Na tym etapie ważne jest, aby jasno określić różnice między grupami i stowarzyszeniami. Tak zwane „grupy hakerów” dzielące się informacjami, które zwykle są powiązane z obiektem „stowarzyszenia i inteligencja” (właśnie omówione), nie są uważane za mające charakter kontradyktoryjny i dlatego nie są powiązane z obiektem grupy przeciwników. O ile peer powiązany z przeciwnikiem świadomie nie pomaga w akcie kontradyktoryjności, uważa się go za powiązanego. Tabela przedstawia warunki, jakie może spełnić grupa, aby być skojarzoną z tym obiektem.
Warunek : Opis
1: Grupa musi w jakiś sposób uczestniczyć w działaniach kontradyktoryjnych (musi przyczynić się do przynajmniej jednej części ataku).
2: Grupa lub członek grupy bierze udział w akcie kontradyktoryjnym, a grupa lub jednostka musi mieć świadomość, że jego działania mają rzeczywiście charakter przeciwstawny („głupi agenci” nie liczą się).
3: Grupa jest uważana za część przedmiotu, jeśli grupa lub jeden z jej członków motywuje jednostkę do działania kontradyktoryjnego.
Wiele „grup” przeciwników cybernetycznych, takich jak nieistniejące obecnie elfy GlobalHell i Keebler, byłoby w większości przypadków sklasyfikowanych jako członkowie obiektu stowarzyszenia, a nie jako grupa przeciwników. Powodem tego jest to, że większość działań przeciwnika przeciwko komputerom systemy realizowane przez takie grupy są wykonywane przez osoby działające samodzielnie, przez większość czasu bez wiedzy innych członków ich „grupy”. Chociaż większość „grup hakerów” nie spełnia warunków wstępnych uznania ich za grupę przeciwną, istnieje kilka wyjątków (zdefiniowanych przez warunek 3 w tabeli), które mogą spowodować ich klasyfikację jako część obiektu grupy. Poza rzadkimi przypadkami, gdy takie grupy angażują się w działania kontradyktoryjne w skoordynowany sposób, można je uznać za część obiektu grupowego, jeśli grupa lub członek grupy motywuje innego członka grupy do czynu kontradyktoryjnego. Przykładem może być sytuacja, w której podjęto decyzję grupową o narażeniu określonego celu lub grupy celów, zlecając członkowi grupy wykonanie ataku. Typy przeciwników, którzy zazwyczaj częściej będą posiadać obiekt grupowy
należą do grup wysoce zorganizowanych i czasami bardzo dobrze finansowanych przeciwników cybernetycznych, którzy przeprowadzą wieloetapowe ataki, wykorzystując wszystkie dostępne umiejętności członków grupy. Ponieważ działają one jako grupa, istnieją elementy zagrożenia ze strony rówieśników w takich grupach, które często powodują, że spędza się więcej czasu na planowaniu ataku, aby zwiększyć szanse powodzenia i zmniejszyć szanse wykrycia. prawie zawsze skierowane do bardzo konkretnych hostów docelowych, w przeciwieństwie do metodologii losowego kierowania, typowej dla tak zwanych „grup hakerskich”. Warto jeszcze raz zauważyć, że metodologie losowego kierowania stosowane przez takie grupy hakerów wskazują na fakt, że ataki są wykonywane przez pojedyncze osoby (w przeciwieństwie do wysiłku grupowego), skanując ogromną liczbę potencjalnych celów w poszukiwaniu hosta, którym są. być w stanie pójść na kompromis, coś, co byłoby prawie niemożliwe do kontrolowania jako grupa. Miary z tabeli 2 można wykorzystać do scharakteryzowania tego, co może być atakiem ze strony przeciwnika, którego obiekt grupowy jest zaludniony.
Warunek : Opis
1: Atak będzie skupiony na konkretnym celu lub grupie celów.
2: Faza rozpoznania i planowania ataku będzie prawdopodobnie znacznie bardziej szczegółowa.
3: Zakres ataku będzie znacznie szerszy niż w przypadku ataku pojedynczego przeciwnika. Nawet jeśli w przeprowadzaniu ataku zaangażowana jest osoba, zastosowane techniki będą prawdopodobnie dokładniejsze.
Poniżej przedstawiono często obserwowalne zmiany w sposobie, w jaki właściwość środowiska wpływa na właściwości osoby atakującej z powodu obecności obiektu grupy:
* Cel ataku Jeśli atak ma miejsce w ramach grupy przeciwnej, celem prawie zawsze będzie cel, który w jakiś sposób przyniesie korzyści grupie, niezależnie od tego, czy będzie to finansowa, czy inna. Grupa omówi cel, to jest zakres kompetencji atak.
* Wiedza / umiejętności Wiedza / umiejętności używane podczas ataku najczęściej będą należeć do wielu członków, a nie od jednej osoby. Jak wcześniej wspomniano, atak przeciwnika z obiektem grupowym znajdującym się w jego właściwościach środowiskowych będzie prawdopodobnie częścią wieloetapowego ataku, więc informacje wykorzystane podczas „jego lub jej” fazy ataku mogłyby zostać odzyskane przez inne osoby członkowie grupy podczas ataków przygotowawczych.
* Finanse Jeśli do przeprowadzenia ataku potrzebne są środki finansowe, są one często łatwiej dostępne dla przeciwników, którzy mają grupę obecną w swoim otoczeniu, niż gdyby nie.
* Czas Czas dostępny do zainwestowania w atak i jego przygotowanie jest znacznie zwiększony, jeśli przeciwnik posiada obiekt grupowy w swoim środowisku. Czas jest elementem zasobu obiektu atakującego.
* Wstępny dostęp Przeciwnik posiadający obiekt grupy w swoim
environment może być w stanie uzyskać wyższy poziom początkowego dostępu przez innych członków grupy. W takim przypadku wystąpi efekt domina na wiele innych obiektów w obrębie własności osoby atakującej.
* Stosunek do atrybutów ataku (przy próbie) Stosunek do atrybutów ataku będzie prawdopodobnie dotyczył raczej grupy przyłączonej do obiektu grupowego w obrębie własności środowiska przeciwnika, a nie samego przeciwnika. Na przykład, decyzja grupowa może zostać podjęta, czy atak ma szanse zakończyć się sukcesem, czy nie, a zatem czy powinien zostać poddany wykonaniu.