiva.
Elaborazione cognitiva vs elaborazione percettiva
L'elaborazione cognitiva è un modo più lento e sfumato di elaborare le informazioni. Gli studenti ingeriscono le informazioni a un ritmo più lento, ma raccolgono "più informazioni" o, in altre parole, una comprensione più profonda delle informazioni. L'elaborazione percettiva prende il carico cognitivo intrinseco e lo semplifica, di solito in modo visivo, in modo che gli studenti possano elaborare le informazioni più velocemente, ma con meno dettagli.
Ad esempio, l'altezza dei diversi tipi di alberi rappresenta il carico cognitivo intrinseco. La tabella sottostante mostra queste informazioni in modo da coinvolgere l'elaborazione cognitiva del discente. Qui gli studenti possono vedere i dettagli specifici dell'altezza dell'albero. Quando il carico cognitivo intrinseco viene visualizzato in disegni di alberi, i discenti si impegnano nell'elaborazione percettiva e vedono rapidamente che le sequoie sono i tipi di alberi più alti, mentre gli abeti sono i più bassi entro i primi secondi dalla visualizzazione. L'allievo potrebbe non cogliere l'altezza specifica degli abeti e delle sequoie fino a pochi secondi dopo l'elaborazione e potrebbe anche non notare o ricordare i tipi di alberi che si trovano tra i due.
Se la domanda a cui il discente stava rispondendo è "qual è l'albero più alto e quale quello più corto", la visualizzazione dell'albero permette al discente di rispondere in pochi secondi dopo aver elaborato la domanda e la risposta. Le visualizzazioni, se fatte in modo mirato, possono indirizzare i discenti verso le risposte alle loro domande in modo rapido ed efficace, senza dover fare la cernita tra il rumore delle altre informazioni disponibili.
Teoria del carico cognitivo applicata alla sicurezza informatica
La moderna cybersecurity richiede ad analisti e ingegneri di consumare una grande quantità di informazioni a velocità molto elevate per anticipare l'attaccante moderno. Soprattutto con il modo in cui le reti moderne si estendono su data center, identità, server cloud , applicazioni e altro ancora, il volume di dati e informazioni deve essere presentato in modo da consentire ai professionisti di ridurre al minimo il carico cognitivo estraneo. In altre parole, i fornitori di sicurezza devono presentare le informazioni in modo semplice, rapido e intuitivo. Il metodo più efficace è in genere la visualizzazione dei dati.
Invece di ingerire faticosamente molte righe di rilevamenti in un elenco, i professionisti della sicurezza possono ottenere rapidamente le informazioni necessarie per indagare e rispondere correttamente agli aggressori attraverso una visualizzazione di tali dati. La trasformazione dell'elenco di dati in un diagramma consente ai professionisti della sicurezza di ottimizzare il carico cognitivo estraneo, destinando il tempo risparmiato a indagini più approfondite sulle minacce più urgenti. A sua volta, questo consente ai professionisti della sicurezza di rispondere rapidamente alle minacce con il contesto e le informazioni adeguate e di anticipare l'attaccante.
L'applicazione delle visualizzazioni ai flussi di lavoro di cybersecurity può portare la sicurezza a un livello superiore, aggiungendo livelli e interazioni alle visualizzazioni. Nell'esempio precedente, la visualizzazione è codificata a colori per mostrare la gravità della connessione tra un host e un dominio e ha una timeline allegata che mostra quando sono state stabilite determinate connessioni. Invece di leggere e memorizzare le date e le azioni di ciascun host, account o dominio associato alla minaccia, ai professionisti della sicurezza vengono presentate tutte le informazioni importanti in un'unica soluzione, raccontando una storia olistica del comportamento di un attaccante.
Il punto di vista di Vectra AIsulla teoria del carico cognitivo
La piattaforma Vectra AI integra la teoria del carico cognitivo direttamente nella nostra interfaccia grafica con i moduli Hunt e Respond.
Il modulo di caccia
Il grafico del modulo Hunt fornisce agli analisti un modo per decifrare le minacce che meritano di essere approfondite in base alla valutazione dell'attacco (asse y) e all'importanza (asse x). Le minacce sono distinte tra i vari tipi con icone, in modo che un analista più orientato alla rete possa concentrarsi sugli host (icona del computer) nel grafico e un analista cloud possa concentrarsi sugli account (icona della persona). In questo modo, gli analisti possono determinare in modo relativamente rapido le entità a cui dare priorità. Se si confronta l'efficacia della raccolta di informazioni dal grafico con la tabella delle minacce sottostante, risulta evidente quale forma di dati sia più digeribile. Tuttavia, poiché siamo consapevoli che i grafici non possono fornire informazioni più sfumate, abbiamo progettato la nostra interfaccia utente per includere i dati anche in formato di tabella.
Il modulo Respond
Un altro esempio di come Vectra AI tenga conto della teoria del carico cognitivo è il modulo Respond. Anche se non assomiglia a un grafico o a un'illustrazione, il modulo Respond mira a ottimizzare i carichi cognitivi estranei degli analisti mostrando informazioni in pillole con indicazioni sui passi successivi.
Le minacce sono elencate in base alla priorità e all'urgenza e sono aggregate in un'unica "entità" con un breve riepilogo del motivo per cui è stato assegnato il punteggio. Una volta che gli analisti visualizzano i frammenti di informazioni e hanno interiorizzato il chi, il cosa e il perché della minaccia, possono fare clic su "Mostra rilevamenti attivi" per compiere il passo successivo nell'analisi. Dopo aver ampliato un rilevamento, viene fornito un riepilogo del suo comportamento, che consente di comprendere la storia che viene raccontata. Le nostre descrizioni forniscono ancora una volta un'ipotesi da perseguire e alcuni punti di dati che possono iniziare ad analizzare.
I moduli Hunt e Respond della Vectra AI Platform sono solo due esempi di come progettiamo l'interfaccia utente per gli analisti della sicurezza. Innoviamo costantemente la nostra esperienza utente per semplificare i flussi di lavoro degli analisti e ottimizzare tempo, sforzi e talenti.
Disporre di visualizzazioni come i moduli Hunt e Respond di Vectra è fondamentale per difendere l'ambiente dagli aggressori moderni che si spostano da una superficie di attacco all'altra in pochi minuti. Queste visualizzazioni semplificano la complessità di un attacco moderno, fornendo al contempo le informazioni critiche necessarie per costruire una resilienza agli attacchi ibridi.
Per saperne di più sull'esperienza degli analisti di Vectra AI Platform, visitare il sito: https://www.vectra.ai/platform.