Kiedy wybrałeś ten tekst, prawdopodobnie zrobiłeś to z jednego z dwóch powodów: zwykłej ciekawości tematu lub poczucia, że da ci to lepsze zrozumienie, przed kim chronisz swoje aktywa i jak może lepiej wykonywać to zadanie. Administratorzy systemów i inni specjaliści IT często szukają lepszego zrozumienia, przed kim chronimy nasze zasoby; często powoduje to poczucie niepewności lub wrażliwości – czynnik „niewiedzy”. Uczucie „niewiedzy” można wprowadzić do równania na wiele sposobów, a poziomy i nie zawsze są bezpośrednio związane z administrowaniem sieciami komputerowymi. Być może jesteś członkiem działu zasobów ludzkich w Twojej firmie i nie jesteś pewien, czy młody administrator systemów, którego właśnie zatrudniłeś, może pewnego dnia obrócić się przeciwko firmie, powodując szkody w jej majątku na masową skalę. I czyja byłaby to wina, gdyby tak się stało? Więc może nie powinieneś ryzykować i po prostu znaleźć innego kandydata. Czy jego młody wiek i brak doświadczenia w dużej sieci korporacyjnej zwiększa prawdopodobieństwo, że stanowi on zagrożenie wewnętrzne dla Twojej organizacji? Że być może pewnego dnia zwróci się przeciwko firmie, udostępniając systemy swoim tak zwanym przyjaciołom na kanale Internet Relay Chat, na którym często bywa, bo denerwuje go spór płacowy? Czy może ujawni poufną własność intelektualną firmy konkurentowi, gdy zaoferuje się łapówkę? Być może jesteś administratorem systemów i martwisz się, że systemy, które masz teraz chronić, są zagrożone, ale nie masz pewności, od kogo lub przed czym. Jak wygląda twój przeciwnik? Jakich ataków użyje, próbując włamać się do sieci? Rzeczywiście, co motywuje twojego przeciwnika? Obawiasz się również, że aplikacja o znaczeniu krytycznym nie była zaprojektowane w bezpieczny sposób; jakie czynniki powinien wziąć pod uwagę zespół programistów podczas projektowania środków przeciwdziałania atakom? Te przykłady stanowią niewielki procent pytań, które pracownicy dużych i małych organizacji zadają sobie na co dzień – ale z jakim autorytetem odpowiadają na nie? Jakie kursy studiowali, które pozwalają im dokładnie zidentyfikować zagrożenie dla ich organizacji i skutecznie je złagodzić? Prawda jest taka, że w sektorze publicznym przeciętnym pracownikom jest niewiele danych, które pozwolą im odpowiedzieć na te pytania. Organizacjom rządowym i organom ścigania jest trochę lepiej, biorąc pod uwagę systemy modelowania zagrożeń, z których wiele z nich korzysta na co dzień. Istnieje wyraźna potrzeba lepszego zrozumienia dzisiejszego i jutrzejszego cyberprzestępcy, począwszy od tego, co go motywuje, po zagrożenie, jakie ten przeciwnik stanowi dla aktywów Twojej organizacji. Oczywiście z perspektywy czasu łatwo jest wygłosić ogólnikowe stwierdzenia, takie jak większa świadomość problemów związanych z bezpieczeństwem komputerowym w organizacji złagodziłaby reperkusje wielu incydentów związanych z bezpieczeństwem komputerowym w niedawnej historii, a może nawet zapobiegłaby incydentowi w pierwsze miejsce. Ale jak wiesz, jeśli jesteś administratorem systemów, przekonujesz kierownictwo, że istnieje zagrożenie, próbujesz zidentyfikować naturę tego zagrożenia i wyrażasz to w sposób zrozumiały nawet dla dyrektora generalnego, zwłaszcza gdy wiąże się to ze względami budżetowymi, nie jest takie proste. Nawet w przypadku, gdy miał miejsce incydent, jak możemy się z niego uczyć? Jasne, możesz biegać po łataniu systemów, które prawdopodobnie i tak będą ponownie podatne na ataki za kilka miesięcy, ale czego możemy się nauczyć od przeciwnika, który pomimo tego, co przyznajemy publicznie, przechytrzył cię? Oczywiste jest, że potrzebujemy lepszego zrozumienia głównych właściwości przeciwnika i zestawu sprawdzonych wskaźników charakteryzujących zagrożenie, aby zmierzyć te właściwości i określić, jak dany przeciwnik zachowałby się w określonej sytuacji – lub, co ważniejsze, wobec określonego zasobu. W każdej części znajdziesz różne metryki i zaprojektowane teorie, aby skupić się na różnych zastosowaniach teorii charakteryzacji. Charakteryzujemy zagrożenie od przeciwników wewnątrz Twojej organizacji po zagrożenie, na które Twoja firma może być narażona ze strony tak zwanych cyberprzestępców z najwyższej półki, takich jak członkowie organizacji terrorystycznych i dobrze finansowany łotr państwowy. Na początku podamy kilka studiów przypadku, opartych na prawdziwych wydarzeniach zawierających częściowo fikcyjne informacje lub opisy rzeczywistych incydentów. Chociaż te studia przypadków nie obejmują pełnego zakres problemu charakteryzacji, dobrze przygotowały scenę dla tego, co nadejdzie. Pierwsze studium przypadku to niesławny, Kevin Mitnick i jego atak na małą firmę technologiczną z siedzibą w dolinie San Fernando. (c.d.n.)