آنگارام: رویکردی نوین در ارتقای امنیت سایبری سازمانها از طریق بازیسازی
سازمانها برای آموزش مباحث حیاتی امنیت سایبری به کارکنان خود از روشهای گوناگونی بهره میبرند. در این میان، استارتاپ آنگارام با ایدهای خلاقانه وارد میدان شده و هدف آن، آموزش مؤثر این مفاهیم از طریق جذابیتهای بازیسازی است. در ادامه این مقاله، با این رویکرد نوآورانه بیشتر آشنا خواهیم شد.
با وجود تلاشهای سازمانها و الزام کارکنان به گذراندن دورههای آموزشی سالانه در زمینه امنیت سایبری، همچنان شاهد بروز مشکلات امنیتی متعددی به دلیل اشتباهات انسانی هستیم. این چالش با پیشرفت روزافزون هوش مصنوعی مولد، که قادر به گسترش و شخصیسازی حملات مهندسی اجتماعی در مقیاسی وسیع است، میتواند ابعاد پیچیدهتری به خود بگیرد.
استارتاپ آنگارام، که پیشتر با نام سیفر شناخته میشد، با ارائه یک رویکرد کاملاً جدید در آموزش امنیت سایبری به کارکنان سازمانها، به دنبال ایجاد تحول در این حوزه است. این شرکت امیدوار است با تغییر ماهیت آموزشها و بهرهگیری از مکانیسمهای بازیسازی، جایگاه خود را در بازار رقابتی امنیت سایبری تثبیت کند.
آنگارام، یک شرکت مستقر در نیویورک، پلتفرمی را توسعه داده است که آموزشهای عملی امنیت را برای شرکتها فراهم میکند. این آموزشها شامل ویدیوهای کوتاه و معماهای تعاملی و شخصیسازی شده است که به کارکنان میآموزد چگونه ایمیلها و ارتباطات مشکوک را شناسایی کنند. طراحی این آموزشها به گونهای است که هم دفعات ارائه آنها بیشتر از استاندارد فعلی (آموزشهای طولانی سالانه) باشد و هم جذابیت بیشتری برای مخاطبان داشته باشد.
هارلی سوگرمن، بنیانگذار و مدیرعامل آنگارام، در مصاحبه با TechCrunch اظهار داشت که این فعالیتها شامل اقداماتی نظیر درخواست از کارکنان برای طراحی ایمیلهای فیشینگ شخصیسازی شده توسط خودشان است. هدف از این کار، آموزش نحوه شناسایی حملات پیچیده علیه خودشان به آنها است.
هارلی سوگرمن در خصوص آموزشهای رایج امنیت سایبری گفت: «ما تقریباً هیچگونه الهامگیری از محتوای موجود در این زمینه نداشتیم. منابع الهام واقعی ما، درسهایی بود که از پلتفرمهایی مانند تیکتاک، دولینگو و خان آکادمی آموختیم. ما به این پلتفرمها نگاه کردیم که چگونه در خارج از حوزه امنیت، به طور بسیار مؤثری رفتار کاربران را تغییر داده و با آنها ارتباط برقرار کردهاند. سپس از خود پرسیدیم، چگونه میتوانیم این درسها را در حوزه امنیت به کار بگیریم؟»
ایده بازیسازی امنیت سایبری از طریق ساخت آموزشهای جذاب، در ابتدای راه اندازی شرکت توسط سوگرمن، که پیش از این به عنوان سرمایهگذار خطرپذیر در بلومبرگ بتا فعالیت میکرد، مطرح نبود.
ایده اولیه سوگرمن، استفاده از رویکرد “فتح پرچم” (Capture The Flag) بود. این روش آموزشی شامل ایجاد نرمافزارهایی با آسیبپذیریهای شناخته شده است که محققان امنیتی باید به آنها نفوذ کرده، باگها را پیدا کرده و نحوه کدنویسی ایمن برای جلوگیری از اشتباهات قبلی را بیاموزند.
این شرکت با نام سیفر در سال ۲۰۲۲ تأسیس شد و دستاوردهایی نیز کسب کرد. اما مدیران ارشد امنیت اطلاعات (CISO) از یک مشکل امنیتی بزرگتر پرده برداشتند: کارکنان غیرمتخصص در حوزه امنیت. سوگرمن گفت که این مدیران، کارکنان خود را به عنوان آسیبپذیرترین نقطه در زنجیره امنیت سایبری معرفی میکنند.
سوگرمن افزود: «چیزی که واقعاً من را شگفتزده کرد، میزان ناامیدیای بود که در صدای آنها میشنیدم. به نظر میرسید این مشکل برای آنها غیرقابل حل است.»
در نتیجه، سیفر در ژانویه ۲۰۲۴ تصمیم گرفت به جای تمرکز بر آموزشهای سنتی امنیت، بر حل این مشکل تمرکز کند. اکنون این استارتاپ نام خود را به آنگارام تغییر داده است تا تمرکز جدید خود را منعکس کند و در حال جایگزینی محصول اصلی خود با پلتفرم بازیسازی امنیت سایبری است. آنگارام از زمان تغییر رویکرد خود رشد چشمگیری داشته و مشتریانی نظیر تامسون رویترز، ماسمیچوال و دیزنی را جذب کرده است. سوگرمن اظهار داشت که آنها تاکنون توانستهاند نرخ موفقیت حملات فیشینگ در شرکتها را از ۲۰٪ به ۶٪ کاهش دهند، اما معتقد است که میتوانند این رقم را به صفر نزدیکتر کنند.
سوگرمن بر این باور است که آنگارام محصول بازیسازی امنیت سایبری خود را در یک مقطع زمانی مهم برای صنعت امنیت سایبری عرضه کرده است. با پیشرفتهای هوش مصنوعی مولد، حملات مهندسی اجتماعی میتوانند به شکل فزایندهای شخصیسازی شوند، که تشخیص واقعیت از جعل را برای افراد دشوارتر خواهد کرد.
سوگرمن گفت: «به نظر من، یکی از پیامدهای این پیشرفتها این است که پلتفرمهای سنتی امنیت ایمیل در شناسایی حملات فیشینگ تولید شده با هوش مصنوعی با چالشهای جدیتری روبرو خواهند شد. توانایی تولید و تصادفیسازی این ایمیلها بسیار قدرتمند است و از منظر مهندسی دفاع، مقابله با آن بسیار دشوار است.»
آنگارام همچنین در حال توسعه یک عامل هوش مصنوعی است که در ایمیلهای کارکنان شرکتها تعبیه خواهد شد تا اشتباهات بالقوه امنیت سایبری را قبل از وقوع شناسایی کند. سوگرمن معتقد است که این عامل اقداماتی نظیر نمایش پیام هشدار در صورت درخواست اطلاعات کارت اعتباری از طریق ایمیل و سایر اقدامات مشابه را انجام خواهد داد.
در این میان، آنگارام امیدوار است که معماها و ویدیوهای آموزشی مشابه تیکتاک آن همچنان بتوانند تأثیرگذار باشند.
سوگرمن در پایان گفت: «انسانها موجودات نادانی نیستند. ما انسانها آسمانخراشهای بلند ساختهایم؛ میتوانیم به سفر فضایی برویم. ما قطعاً میتوانیم یاد بگیریم که چگونه روی لینکهای مشکوک در ایمیلها کلیک نکنیم.»
