Agile Leadership : METODYKI PODEJMOWANIA DECYZJI

Prawdopodobnie używałeś wielu różnych metod, aby poradzić sobie z tym wyzwaniem. Oto lista najczęściej używanych. Pierwsza to konsensus, w którym każdy zgadza się poprzeć daną decyzję. Zakłada się, że leży to w najlepszym interesie całości. Wybrana opcja może nie być ulubioną przez każdą osobę, ale jest tą, którą będzie wspierać cała grupa. Słownik może definiować konsensus (w najlepszym przypadku) jako poczucie jedności wokół przekonania lub proponowanego działania. Konsensus może być trudny do osiągnięcia; grupy, które nalegają na to z powodów filozoficznych, mogą potrzebować bardzo dużo czasu, aby do niego dotrzeć. Modyfikacja metody konsensusu bierze pod uwagę fakt, że możesz mieć jednego wokalistę, który nalega na swój wybór, podczas gdy wszyscy inni skupili się wokół innego wyboru. Ta alternatywa nazywa się konsensus minus jeden. Wszyscy muszą się zgodzić, z wyjątkiem jednej osoby. Jeśli ta osoba nie może przekonać drugiej, idziemy do przodu. Ale jeśli co najmniej dwie osoby nie zgadzają się z większością, grupa nie może jeszcze ruszyć do przodu. Założeniem tej metody jest to, że jeśli dwie osoby sprzeciwiają się wyborowi, prawdopodobnie jest jakiś dobry powód. Musi się odbyć więcej rozmowy. Alternatywnie, możesz głosować i pozwolić wyborowi większości przyjąć dzień. Ma to tę zaletę, że jest proste. Jeśli jednak głosowanie jest blisko, istnieje ryzyko, że zostaniesz wciągnięty z powrotem w dyskusję o tym, czy wybór był naprawdę właściwy. Odmiana metody większości głosów (zwłaszcza jeśli wybierasz spośród dużej liczby opcji) polega na przyznaniu każdej osobie określonej liczby głosów; każda osoba może przydzielić tyle głosów, ile chce, do dowolnego konkretnego wyboru. Jednym z powszechnych sposobów jest głosowanie „przyklejonymi kropkami”, w którym każdemu nadaje się kilka małych kolorowych kropek , kropki samoprzylepne do oddania głosów na dużym kawałku papieru z listą opcji, a także mogą podzielić je na wybrane opcje według własnego uznania. Elementy z największą liczbą głosów (kropki) trafiają na górę w celu dalszej dyskusji, a następnie decyzji. Głosowanie większością głosów ma istotną wadę: każda osoba (ogólnie) używa jednego kryterium przy dokonywaniu wyboru. Myślą sobie takie rzeczy jak:

Ten byłby szybki.

To nie kosztowałoby dużo; wybierzmy to.

Ten pomysł byłby najbardziej popularny wśród naszych klientów.

Ta wada skrywa dwa głębsze problemy: po pierwsze, nie było dyskusji na temat tego, jakie jest lub powinno być kryterium. Po drugie, jeśli wyzwanie jest naprawdę adaptacyjne, myślenie o rzeczach w świetle tylko jednego czynnika jest prawdopodobnie zbyt uproszczone. Niektóre grupy dostrzegają ten problem i wprowadzają bardzo rozbudowany system oceniania, w którym każdy pomysł jest oceniany na podstawie kilku kryteriów. Następnie wszystkie oceny są sumowane, czasami ważone tak, że jedno lub więcej kryteriów liczy się bardziej niż inne i ogłaszany jest „zwycięzca”. Wydaje się to wystarczająco naukowe, ale z naszego doświadczenia wynika, że ​​jest to bardziej kłopotliwe niż warte. Resztę spotkania, a nawet dłużej, samo skonfigurowanie systemu oceny może zająć (są wyjątki: w naszej pracy z naukowcami zajmującymi się naukami przyrody z NASA nie można było uniknąć złożonego systemu oceny. Istniało wiele różnych czynników, takich jak czas załogi na Międzynarodowej Stacji Kosmicznej, wskaźniki wykorzystania budżetu oraz zakres istniejącej bazy wiedzy naukowej, którą uczestnicy musieli wziąć pod uwagę). Wszystkie te podejścia do podejmowania decyzji są przydatne w określonych okolicznościach. Wybierając jedną z nich, upewniasz się, że decyzje są podejmowane w uczciwy i przejrzysty sposób – to znaczy, że nie ma żadnych „umów zaplecza”. Kiedy grupa uważa, że ​​proces jest sprawiedliwy, zaufanie rośnie. Gdy to nastąpi, wyniki grupy ulegną poprawie. Przypomnij sobie czasy, kiedy Twój entuzjazm dla projektu był słaby i możesz odkryć, że główną przyczyną był brak zaufania do uczciwości procesu. Ludzie mogą początkowo nie poprzeć wybranego pomysłu, ale jeśli proces jest uczciwy, można je zdobyć. Ta zasada uczciwości w wyborze między opcjami jest kluczem do szybkości i powodzenia wdrożenia. Podczas pracy z grupą ludzi, zwłaszcza gdy nie podlegają sobie nawzajem, ale chcą wspólnie wykonać trudne zadanie, budowanie otwartego i uczciwego procesu wymaga czasu i starannego rozważenia opinii każdej osoby. W dłuższej perspektywie praca przygotowawcza zapewnia entuzjazm i chęć sukcesu członków zespołu realizującego ustalone zadanie. W organizacjach hierarchicznych, w których decyzje są podejmowane powyżej, a następnie wdrażane poniżej, osobiste zaangażowanie w wykonanie jest mniejsze. „Back room” podjął decyzję, więc twoja własność jest niska (a poziom plotek biurowych może być wysoki!). Najgorsza sytuacja ma miejsce, gdy zespół stara się podjąć przemyślaną decyzję, a jego zalecenia są pozornie ignorowane. Aby prawdziwie współpracować, jak widzieliśmy w rozdziale 1, zaufanie musi być wysokie. Budowanie zaufania wymaga czasu, a ostrożność na początku się opłaca. Wraz ze wzrostem poziomu zaufania rośnie prędkość. Oto paradoks: jeśli chcesz, aby Twoja organizacja była szybka i zwinna, najpierw działaj powoli. Jest to jeszcze ważniejsze w przypadku złożonych wyzwań, w których występuje wysoki poziom niejasności. Sposób wyboru opcji ma ogromny wpływ na poziom zaufania.

Lean Customer Development : Co frustruje (lub motywuje) Twojego klienta?

Ludzie nie są ściśle racjonalni. Nasze decyzje nie opierają się wyłącznie na logicznych, ekonomicznych kryteriach. Wybieramy droższe opcje, ponieważ wyglądają fajniej; odrzucamy potencjalne rozwiązania, ponieważ coś w nich sprawia, że ​​czujemy się niekomfortowo. Gdy potencjalni klienci opisują, co robią dzisiaj, uważnie słuchaj wskazówek, co ich frustruje i co ich motywuje. Czemu? Bez względu na to, jak skuteczny jest Twój produkt lub usługa, nadal wymaga wysiłku i inwestycji ze strony klienta. Aby utrzymać ten wysiłek i inwestycje, Twój klient potrzebuje pozytywnych opinii. To, co motywuje jednego klienta, może wyłączyć innego. Musisz odkryć, co zachęca klienta, a także jakie rodzaje frustracji uważa za zerwanie umowy. Jednym z największych czynników demotywujących, na jakie natknąłem się w wielu kontekstach, jest niepewność. Brak pewności, jak będzie działać usługa lub jak najlepiej współdziałać z produktem, stwarza tak wysoki poziom dyskomfortu, że klienci mogą zrezygnować. Warto zbadać tę konkretną kwestię, ponieważ stwarza ona dla nas duże rozłączenie. Jako ludzie, którzy wyobrażają sobie i tworzą nowe produkty, zwykle czujemy się wyjątkowo swobodnie z niepewnością. Nasi klienci nie są. “Jak to działa? Jak mam tego używać? Co się stanie, jeśli…? ” to pierwsze pytania, które ludzie zadają za każdym razem, gdy przedstawiam im nową funkcję. Będziesz także chciał dowiedzieć się, co sprawia, że ​​Twój klient odnosi sukcesy. Czy motywuje go opanowanie zadania, widoczne postępy, czy też wykonanie zadania lepiej niż jego rówieśnicy? Oferowane przez Ciebie zachęty powinny być zgodne z tym, co cenią Twoi klienci. Dla konkurencyjnych klientów zdobycie miejsca na szczycie tabeli liderów jest motywujące. To niewiele lub nic dla klientów, którzy cenią sobie słowa „dziękuję” od kogoś, komu pomogli.

Ile Google wie o Tobie : Inne wektory wyszukiwania

Portal internetowy nie jest jedynym sposobem przeszukiwania indeksu Google. W rzeczywistości Google zapewnia wiele sposobów dostępu do indeksu wyszukiwania, a także wykorzystuje swoją technologię wyszukiwania na komputerach osobistych i dużych sieciach. Każda z tych usług rozszerza zasięg Google i budzi ważne obawy dotyczące ujawnienia informacji.

Zaufanie w Cyberspace : Ocena zaufania

Komponent TMS do oceny zaufania wykorzystuje zmierzone wartości TMP wybranych i zebranych w poprzednim komponencie i za pomocą modelu matematycznego oblicza ostateczną wartość, którą nazywamy zaufaniem. Techniki oceny zaufania można sklasyfikować na podstawie matematycznego modelowania zaufania.

Modelowanie oparte na ratingach

W modelowaniu opartym na ratingach klienci oceniają usługi świadczone przez dostawcę usług w skali od 1 do n, zwykle n wynosi 5 lub 10. Ogólne zaufanie do usługi oblicza się, biorąc średnią wszystkich ocen klientów. Amazon i eBay używają takiego systemu oceny dla świadczonych przez siebie usług i produktów. To modelowanie jest bardzo proste, ale ma duże pole do popisu dla błędów i ataków. Jednym z takich modeli jest niedawno zaproponowany SMI dla CloudCommons z Cloud Service Measurement Initiative Consortium (CSMIC). Na rynku CloudCommons konsumenci mogą kupować usługi w chmurze dostarczane przez wiele dostawców CSP. SMI definiuje zestaw istotnych dla biznesu kluczowych wskaźników wydajności (KPI), którymi, jak wspomniano wcześniej, są odpowiedzialność, elastyczność, pewność, finanse, wydajność, bezpieczeństwo i prywatność oraz użyteczność. Użytkownicy przypisują wagę do tych wskaźników KPI i oceniają usługę na podstawie wskaźników KPI przypisanych do wagi. Oceny te są następnie przesyłane do CloudCommons, który gromadzi wszystkie takie dane w celu rozróżnienia usług o podobnym rozkładzie wagi. Ponadto CloudCommons zapewnia również ocenę na podstawie gwiazdek, podobnie jak Amazon, która może działać jako początkowy filtr, gdy patrzysz dla niektórych usług.

Modelowanie bayesowskie

Bayesowskie modelowanie zaufania koduje probabilistyczne relacje między TMP [36] i jest oparte na zasadzie Bayesa, która stanowi, że:

P (h | e) = P (e | h). P (h) / P (e), gdzie:

P (h | e) jest prawdopodobieństwem hipotezy na podstawie dowodów

P (e | h) jest prawdopodobieństwem dowodów na podstawie hipotezy

P (h) jest wcześniejszym prawdopodobieństwem hipotezy

P (e) jest wcześniejszym prawdopodobieństwem dowodów

Zależność zaufania od różnych TMP jest modelowana na wykresie relacji, który jest skierowanym grafem acyklicznym (DAG). PZT mogą wtedy zależeć od siebie nawzajem lub od innych czynników. Wynikiem sieci bayesowskiej jest stopień zaufania, jakim można obdarzyć usługodawcę, biorąc pod uwagę wcześniejsze i późniejsze prawdopodobieństwa. Hien Trang Nguyen i in. [38] zauważają, że sieci bayesowskie są idealne w architekturze zorientowanej na usługi / w chmurze, ponieważ można je wykorzystać do obliczenia prawdopodobieństwa hipotezy w różnych warunkach, na przykład z różnymi TMP. Model zaufania oparty na sieci bayesowskiej zaproponowali Wang i Vassileva [37]. Chociaż model został zaproponowany do zaufania w modelu peer-to-peer opartym na agentach użytkownika, można go łatwo rozszerzyć na SOA, a tym samym na przetwarzanie w chmurze. Zaufanie jest oceniane na podstawie niektórych wcześniej wybranych TMP, takich jak jakość pliku i prędkość pobierania. Każdy agent tworzy naiwną sieć bayesowską dla każdego dostawcy usług, z którym miał do czynienia. Rdzeniem sieci bayesowskiej jest węzeł T, który ma dwie wartości zadowalające lub niezadowalające, które reprezentują odzwierciedlenie poprzedniej transakcji przez agenta. Agent utrzymuje warunkową tabelę prawdopodobieństwa dla każdego węzła-liścia sieci (TMP). Po każdej transakcji agent oblicza prawdopodobieństwo warunkowe P (T = spełnione | TMP są spełnione). Wielokontekstowe, spersonalizowane zaufanie, które obejmuje więcej niż tylko binarną ocenę transakcji, zostało dopuszczone w pracy Hien Trang Nguyen [38], która rozszerzyła tę pracę. W przeciwieństwie do Ref. [37], w sygn. [38] poziom odsetek zdefiniowany przez użytkownika jest używany dla każdego TMP w celu obliczenia T. Zapewnia to, że zaufanie można obliczyć w oparciu o potrzeby specyficzne dla kontekstu i aplikacji.

Ciemna Strona Neta : Deszczowe dni przetwarzania w chmurze

Niektórzy obserwatorzy dostrzegają w Internecie wiele korzyści zwiększających bezpieczeństwo. Na przykład dysydenci i organizacje pozarządowe mogą teraz wykorzystywać wielofunkcyjne środowiska pracy online do wykonywania całej swojej pracy zdalnie – „w chmurze” – bez konieczności instalowania jakiegokolwiek oprogramowania, a nawet przechowywania jakichkolwiek danych na słabo chronionych komputerach. Wszystko, czego potrzebujesz, to bezpieczna przeglądarka i połączenie z Internetem; nie musisz pobierać żadnych plików ani nosić przenośnej kopii swojego ulubionego edytora tekstu na pendrive’ie USB. „Aktywizm w chmurze” może rzeczywiście wydawać się czymś w rodzaju daru niebios, idealnym rozwiązaniem problemów związanych z bezpieczeństwem danych, z którymi boryka się wiele organizacji pozarządowych i aktywistów. Weźmy przykład Memorial, odważnej rosyjskiej organizacji pozarządowej, która zyskała uznanie na całym świecie za swoje niezachwiane zaangażowanie w dokumentowanie naruszeń praw człowieka i zbrodni popełnionych w tym kraju, od rządów Stalina po niedawne wojny w Czeczenii. 4 listopada 2008 r., Zaledwie dzień przed narastającą konferencją na temat roli Stalina we współczesnej Rosji współorganizowanej przez Memoriał, rosyjska policja dokonała nalotu na jego biura w Petersburgu i skonfiskowała dwanaście dysków twardych zawierających całe cyfrowe archiwa okrucieństw Stalina, w tym godzin nagrań i nagrań wideo dotyczących masowych grobów.

To była katastrofa instytucjonalna. Memoriał nie tylko stracił (choćby tymczasowo) posiadanie dwudziestu lat ważnej pracy, ale także władze rosyjskie otrzymały potencjalnie potępiające dowody przeciwko organizacji. Biorąc pod uwagę, że pamięć historyczna – zwłaszcza o okresie stalinowskim – jest delikatną kwestią w Rosji, znalezienie błędu w Memoriale, który okazał się być zagorzałym krytykiem Kremla, nie byłoby takie trudne. Rosyjska policja słynie z szukania winy u najbardziej nieszkodliwych dokumentów lub, co gorsza, oprogramowania i systemów operacyjnych. (Sporo rosyjskich organizacji pozarządowych używa nielegalnego oprogramowania w swoich biurach, często nawet nie zdając sobie z tego sprawy, aż jest za późno; niejednokrotnie wojna z pirackim oprogramowaniem, z którą Zachód oczekuje, że Moskwa będzie walczyć z całą energią, była dobry pretekst do wywierania większej presji na organizacje pozarządowe, które wyrażają sprzeciw). Na szczęście sądy doszły do ​​wniosku, że przeszukanie zostało przeprowadzone z naruszeniem prawa i dyski twarde Memoriału zwrócono w maju 2009 r. Niemniej jednak fakt, że władze po prostu wkroczyły a skonfiskowane dwadzieścia lat pracy spowodowały wiele pytań o to, jak aktywiści mogą zwiększyć bezpieczeństwo danych cyfrowych. Fani „aktywizmu w chmurze” zwróciliby uwagę, że jednym ze sposobów uniknięcia katastrof, takich jak Memorial, jest przeniesienie wszystkich danych do chmury, z dala od lokalnych dysków twardych i do Internetu, co uniemożliwi władzom konfiskatę czegokolwiek. Aby uzyskać dostęp do takich dokumentów, władze potrzebowałyby hasła, którego w większości krajów nie byłyby w stanie uzyskać bez orzeczenia sądowego. (Oczywiście to nie zadziałałoby w krajach, które absolutnie nie przestrzegają praworządności; hasła można nauczyć się torturując administratora systemu bez konieczności przechodzenia przez sąd). Możliwość korzystania z usług edytora tekstu online, takich jak Google Dokumenty i zrzucanie wszystkich ważnych danych do Internetu może rzeczywiście wydawać się lepszym rozwiązaniem niż przechowywanie danych na łatwo uszkodzonych, niezabezpieczonych dyskach twardych, które leżą w zakurzonych biurach organizacji pozarządowych. W końcu dane mogłyby być przechowywane na zdalnym serwerze gdzieś w Kalifornii lub Iowa, całkowicie poza bezpośrednim zasięgiem autorytarnych rządów, choćby dlatego, że zapewnia to, że te ostatnie nie mogą legalnie i fizycznie dostać się do przechowujących je usług (lub nie natychmiast, w każdym razie). Chociaż jest wiele rzeczy do podziwiania w tym nowym modelu opartym na chmurze, wiąże się on również z ogromnymi kosztami, które czasami mogą przewyższać korzyści. Jedną z głównych wad tworzenia i uzyskiwania dostępu do dokumentów w chmurze jest to, że wymaga ciągłego przesyłania danych między komputerem a serwerem, na którym przechowywane są informacje. Ta transmisja jest często wykonywana „na otwartej przestrzeni” (bez odpowiedniego szyfrowania), co stwarza liczne zagrożenia bezpieczeństwa. Do niedawna wiele ofert online Google – w tym tak popularne usługi, jak Dokumenty Google i Kalendarz Google – nie oferowało szyfrowania jako opcji domyślnej. Oznaczało to, że użytkownicy łączący się z Dokumentami Google przez, powiedzmy, niezabezpieczone sieci Wi-Fi bawili się ogniem: praktycznie każdy mógł zobaczyć, co wysyłają na serwery Google. Na szczęście firma zmieniła swoją politykę szyfrowania po tym, jak kilku znanych ekspertów ds. Bezpieczeństwa napisało list do jej dyrektora generalnego, w którym zwrócili uwagę na niepotrzebne i łatwe do uniknięcia zagrożenia dla użytkowników Google. Ale Google nie jest jedynym graczem w tej dziedzinie – a tam, gdzie Google ma zasoby do wydania na dodatkowe szyfrowanie, inni mogą nie. Ustawienie szyfrowania jako domyślnego może spowolnić działanie usługi dla innych użytkowników i nałożyć nowe koszty na działalność firmy. Takie ulepszenia nie są jednak całkowicie wykluczone.

Miejmy nadzieję, że prawodawcy po obu stronach Atlantyku mogą wysunąć mocny argument, że zmuszanie firm internetowych do zwiększania bezpieczeństwa ich usług ma sens z punktu widzenia regulacji dotyczących ochrony konsumentów. Zamiast dawać takim firmom darmową przepustkę, ponieważ są teraz kluczowymi graczami w walce o wolność Internetu, zachodnie rządy powinny nadal poszukiwać sposobów, w jakie ich usługi mogłyby być wyjątkowo bezpieczne, za wszystko mniej niż to by się stało, na dłuższą metę zagrażają zbyt wielu ludziom. Ale jest też wiele innych niepewności. Fakt, że wielu działaczy i organizacji pozarządowych prowadzi teraz całą swoją działalność biznesową z jednego Internetu , najczęściej Google – z kalendarzem, pocztą e-mail, dokumentami i budżetami łatwo dostępnymi z jednego konta – oznacza, że ​​w przypadku wykradzenia hasła stracą kontrolę nad wszystkimi swoimi działaniami online. Wykonywanie tych wszystkich operacji na własnych laptopach nie było dużo bezpieczniejsze, ale przynajmniej laptopa można było zamknąć w sejfie. Centralizacja informacji pod jednym dachem – jak to często bywa w przypadku Google – może zdziałać cuda z punktu widzenia produktywności, ale z punktu widzenia bezpieczeństwa często tylko zwiększa ryzyko.

Audyt Umysłu Hackera : Właściwość docelowa

Właściwość docelowa jest podzielona na trzy dość szerokie kategorie, które reprezentują cel tak, jak widzi go cyberprzestępca. Pierwsza z trzech kategorii to obiekt środowiska fizycznego, obejmująca takie aspekty celu, jak jego fizyczne położenie, jego właściciel i ewentualni obrońcy które istnieją w fizycznym środowisku celu. Drugi to obiekt środowiska elektronicznego, na który składa się wszystko, od sprzętu komputerowego przypisanego do celu, po obiekt docelowy, systemy operacyjne, sieciowe systemy operacyjne i wszelkie inne technologie powiązane z celem. Wreszcie obiekt wartości składa się z elementów celu, które można uznać za wartościowe dla cyberprzestępcy; mogą one obejmować własność intelektualną, przepustowość łącza internetowego i wszelkie inne zwroty, które mogą dodać do dowolnego elementu znajdującego się w obiekcie zasobów atakującego (np. finanse lub początkowy dostęp do przyszłych celów).

Kto dzisiaj dba o Twoje systemy?

Coś, co prawie wszyscy administratorzy systemów są winni na pewnym etapie swojej kariery, to integracja artefaktów bezpieczeństwa (takich jak zapory ogniowe, urządzenia do wykrywania włamań i serwery proxy aplikacji) bez żadnego rzeczywistego przemyślenia na temat konkretnych zagrożeń, które ograniczają, integrując odpowiednią technologię – i rzeczywiście, biorąc pod uwagę, czy w wyniku integracji technologii pojawiły się nowe zagrożenia. Jak dowiesz się z tego rozdziału, poprzez staranne rozważenie, kto dokładnie dba o twoje systemy, a zatem kim jest, o co powinieneś się troszczyć, zaczynamy tworzyć sposób ustalenia nie tylko sposobu łagodzenia zagrożeń, ale niezachwianą metodologię, która pozwoli ci wyjaśnić, dlaczego określony sposób łagodzenia zagrożeń jest właściwy.

Tabele preferencji ataku

Zbadaliśmy niektóre zmienne, które mogą wpływać na sposób, w jaki cyberprzestępca odnosi się do danego profilu ataku. Jak odkryliśmy, jednymi z najbardziej znaczących zmiennych były te związane z ryzykiem ataku – inhibitory ataku. Ponadto wspomnieliśmy o sposobach, w jakie przeciwnik może zrównoważyć czynniki hamujące atak, takie jak prawdopodobieństwo wykrycia danej próby i prawdopodobieństwo przypisania danej próby wykrycia poprzez zużycie dodatkowych zasobów z obiektu zasobu (w ramach własności atakującego). Prawie każdy przeciwnik, odnosząc się do celu, rozważy szereg opcji, z których musi wybrać, które mogą dotyczyć wszystkiego, od poszczególnych systemów, które mają być celem ataku (w przypadkach, gdy celem ataku jest sieć informacji lub komputer, systemy) do sposobu, w jaki atak jest przeprowadzany na hosta docelowego. Dzięki naszej zdolności do uznania istnienia wyborów przeciwnika podczas rozważania ataku na cel, możemy zacząć rozważać powody, dla których przeciwnik wybiera jedną z opcji co więcej, powody, dla których przeciwnik preferuje jedną opcję ataku od innej. Jak podsumowaliśmy w poprzednim rozdziale, wiele czynników, które przyczyniają się do prawdopodobieństwa faktycznego przejścia przez przeciwnika ataku, przypisuje się obiektowi hamującemu przeciwnika (składnikowi własności atakującego). Dlatego też należy podjąć próbę pełnego zrozumienia opcje ataku przeciwnika i powody, dla których dany przeciwnik wybiera jedną opcję zamiast drugiej, logiczne jest założenie, że najpierw musimy zrozumieć, które zmienne ataku przyczyniają się do preferencji przeciwnika w stosunku do inhibitorów dołączonych do ataku (wartości obiektu inhibitora przeciwnika). Ta wiedza prowadzi do zrozumienia, które zmienne ataku ostatecznie wpływają na wybór opcji ataku przez przeciwnika. Niestety, zanim przejdziemy dalej, musimy omówić ostatnią część teorii: co decyduje o tym, w jaki sposób właściwości celu ataku wpływają na wartości elementów obiektu inhibitora, lub mówiąc językiem laików, na sposoby ataku cel wpływa na nastawienie przeciwnika do ryzyka.

Wpływ właściwości celu na czynniki atakujące i inhibitory

Przyjrzyjmy się każdemu z obiektów składowych właściwości docelowej, badając, w jaki sposób każdy z nich jest w stanie negatywnie lub pozytywnie wpłynąć na preferencje cyberprzestępcy dotyczące ryzyka i ostatecznie, jak każdy z nich może wpłynąć na preferencje dotyczące ataku przeciwnika.

Wpływy na własność środowiska docelowego

Właściwość target ma prawie taki sam wpływ na zachowanie atakującego (a tym samym właściwość atakującego), jak środowisko atakującego. Na kolejnych stronach omówiono niektóre sposoby, w jakie właściwość docelowa i jej wartości mogą wpływać na zachowania cyberprzestępcy.

Położenie geograficzne i fizyczne

Zmienna położenia geograficznego nieruchomości docelowej może mieć równie duże znaczenie, jak fizyczne położenie przeciwnika.

Właściwość docelowa: Lokalizacja Wpływ obiektu na postrzegane konsekwencje atrybucji

Położenie geograficzne celu często ma znaczący wpływ na postrzeganie przez cyberprzestępców tego, co się z nimi stanie, jeśli nastąpi przypisanie (identyfikacja). Powody, dla których położenie geograficzne ma wpływ, podsumowano w poniższej liście:

* Fizyczna separacja Pierwszą przyczyną tego zjawiska jest przekonanie wielu przeciwników, że im większa fizyczna separacja między nimi a celem, tym mniejsze konsekwencje atrybucji w momencie wykrycia ich ataków. W przeszłości takie przekonanie wielu dużych grup cyberprzestępców skutkowało wzrostem liczby cyberataków na kraje takie jak Korea i Chiny, co skutkowało zwiększeniem odległości geograficznej między celem a przeciwnikiem. Przekonanie, że odległość jest znaczna, często skutkuje zmniejszeniem postrzeganych konsekwencji atrybucji danej detekcji, czyniąc atak bardziej atrakcyjnym! Oczywiście często zdarza się również dokładnie odwrotnie, ponieważ wielu przeciwników będzie bardzo niechętnych angażowaniu się w ataki na cele znajdujące się w ich bliskości geograficznej – atak w takich przypadkach jest znacznie mniej atrakcyjny, biorąc pod uwagę zwiększone postrzegane konsekwencje atrybucji po wykryciu .

* „To twoje prawo, a nie moje” Innym powodem, dla którego położenie geograficzne wpływa na stosunek cyberprzestępców do konsekwencji przypisywania / identyfikacji jest brak wiedzy, jaką posiadają (lub nie mają) cyberprzestępcy na temat praw, które regulują sposób cyberataki są obsługiwane zarówno w ich kraju zamieszkania, jak iw innych państwach. to nieporozumienie często prowadzi do przekonania, że ​​ponieważ przeciwnik nie jest mieszkańcem kraju, w którym atak ma miejsce, nie ponosi on w żaden sposób odpowiedzialności za jakiekolwiek reperkusje ataku. Przekonanie to często prowadzi do błędnego postrzegania konsekwencji atrybucji, jak miało to miejsce w przypadku aresztowania w Londynie kazachskiego przeciwnika Olega Zezowa za ataki na cele zlokalizowane w Stanach Zjednoczonych. Krótko po aresztowaniu Zezov został poddany ekstradycji do Stanów Zjednoczonych w celu przesłuchania i śledzenia.

Obiekt docelowy: Lokalizacja Wpływy obiektu na kierowców i motywatorów

Podobnie jak w przypadku inhibitorów ataku, na kierowców ataku (lub czynniki motywujące) często wpływa położenie geograficzne celu ataku. W rzeczywistości, jak zobaczymy, samo położenie celu może stanowić wystarczający powód, aby niektórzy przeciwnicy zaatakowali go. Jak widzieliśmy w przypadku tak zwanej chińsko-amerykańskiej „cyberwojny”, lokalizacje wielu celów były jedyną przyczyną ataków na nie zainicjowanych. Chociaż podczas konfliktu przeciwnicy zdawali się preferować systemy należące do rządu obcego państwa, zaatakowano setki systemów pozarządowych na podstawie tego, że ich fizyczną lokalizacją były Chiny lub Stany Zjednoczone.

Agile Leadership : SZUKAJ „DUŻEGO ŁATWEGO” (UMIEJĘTNOŚCI 5)

Nasze dni są pełne wyborów. Decyzje – między innymi co, gdzie, kiedy zjeść – stoją przed nami każdego dnia. W co się ubrać, gdzie się udać, jaki jest następny zakup, jaki kolor pomalować pokój, jaki kwiat zasadzić to tylko niektóre z wielu naszych wyborów, które wydają się proste do wykonania. Niektóre wybory są bardziej złożone: do jakiej szkoły powinno uczęszczać moje dziecko, czy powinienem podjąć pracę w innym stanie, jak zainwestować, aby uzyskać najlepszy zwrot, czy powinienem ubiegać się o urząd polityczny? To wszystko pytania, które możemy napotkać. Indywidualne wybory zależą od każdego z nas. Decydujemy, co jest dla nas najlepsze. Możemy poprosić o wkład, ale ostatecznie wybór należy do nas. Ale zwłaszcza gdy jesteśmy częścią grupy i musimy dokonać wyboru, szukamy sposobów, które będą sprawiedliwe dla wszystkich zaangażowanych i umożliwią osiągnięcie celów, które wyznaczyła sobie grupa. Wcześniej dowiedziałeś się o łączeniu zasobów w możliwości. Aktywa można łączyć, aby stworzyć nieograniczony zestaw możliwości do wszystkich praktycznych celów. To dobra wiadomość, ale nie możemy zrobić wszystkiego naraz. Aby opracować i wdrożyć skuteczną strategię, musimy przynajmniej jeden z naszych pomysłów przenieść do działania. Powód jest prosty: nasze zasoby są ograniczone. Często zespoły mogą utknąć w tym momencie, zastanawiając się nad wyborami i tym, co powinno być pierwsze. Piąta umiejętność, której potrzebuje zwinny lider, polega na skutecznym przeszukiwaniu wielu opcji w celu zidentyfikowania tej, która ma największe szanse powodzenia.

Lean Customer Development : Reguły kulturowe lub społeczne, które ograniczają zachowania

W Yammerze często spotykamy użytkowników z zestawem wewnętrznych reguł dotyczących sposobu, w jaki korzystają z naszego produktu: „Cały czas czytam, ale odpowiadam tylko na pytanie, które zadaje mi jeden z moich rówieśników. Nie czuję się komfortowo odpowiadając menedżerom ”. Nie ma ograniczeń w oprogramowaniu. Jest nawet mało prawdopodobne, aby ich konkretna firma sformułowała wytyczne dotyczące tego, kto z kim rozmawia. To nie ma znaczenia. Hierarchiczna kultura pracy może wpływać na zachowanie, nawet jeśli zasady są całkowicie niewypowiedziane. Czy klientka ma poczucie, że zostanie oceniona negatywnie, jeśli spróbuje Twojego rozwiązania, ale się nie powiedzie? Jeśli tak, to jak możesz zmniejszyć jej poczucie ryzyka przy podejmowaniu decyzji? Czy klient czuje, że potrzebuje pozwolenia przed zmianą zachowania? Jeśli tak, skup się na innych interesariuszach, których uważa za udzielających tego pozwolenia. Inną przeszkodą kulturową jest to, że produkt może kolidować ze sposobem, w jaki klient chce siebie zobaczyć. Kilka lat temu pracowałem z zespołem startupowym, który chciał rozwiązać problem utraty drogich przedmiotów. Zapytali ludzi w swoich sieciach osobistych, czy znają kogoś, kto zawsze coś gubi, i szybko znaleźli dziesiątki profesjonalistów, którzy rutynowo gubili iPhone’y, laptopy, sprzęt narciarski i inne drogie przedmioty. Respondenci przyznali, że co tydzień tracili godziny i wydawali setki, a nawet tysiące dolarów na wymianę zgubionych przedmiotów. Ale kiedy zespół zaczął badać, ile ci potencjalni klienci byliby skłonni wydać na rozwiązanie, napotkali opór. Jeden z klientów w końcu przyznał: „Właśnie przyzwyczaiłem się do budżetowania dodatkowych pieniędzy, aby zastąpić to, co nieuchronnie stracę. Nie przeszkadza mi to.” Nawet jeśli obiektywnie wiesz, że zgubiłeś laptopa w zeszłym miesiącu, a klucze dwa razy w tym tygodniu, możesz nie myśleć o sobie jako o nieostrożnej osobie. Kupowanie produktu, który uchroni Cię przed utratą, jest podobne do przyznania się, że tak jest. To świetny przykład tego, jak diagram wczesnej ewangelii Steve’a Blanka  powinien zapewniać uczciwość. Ci klienci mogli wydawać się idealni, ale nie szukali aktywnie rozwiązania. Czas się obrócić i poszukać innej grupy docelowej. Również ograniczenia społeczne i kulturowe nie zawsze są oczywiste dla Twojego klienta. Czasami klienci są w pełni świadomi, że nie chcą lub nie chcieliby korzystać z Twojego produktu. Często tak nie jest. Spróbuj poprosić klienta, aby wyobraził sobie, jak rozwiązuje problem i zwróć uwagę na język ciała lub zmiany w tonie głosu. Czy wydaje się, że perspektywa rozwiązania problemu odczuwa ulgę lub podekscytowanie? A może wydaje się niezdecydowana lub skonfliktowana?

Ile Google wie o Tobie : Zaawansowane operatory wyszukiwania i hakowanie Google

To nie jest tekst o hakowaniu Google, używaniu zaawansowanych zapytań Google do lokalizowania luk w zabezpieczeniach ani przewodnikiem dla zaawansowanych użytkowników po googlowaniu; jednak użycie takich zapytań wiele mówi o wyrafinowaniu użytkowników i ich zamiarach. Zaawansowane techniki googlowania obejmują:

allintitle – wyszukaj słowa kluczowe zawarte w tytułach stron internetowych

allinurl – wyszukaj słowa kluczowe zawarte w zindeksowanych adresach URL

pamięć podręczna – wyświetl kopię strony internetowej z pamięci podręcznej

filetype – Ogranicz wyszukiwanie do żądanego formatu pliku

intitle – wyszukaj słowo kluczowe zawarte w tytułach stron internetowych

inurl – wyszukaj słowo kluczowe zawarte w zindeksowanych adresach URL

link – wyświetla strony zawierające linki do określonej domeny

n..m – wyszukaj wartości liczbowe w podanym zakresie

related – pokaż strony internetowe podobne do podanego adresu URL

site – ogranicz wyszukiwanie do określonej domeny

-keyword – wyklucz strony zawierające słowo kluczowe

”” – słowa kluczowe należy traktować jako pojedynczą jednostkę (umieszczając wyszukiwanie w cudzysłowie)

Hakerzy Google stosują te techniki do szybkiego identyfikowania luk w aplikacjach internetowych i lokalizowania poufnych dokumentów, które Googlebot zbiera i udostępnia wyszukiwarka Google. [34] Hacking Google okazał się niezwykle skuteczny. Należy zauważyć, że użytkownicy sieci są ograniczeni przez ograniczenia publicznie dostępnych poleceń wyszukiwania Google. Wewnętrzni użytkownicy Google z dostępem do pełnej bazy danych mieliby znacznie większy dostęp i elastyczność dzięki zastosowaniu niezwykle wydajnych zapytań SQL i wyrażeń regularnych. Publicznie dostępna twarz Google zapewnia użytkownikom końcowym tylko niewielki ułamek jego możliwości w porównaniu z wewnętrznymi możliwościami Google.

Uwaga: stosowanie technik z bazy danych Google Hacking lub innych technik hakowania witryn internetowych umożliwia Google natychmiastową identyfikację hakerów Google. To, czy Google nie jest zainteresowane śledzeniem tej aktywności, jest przedmiotem debaty.

Powszechnym błędem jest przekonanie, że użycie linku pamięci podręcznej Google w wynikach wyszukiwania w internecie pozostawia ślady tylko na serwerach Google. Zwykle tak nie jest. Wyświetlenie dokumentu z pamięci podręcznej Google powoduje, że przeglądarka użytkownika pobiera obrazy i inne obiekty danych, takie jak zewnętrzne pliki JavaScript, z oryginalnego serwera. [36] Jednak naukowcy, tacy jak Anna Shubina z Dartmouth i Sean Smith, badają, jak korzystać z pamięci podręcznej, aby wspierać anonimowość przeglądania.

Zaufanie w Cyberspace : Pomiar TMP

Omówimy teraz niektóre z istniejących sposobów pomiaru opisanych powyżej TMP oraz omówimy ich zalety i wady. W niektórych przypadkach co najmniej jedna metryka może zostać zebrana z umów SLA, oficjalnych dokumentów i innych opublikowanych artefaktów dostawcy usług w chmurze. Na przykład, EC2 firmy Amazon w umowie SLA zapewnia dostępność na poziomie 99,95%; co w przeliczeniu na godziny daje około 4 godziny 23 minuty przestoju w ciągu roku, poza planową konserwacją. Jednak umowa SLA nie gwarantuje, że sprawy nie pójdą źle w czasie wykonywania. Na przykład w marcu 2011 roku EC2 doznał awarii i według Amazona trwała ona prawie 11 godzin. W związku z tym uwzględniono ten pojedynczy przestój , znacznie więcej niż przestój, jaki Amazon gwarantuje w ciągu roku. Według raportu firmy Sage Research, średnio roczne nieplanowane przestoje stanowią około 44% wszystkich przestojów. Takie nieplanowane przestoje mogą przełożyć się na ogromne straty pieniężne dla klientów. Według tego samego raportu średni koszt przestoju sieci wynosi 2169 USD za minutę. Ponadto definicje metryk są oparte na celach biznesowych, a cele biznesowe klienta chmury i dostawcy usług kryptograficznych są oczywiście różne. Chociaż opublikowane artefakty dostarczają nam punktu odniesienia, klient nie może na nich polegać w całości i wymagany jest dokładniejszy i bardziej znaczący pomiar metryk. Istnieje również szereg witryn internetowych i narzędzi, takich jak CloudSleuth , CloudHarmony , CloudStone i Cloud CMP , które mierzą te metryki. CloudHarmony , CloudStone  i Cloud CMP  to narzędzia składające się z zestawu testów porównawczych, które mierzą wydajność chmur poprzez wdrażanie aplikacji testowych w chmurze. Narzędzia te mają jednak dwie wady. Po pierwsze, nie uwzględniają innych form pomiarów, takich jak umowy SLA i opinie użytkowników, a zatem są jednowymiarowe; po drugie, narzędzia te nie zapewniają ciągłego monitorowania. CloudSleuth jest bardziej rozproszonym narzędziem niż reszta. Składa się z 30 węzłów szkieletowych na całym świecie, z których 18 znajduje się w Stanach Zjednoczonych, a 12 na zewnątrz. CloudSleuth uruchamia transakcję na każdym dostawcy CSP, który chce okresowo monitorować. Mierzy dwie metryki, czas odpowiedzi i dostępność. Każdy z węzłów szkieletowych uruchamia transakcję w chmurach w swoim regionie. Transakcja polega na pobraniu strony zawierającej 40 obrazów, co symuluje przeglądanie witryny sieci Web. Czas odpowiedzi jest obliczany jako średni czas pobierania obrazów. Dostępność mierzy się jako odsetek udanych transakcji w danym okresie. Można argumentować, że test czasu odpowiedzi CloudSleuth jest bardzo ogólny i może znacznie różnić się od wymagań i obciążenia poszczególnych klientów, ponieważ zapewnia zbiorczy widok, który nie jest tym, co jest pożądane, aby przeprowadzić holistyczną ocenę zaufania z punktu widzenia dostępności. Artykuły polegają na informacjach zwrotnych od konsumenta korzystającego z chmury na temat usług, które wykorzystał do obliczenia zaufania konsumenta do usługi. Do oceny eksperymentalnej wykorzystują dane zwrotne z epinionów. Ponownie, samo użycie informacji zwrotnej sprawia, że ​​ta metoda oceny chmury jest jednowymiarowa, ponieważ uwzględnia tylko punkt widzenia konsumenta. Punkt widzenia konsumenta jest najważniejszy przy ocenie chmury. Jednak nie powinno to być jedynym kryterium, ponieważ opinie konsumentów mogą zależeć od wielu czynników niezwiązanych z wydajnością chmury, a tym samym mogą być wadliwe. Ponadto, jak zaobserwowano w przypadku witryn i narzędzi porównawczych w chmurze, informacje zwrotne również nie zapewniają ciągłego monitorowania chmury. Aby przetestować trzy komponenty wydajności, możemy wybrać dowolne istniejące testy porównawcze, pamiętając, że ponieważ chcemy okresowo uruchamiać testy porównawcze w czasie wykonywania, chcemy, aby były krótkie i nienachalne. Musimy sprawdzić, czy można używać zestawów testów wydajności procesora, takich jak Geekbench i UnixBench [34]. Dbench [35] może być używany do testowania IO dysku, a Geekbench i UnixBench mogą być ponownie używane do pomiaru wydajności pamięci. Pomiary wydajności można następnie zagregować i uśrednić w stosunku do kosztu maszyny, aby uzyskać przepustowość. Bardziej subiektywny pomiar wydajności można również zebrać na podstawie opinii użytkowników. Aby uzyskać rzetelne porównanie, większość istniejących pomiarów jest wykonywana na maszynach z jedną maszyną wirtualną. Tak jednak nie jest w przypadku dnia do codziennego funkcjonowania chmury, w której maszyny fizyczne są wielodostępne, a maszyna wirtualna użytkownika musi konkurować o zasoby na maszynie, wpływając w ten sposób na ogólną wydajność. W związku z tym istniejące miary nie odzwierciedlają dokładnie wydajności chmury w czasie wykonywania. Podczas pomiaru wydajności należy również wziąć pod uwagę zewnętrzne wpływy spowodowane wieloma najemcami.