Zaufanie w Cyberspace : Wnioski

Paradygmat przetwarzania w chmurze zyskał na znaczeniu w ostatnich latach, a dzięki wielu dostępnym usługom i dostawcom chmury zaufanie do przetwarzania w chmurze stało się atrakcyjnym obszarem badań. Literatura jest jednak rozproszona i zawiera szereg definicji i rozwiązań problemu zaufania i zarządzania zaufaniem w chmurze obliczeniowej. Próbowaliśmy zebrać wszystkie te rozproszone badania pod wspólnym tytułem i staraliśmy się przedyskutować, w jaki sposób wszystkie z nich są ze sobą powiązane i różnią się w tym tekście. Zaczęliśmy od ogólnej definicji zaufania, a następnie podzieliliśmy tę definicję na cztery typy, które są najbardziej związane z przetwarzaniem w chmurze: zaufanie dostępu, zaufanie do świadczenia, zaufanie do tożsamości i zaufanie do infrastruktury, i przedstawiliśmy definicję każdego z tych różnych typów zaufania istotne dla przetwarzania w chmurze. Istnieje kilka artykułów wyjaśniających zaufanie do przetwarzania w chmurze, wszystkie z różnych perspektyw. Niektóre z tych dokumentów zaklasyfikowaliśmy do czterech powyższych typów zaufania. Klasyfikację tę można wykorzystać w przyszłych artykułach lub innych dokumentach dotyczących zaufania do przetwarzania w chmurze, których mogliśmy przegapić. Zapewni to wspólną cechę artykułów, które mówią o zaufaniu do przetwarzania w chmurze, ale każdy dotyka innego aspektu. Rozróżniliśmy również często mylone terminy zaufanie, zarządzanie zaufaniem i ocena zaufania. Podzieliliśmy TMS na cztery komponenty: wykrywanie usług, wybór i pomiar TMP, ocena zaufania i ewolucja zaufania. Zarządzanie zaufaniem rozpoczyna się od komponentu wykrywania usług. Wykrywanie usług jest najmniej zbadanym elementem zarządzania zaufaniem w przetwarzaniu w chmurze. Omówiliśmy, w jaki sposób odnajdowanie usług wpisuje się i wpłynie na zarządzanie zaufaniem w przyszłości, oraz przeanalizowaliśmy kilka wczesnych rozwiązań, które istnieją obecnie. Wykrywanie usług prowadzi do komponentu wyboru i pomiaru TMP, w którym system lub klient decyduje, które TMP są odpowiednie dla ich aplikacji i powinny być używane w obliczeniach zaufania. TMP dzielimy na trzy klasy: prywatność i bezpieczeństwo, wydajność i odpowiedzialność. Szczegółowo omówiliśmy każdy z PZT i zakończyliśmy tę sekcję dyskusją na temat pomiaru PZT z wykorzystaniem wybranych PZT. Po ustaleniu TMP i wprowadzeniu technik pomiaru TMP, wymagana jest formalna metoda obliczania zaufania z tych PZT. Odbywa się to w ocenie zaufania . Rozmawialiśmy o czterech głównych rodzajach technik stosowanych w obliczeniach zaufania: modelowanie oparte na ocenach, modelowanie bayesowskie, modelowanie przekonań i modelowanie rozmyte. Ponownie przejrzeliśmy artykuły, w których wykorzystano te techniki w ocenie zaufania w przetwarzaniu w chmurze i dyscyplinach pokrewnych. TMS jest niekompletny bez dyskusji na temat tego, jak system będzie się dynamicznie dostosowywał i uwzględni informacje zwrotne i zalecenia. Kończymy artykuł dyskusją na temat komponentu ewolucji zaufania, który robi to za nas. W części poświęconej ewolucji zaufania omówiliśmy artykuły, w których próbujemy odpowiedzieć na pytanie, w jaki sposób można wykorzystać informacje zwrotne i zalecenia z silnikiem oceny zaufania.

Ciemna Strona Neta : Szturcham Kierkegaarda

Jak na ironię, aby uzyskać bardziej krytyczny pogląd na znaczenie kopenhaskiego eksperymentu Coldinga-Jorgensena, musimy zwrócić się do innego Duńczyka: Sørena Kierkegaarda (1813–1855). Uważany za ojca egzystencjalizmu, żył w ciekawych czasach, nie całkiem odmiennych od naszych. W pierwszej połowie XIX wieku społeczne i polityczne konsekwencje zarówno rewolucji przemysłowej, jak i wieku oświecenia zaczęły objawiać się z pełną mocą. Europejska „sfera publiczna” rozszerzyła się w bezprecedensowym tempie; Gazety, magazyny i kawiarnie szybko stały się wpływowymi instytucjami kulturalnymi, które dały początek szerokiej i głośnej opinii publicznej. Ale podczas gdy większość współczesnych filozofów i komentatorów chwaliło to wielkie zrównanie jako znak demokratyzacji, Kierkegaard uważał, że może to skutkować upadkiem spójności społecznej, ucztą niekończącej się i bezinteresownej refleksji oraz triumfem nieskończonej, ale płytkiej intelektualnej ciekawości, która może uniemożliwić głębokie, znaczące i duchowe zaangażowanie w określony problem. „Ani jeden z tych, którzy należą do społeczeństwa, nie jest w coś zaangażowany” – z goryczą zauważył Kierkegaard w swoim dzienniku. Nagle ludzie zaczęli interesować się wszystkim i niczym w tym samym czasie; wszystkie tematy, bez względu na to, jak śmieszne czy wzniosłe, były wyrównane w taki sposób, że nic nie liczyło się na tyle, by chcieć umrzeć. Świat stawał się płaski, a Kierkegaard go nienawidził. Jeśli o niego chodzi, cała paplanina wytwarzana w kawiarniach doprowadziła jedynie do „zniesienia namiętnego rozróżnienia między milczeniem a mówieniem”. A cisza była dla Kierkegaarda ważna, ponieważ „tylko osoba, która jest zasadniczo zdolna do milczenia, jest w stanie mówić zasadniczo”. Dla Kierkegaarda problemem z narastającą paplaniną – uosabianą przez „absolutnie demoralizujące istnienie prasy codziennej” – było to, że wykraczała poza struktury polityczne i wywierała na nie bardzo niewielki wpływ. Prasa zmuszała ludzi do wyrabiania zdecydowanych opinii na temat wszystkiego, ale rzadko kultywowała chęć do działania; często ludzie byli tak przytłoczeni opiniami i informacjami, że bez końca odkładali wszelkie ważne decyzje. Brak zaangażowania, spowodowany mnogością możliwości i łatwą dostępnością szybkich duchowych i intelektualnych poprawek, był prawdziwym celem krytyki Kierkegaarda. Uważał, że tylko podejmując ryzykowne, głębokie i autentyczne – jedno z ulubionych terminów Kierkegaarda – zobowiązania, rozróżniając różne przyczyny, radząc sobie zarówno z triumfami, jak i rozczarowaniami takimi wyborami, oraz ucząc się na podstawie wynikających z nich doświadczeń i wypełnić ich życie sensem. „Jeśli jesteś zdolny do bycia człowiekiem, to niebezpieczeństwo i surowy osąd istnienia na podstawie swojej bezmyślności pomogą ci stać się jednym” – tak podsumował filozofię, która stała się znana jako egzystencjalizm. Nietrudno zgadnąć, co zrobiłby Kierkegaard z dzisiejszej kultury internetowej, zdominowanej przez całodobowy cykl merytoryczny i płynne zaangażowanie w pomysły i relacje. „To, co Kierkegaard przewidział jako konsekwencja nieodpowiedzialnego i niezobowiązującego doniesień prasowych, zostało w pełni zrealizowane w sieci WWW” – pisze Hubert Dreyfus, filozof z Uniwersytetu Kalifornijskiego w Berkeley. Świat, w którym wyznawanie własnego zaangażowania w sprawiedliwość społeczną nie wymaga niczego więcej niż przyznanie statusu na Facebooku świadomego społecznie, bardzo zraziłby Kierkegaarda. Jego konto na Twitterze z pewnością byłoby trudne do znalezienia. Można bezpiecznie założyć, że strony takie jak RentAFriend.com, na których można „wynająć znajomego na imprezę lub imprezę z Tobą, nauczyć Cię nowych umiejętności lub hobby, pomóc Ci poznać nowych ludzi, oprowadzić Cię po mieście”, wybierając jedną z opcji Ponad 100 000 zarejestrowanych członków nie przypadłoby Kierkegaardowi do gustu. Ukraińscy przedsiębiorcy internetowi dostosowali model RentAFriend do protestów licznych ruchów politycznych w ich kraju, tworząc witrynę internetową, która umożliwia każdemu organizującemu wiec „zakupy” dla zarejestrowanych użytkowników, głównie studentów, którzy za zaledwie 4 dolary za godzinę są chętni skandować polityczne hasła dowolnej ideologii. Przedsiębiorcy też nie byliby wśród znajomych Kierkegaarda na Facebooku. A jednak filozofia Duńczyka jest przydatna w uchwyceniu problemów etycznych i politycznych związanych z aktywizmem cyfrowym, zwłaszcza w kontekście państw autorytarnych. To jedno, jeśli istniejący i zaangażowani działacze, którzy na co dzień ryzykują życie w opozycji do reżimu, przyjmują Facebooka i Twittera i wykorzystują te platformy do realizacji swoich dotychczasowych celów. Mogą przeceniać ogólną skuteczność kampanii cyfrowych lub nie doceniają ryzyka, ale ich zaangażowanie jest „autentyczne”. Zupełnie inaczej jest, gdy osoby, które mogą tylko pobieżnie interesować się daną kwestią (lub w ogóle nie interesują się nią i wspierają konkretną sprawę tylko pod presją rówieśników) spotykają się i rozpoczynają kampanię na rzecz ratowania świata. To jest rodzaj płytkiego zaangażowania, którego Kierkegaard nienawidził i uważał za zepsuty ludzką duszę. Takie szlachetne moralizowanie może się dziś wydawać nie na miejscu, ale wtedy nikt jeszcze nie obalił autorytarnego rządu, przyjmując postawę klauna i żartując na temat gilotyny. Nawet jeśli warunki strukturalne sprzyjają demokratyzacji, ruch opozycyjny złożony z potulnych i pozbawionych charakteru jednostek najprawdopodobniej nie uda się wykorzystać takich możliwości. Problem z aktywizmem politycznym ułatwianym przez portale społecznościowe polega na tym, że wiele z nich dzieje się z powodów, które nie mają nic wspólnego z czyjegoś przywiązaniem do idei i polityki w ogóle, ale raczej po to, by zaimponować znajomym. Nie jest to problem powodowany przez Internet. Dla wielu ludzi imponowanie rówieśnikom poprzez dążenie do bardzo ambitnych celów, takich jak ratowanie Ziemi i zakończenie kolejnego ludobójstwa, mogło być kluczowym powodem dołączenia do różnych klubów studenckich na uczelni, ale tym razem można z dumą nosić dowód swojego członkostwa publicznie. Colding-Jorgensen, wyjaśniając eksperyment z fontanną Bocian, powiedział: „Tak jak potrzebujemy rzeczy do umeblowania naszych domów, aby pokazać, kim jesteśmy, tak na Facebooku potrzebujemy obiektów kultury, które składają się na wersję mnie, którą chciałbym przedstawić Publicznie.” Badania przeprowadzone przez Sherri Grasmuck, socjolog z Temple University, potwierdzają przeczucie Colding-Jorgensena, ujawniając, że użytkownicy Facebooka kształtują swoją tożsamość online w sposób dorozumiany, a nie jawny. Oznacza to, że uważają, że rodzaje kampanii i grup na Facebooku, do których dołączają, ujawniają o nich więcej niż to, co umieszczają na nudnych stronach „o mnie”. Dlatego wielu z nich dołącza do grup na Facebooku nie tylko lub nie tylko dlatego, że wspierają konkretne sprawy, ale dlatego, że uważają, że ważne jest, aby ich znajomi online dbali o takie sprawy. W przeszłości przekonanie siebie i, co ważniejsze, swoich przyjaciół, że rzeczywiście są na tyle świadomi społecznie, by zmieniać świat, wymagało (przynajmniej) zejścia z sof. Dziś aspirujący cyfrowi rewolucjoniści mogą pozostać na sofach na zawsze – lub do wyczerpania baterii ich iPadów – i nadal być postrzegani jako bohaterowie. Na tym świecie to tak naprawdę nie ma znaczenia, czy przyczyna, o którą walczą, jest prawdziwa, czy nie; o ile łatwo jest znaleźć, dołączyć i zinterpretować, to wystarczy. A jeśli robi wrażenie na ich znajomych, to prawdziwy klejnot. Nic dziwnego, że psychologowie również zauważyli korelację między korzystaniem z portali społecznościowych a narcyzmem. Ogólnokrajowe badanie przeprowadzone w 2009 roku na 1068 amerykańskich studentach przez naukowców z San Diego State University (SDSU) wykazało, że 57 procent z nich uważa, że ​​ich pokolenie korzysta z serwisów społecznościowych do autopromocji, narcyzmu i szukania uwagi, podczas gdy prawie 40 procent zgodziło się z tym. ze stwierdzeniem, że „bycie autopromocyjnym, narcystycznym, zbyt pewnym siebie i szukającym uwagi pomaga odnieść sukces w konkurencyjnym świecie”. Jean Twenge, profesor nadzwyczajny psychologii na SDSU, który przeprowadził badanie, a także autor książki The Narcissism Epidemic: Living in the Age of Entitlement, uważa, że ​​sama struktura portali społecznościowych „nagradza umiejętności narcyza, takie jak promocja, wybieranie pochlebnych zdjęć siebie i posiadanie jak największej liczby przyjaciół. ” Nie ma nic złego w autopromocji per se, ale wydaje się mało prawdopodobne, aby tacy narcystyczni działacze byli w stanie rozwinąć prawdziwe poczucie empatii lub byli gotowi do poświęceń, których wymaga życie polityczne, zwłaszcza życie polityczne w państwach autorytarnych.

Audyt Umysłu Hackera : Kelner, w mojej zupie atakuje mucha!

Celem udoskonalenia naszego przeciwnika do szeregu ustalonych cech (takich jak zdolność do skompromitowania określonego celu) jest pozostawienie możliwego do zarządzania zestawu przeciwników, z których wszyscy stanowią znaczące zagrożenie dla określonego celu i że możemy teraz zacząć charakteryzować się bardziej szczegółowo. Jednym z celów charakterystyki zagrożenia związanego z zasobami jest umożliwienie nam zidentyfikowania powodów, dla których scharakteryzowany przeciwnik uzna pewne warunki ataku za lepsze od innych. Takie zrozumienie pozwala nam modyfikować zmienne związane z celem ataku, aby zmienne powiązane z atakiem nie do przyjęcia dla przeciwnika – w najlepszym przypadku powodującym przerwanie próby ataku przez przeciwnika, a w najgorszym zmuszającym przeciwnika do skonsumowania dodatkowych zasobów, aby przeciwdziałać niekorzystnym warunkom, którym obecnie podlega.

Atakowanie inhibitorów ataku pozytywnego

W kontekście zmniejszania atrakcyjności tabeli ataku dla przeciwnika, inhibitory ataku działają jako środki odstraszające atak. Środki odstraszające ataki mogą być używane jako środki zaradcze polegające na preferowaniu ataków, jeśli zrozumiemy, dlaczego przeciwnik preferuje jedną opcję ataku nad inną.

Studium przypadku charakteryzacji zagrożeń związanych z zasobami fikcyjnymi

Na następnych stronach przedstawiono całkowicie fikcyjny scenariusz, który ma zademonstrować proces, przez który należy przejść, aby potwierdzić, jak realne jest postrzegane zagrożenie i po jego zidentyfikowaniu, aby scharakteryzować przeciwnika w znacznie większym stopniu niż po prostu stwierdzenie, że „uważamy, że jesteśmy bezpieczni przed script kiddies / blackhats / insert medial modword here ”Organ rządowy Wielkiej Brytanii został oskarżony o opracowanie i wdrożenie aplikacji internetowej, aby umożliwić obywatelom Wielkiej Brytanii oddanie głosu w wyborach parlamentarnych w Wielkiej Brytanii, które odbyły się następnego lata. przeszli na model głosowania online / elektronicznego w wyborach za dwa tygodnie. Pewne zaniepokojenie pojawiło się w szeregu grup hakerskich, które ogłosiły publicznie, że ich zdaniem technologia „nie jest gotowa” do użycia cel tak drażliwy jak wybory krajowe – zachęcanie innych grup hacktavistów (adwersarzy) do angażowania się w ataki na cele związane z internetem v systemy uwagi. Ponadto wiele grup ogłosiło, że jeśli systemy głosowania online będą działały przez cały czas trwania głosowania, zapewnią, że wyniki wyborów zostaną naprawione poprzez wykorzystanie znanych tylko im luk w zabezpieczeniach, wpływających na technologię witryny internetowej. używany w witrynie internetowej poświęconej głosowaniu. Po powrocie do Wielkiej Brytanii istnieje duże zaniepokojenie, że za rok te same lub podobnie zmotywowane grupy przeciwników i osoby będą za celować w witrynie internetowej głosowania internetowego w Wielkiej Brytanii. Oprócz obaw związanych z grupami haktywistów, wśród członków obecnego rządu brytyjskiego panuje jeszcze wyższy poziom paranoi, że działania związane z amerykańskim internetowym systemem głosowania mogą przyciągnąć uwagę dobrze finansowanych grup, które mogą poszukiwać umiejętności cyberprzestępców do naprawić przyszłoroczne wybory parlamentarne w Wielkiej Brytanii. Ze względu na te zagrożenia rząd brytyjski chciałby przeprowadzić charakterystykę w celu ustalenia następujących faktów:

* Czy istnieje rzeczywiste zagrożenie Rząd brytyjski jest w pełni świadomy, że istnieje wiele grup cyberprzestępców, którzy chcieliby włamać się do systemów informacyjnych (komputerowych) rządu Jej Królewskiej Mości (brytyjskiego), ale jest ciekawy, która z tych grup faktycznie przeszedłby taki atak, gdyby był skierowany przeciwko brytyjskiej „Wielkiej Brytanii” infrastruktury głosowania elektronicznego, biorąc pod uwagę związane z tym ryzyko. Wielu twierdzi, że związane z tym ryzyko byłoby tak wysokie, że żaden cyberprzestępca nie przeszedłby faktycznie przez wykonanie takiego ataku.

* Jeśli istnieje realne zagrożenie, jak będzie wyglądać? Ponadto rząd brytyjski chciałby wiedzieć, czy rzeczywiście istnieje groźba wykonania ataku skierowanego przeciwko „Wielkiej Brytanii”. Jak by wyglądał system głosowania elektronicznego? Innymi słowy, jaka jest prawdopodobna motywacja i możliwości cyberprzestępcy stwarzającego zagrożenie i z jakich powodów zmienne związane z atakiem są akceptowalne dla przeciwnika?

Czy istnieje prawdziwe zagrożenie?

Aby odpowiedzieć na pytanie, czy istnieje rzeczywiste zagrożenie, pierwsze zadanie obejmuje rozmieszczenie dostępnych danych w docelowej właściwości struktury cyberprzestępcy. Tabela 5.2 przedstawia podstawowy zestaw danych przechowywanych w ramach docelowej właściwości modelu przeciwnika. Teraz, gdy te dane są już gotowe, możemy zacząć badać inne właściwości przeciwnika, aby wywnioskować, czy rzeczywiście istnieje realne zagrożenie dla brytyjskiego systemu głosowania elektronicznego.

Czynnik : Opis

Lokalizacja docelowa : Londyn, Anglia

Ważne wydarzenia na świecie : Wybory powszechne w Wielkiej Brytanii za rok

Właściciel docelowy – rząd Wielkiej Brytanii

Doceniaj prawa własności intelektualnej, zasoby

Oprogramowanie Serwer WWW oparty na systemie IBM AIX

Oprogramowanie Aplikacja internetowa oparta na MySQL

Pierwszą właściwością, którą zbadamy, jest środowisko cyberprzestępcy. Jak dowiedzieliśmy się wcześniej, samo wyliczenie własności środowiska może być bardzo wymowne, jeśli chodzi o zdolność i motywację przeciwnika do uderzenia w określony cel. Pierwszym zagrożeniem, którego potwierdzenia chciałby rząd, są zagrożenia grup hakerskich przeciwko bezpieczeństwu głosowania w USA. system. Badanie języka używanego w kilku defracjonowanych stronach internetowych przeprowadzonych przez specjalnie zaprojektowane grupy hacktavistów sugeruje, że język angielski jest językiem ojczystym autorów defacements strony internetowej – co jeszcze bardziej zawęża wyszukiwanie przeciwnika (przynajmniej w przypadku tych adwersarzy). Tabela 5.3 przedstawia pierwszy zestaw zmiennych właściwości środowiskowych dla przeciwników w grupach hacktavist zagrażających amerykańskiemu systemowi głosowania internetowego. Biorąc pod uwagę prognozowane zmienne, możemy założyć wykrycia pokazane w tabeli 5.3 w odniesieniu do nastawienia przeciwników do ataku na system Evote w Wielkiej Brytanii – w ten sposób oceniając, czy zagrożenie jest rzeczywiście realne.

Pytanie profilowe  : Odpowiedź

Lokalizacja atakującego : Stany Zjednoczone

Ważne wydarzenia na świecie : Wybory powszechne w USA za dwa tygodnie

Znaczące powiązania : Osadzone w społeczności hakerów

Istotne stowarzyszenia grup działania : Kilka internetowych grup haktywistycznych

Dodatkowe zasoby ze środowiska : Brak

Agile Leadership : ROZWIĄZYWANIE WĄTPLIWOŚCI

Ten sposób wyboru kierunku może wydawać się dość nienaukowy. W rzeczywistości zależy to od potężnej idei intuicji grupowej. Kiedy trzeba dokonać skomplikowanego wyboru, jedna osoba może dokładnie wiedzieć, jaki wpływ będzie miał pomysł lub jak łatwo będzie go zrealizować, ale nie musi. Jeśli jednak grupa odpowiednio dobrze poinformowanych osób dokonuje indywidualnych ocen na temat dwóch wymiarów wpływu i łatwości, łączna waga wszystkich tych ocen poprowadzi grupę we właściwym kierunku. Z naszego doświadczenia wynika, że ​​dzięki wykorzystaniu macierzy 2 × 2 do ujawnienia wspólnej intuicji strategicznej zespoły szybciej uzyskują wgląd, uczą się szybciej i działają szybciej. Szanse są takie, że wybrana okazja to naprawdę Twoja wielka łatwość. Ale co, jeśli napotkasz wątpiących? Strukturyzowanie kolejnych kroków w taki sam sposób, jak robią to programiści – podejmowanie małych kroków w celu „wypróbowania” Big Easy – jest jednym ze sposobów odpowiedzi na to zmartwienie. Jeśli pierwsze kroki w kierunku Twojej szansy Big Easy okażą się niewypałem, grupa może łatwo wrócić i skupić się na innej możliwości. Ten „okres próbny” jest ważną zaletą strategii zwinnej nad tradycyjnym planowaniem strategicznym. Kiedy miesiące i tysiące dolarów zostały wydane na opracowanie planu strategicznego, bardzo trudno się do tego przyznać że niektóre założenia były błędne. Dzięki zwinnej strategii ograniczona ilość czasu zostanie „zmarnowana”, jeśli zespół będzie podążał ścieżką, która okaże się złą. Nawet jeśli grupa wybierze złą okazję do rozpoczęcia, prawdopodobnie wiele się nauczy z porażek. Jeśli szybko ocenią, co jest nie tak i przejdą do innej okazji, są szanse, że wzmocnili także nawyki wspólnego uczenia się i szczerej komunikacji. Stawianie czoła wzmocnionym nawykom wspólnego uczenia się i szczerej komunikacji. Wspólne mierzenie się z twardymi faktami również buduje zaufanie. W ten sposób zwinna strategia umożliwia zarządzanie ryzykiem w sposób, w jaki tradycyjne planowanie strategiczne nigdy nie jest możliwe. Innym częstym wahaniem przy stosowaniu metody Big Easy jest to, że podjęcie jakiejkolwiek decyzji może wydawać się przedwczesne. Oznacza to, że niektórzy członkowie grupy mogą czuć, że potrzebują więcej informacji. Ale istnieje realne ryzyko opóźnienia decyzji, którą okazję wykorzystać. Grupa może zostać zafiksowana na nieskończonym dostrajaniu, rankingu i ponownej klasyfikacji. Poszukiwanie większej ilości danych może po prostu opóźnić wprowadzenie pomysłów w życie. Ponieważ mamy do czynienia ze złożonymi, adaptacyjnymi wyzwaniami, musimy zaakceptować cztery rzeczywistości. Po pierwsze, opóźnienie – zbyt wiele rozmów bez działania – podważa zaufanie. Jeśli zdobycie większej ilości informacji jest po prostu pretekstem, aby nic nie robić, zaufanie do Twojej grupy zacznie zanikać. Po drugie, niemożliwe jest posiadanie wystarczającej ilości informacji, aby całkowicie przeanalizować złożone wyzwanie, zanim zaczniemy. Po trzecie, naprawdę dowiemy się o tym złożonym wyzwaniu tylko wtedy, gdy zaczniemy coś robić razem. Musimy eksperymentować i testować nasze pomysły. Po czwarte, możesz być ciągle zarówno „generowanie”, jak i „konsumowanie” danych poprzez zadawanie pytań w miarę postępów. Poszukując odpowiedzi, będziesz szukać dalszych danych, które Cię poprowadzą. Zalecamy wybranie okazji, która zmotywuje grupę do natychmiastowego działania. Czasami kusi, aby połączyć możliwości w celu ograniczenia zakresu wyboru – wydaje się to bezpieczniejsze niż wybranie tylko jednej. Jednak nie zalecamy tego manewru – pomysł może się pogmatwać i trudno powiedzieć, czy to naprawdę duża łatwa. Jeśli osoby dokonujące osądów są dość wnikliwe, możesz być pewien, że cokolwiek wybierzesz, jest prawdopodobnie bardzo dobre. Wreszcie, może się okazać, że to, co wybraliście jako Big Easy nie pasuje do postępu, który jest w waszej (lub czyjejś) głowie, jeśli chodzi o to, jak powinny się połączyć wszystkie możliwości. Może dojść do debaty na temat sekwencjonowania różnych pomysłów: co powinno być pierwsze? Jeśli zasoby są na miejscu, aby uruchomić Big Easy, zalecamy przejście do przodu i nie martwienie się o zamówienie. Biorąc pod uwagę entuzjazm i chęć odniesienia sukcesu, zespół odkryje, że gdy pierwsza okazja zostanie wykorzystana, może przejść do następnej okazji, a zamówienie zajmie się samym sobą. Szanse będą się łączyć z czasem, a szybkość Twojej pracy będzie rosła wraz z rozwojem Twojego zespołu. Będziesz także lepszy w wykrywaniu następnej okazji, z której warto skorzystać.

Lean Customer Development : Wyjdź z budynku

Spisałeś swoje hipotezy, znalazłeś ludzi, z którymi możesz porozmawiać, zorientowałeś się, czego musisz się nauczyć, opracowałeś pytania, które Cię tam doprowadzą, i zaplanowałeś czas. Teraz najtrudniejsza część: właściwie zrobić swój pierwszy wywiad. Mam zamiar być szczery: bałam się kilku pierwszych wywiadów z klientami, które przeprowadziłam. A jeśli nie nauczę się niczego przydatnego? A co, jeśli czujesz się jak zła pierwsza randka z długimi, niezręcznymi milczeniami? A jeśli moja rozmówczyni czuje, że marnuję jej czas? Tysiące wywiadów później dowiedziałem się, że kontrolujesz ton rozmowy. Kiedy mówisz pewnie, odpowiednio ustawiasz oczekiwania i okazujesz prawdziwą ciekawość, ludzie mówią. Kiedy kończysz z szczerym uznaniem, budujesz relację, a ludzie są szczęśliwi, mogąc z tobą ponownie porozmawiać w przyszłości. Znajdziesz tu narzędzia do tworzenia wygodnych i konstruktywnych wywiadów. Przechodząc przez cały proces rozmowy kwalifikacyjnej, omówimy skuteczne taktyki i wyjaśnimy, dlaczego działają. Nauczysz się:

  • Jak przygotować się do rozmowy kwalifikacyjnej
  • Zaskakująca sztuczka, która sprawia, że ​​ludzie otwierają się i swobodnie rozmawiają
  • Jak pozwolić ludziom być ekspertami
  • Dlaczego powinieneś objąć styczne
  • Wartość podziękowań ludziom metodą „krok w drzwi”

Pod koniec będziesz mieć wszystkie narzędzia potrzebne do wyjścia z budynku i nauczenia się zaskakujących, wnikliwych i nieoczekiwanych rzeczy z wywiadów.

Rozmowa kwalifikacyjna

Każda rozmowa kwalifikacyjna po pierwszej jest łatwiejsza. Z tego powodu polecam przeprowadzić rozmowę kwalifikacyjną z kimś, kogo znasz, ale nie jest jednym z Twoich docelowych klientów. Rozmowa próbna nie potwierdzi twoich hipotez, ale da ci możliwość przetestowania procesu i ulepszenia technik rozmowy przed przejściem do rzeczywistych przedmiotów.

Rozmowa kwalifikacyjna może być również pomocna, jeśli masz już produkt i klientów. Czasami będziesz potrzebować większej wrażliwości, gdy będziesz rozmawiać o hipotetycznych pomysłach z osobami, które już wypisały Ci czek, i warto przejść przez to wcześniej z kimś, kto je rozumie (tj. Z kolegą, a nie z klientem). Z kim powinieneś przeprowadzić wywiad na tę próbę? Podczas rozmowy kwalifikacyjnej nie musi spełniać żadnych konkretnych kryteriów, warto wybrać kogoś, kto nie jest zbyt blisko związany z Twoim pomysłem. Zachowanie powagi podczas rozmowy z partnerem lub najlepszym przyjacielem może być trudne. Bardziej odległy współpracownik lub nietypowe połączenie LinkedIn może być lepszym wyborem. W Yammerze mój zespół często testuje rozmowy kwalifikacyjne z nowymi pracownikami, którzy nie są jeszcze zaznajomieni z osobą prowadzącą rozmowę ani z produktem. Nie są potrzebne żadne specjalne instrukcje; po prostu mówimy im, aby odpowiadały na pytania w oparciu o własne doświadczenia lub opinie. Po rozmowie prosimy ich o informację zwrotną dotyczącą samego wywiadu. To dobry pomysł, bez względu na to, kogo wybierzesz na rozmowę kwalifikacyjną.

Ile Google wie o Tobie : Wyszukiwanie oparte na witrynie

Google umożliwia użytkownikom tworzenie niestandardowych interfejsów wyszukiwania dla witryn internetowych, blogów, grup o szczególnych zainteresowaniach i firm, a także organizacji non-profit, rządowych i edukacyjnych (patrz Rysunek 4-6). Z tworzeniem wyszukiwania opartego na witrynach wiąże się szereg zagrożeń. Po pierwsze, każda niestandardowa wyszukiwarka natychmiast łączy użytkowników uzyskujących dostęp do witryny. Przykłady ze strony polecanych witryn Google obejmują witryny takie jak Expanding Your Horizons, wyszukiwarka skupiająca się na pielęgnowaniu zainteresowania dziewcząt nauką; MacWorld, silnik wyszukiwania dla miłośników Apple; oraz GreenMaven, wyszukiwarka skupiająca się na przyjaznych dla środowiska witrynach internetowych. Oprócz ujawniania społeczności użytkowników i ich zapytań, takie dostosowane witryny mogą obniżyć ochronę osób, które ufa firmie macierzystej, ale ma obawy dotyczące Google.

Zaufanie w Cyberspace : Zaufaj Evolution

Wczesne modele zaufania statycznie obliczałyby wartość zaufania na podstawie danych TMP i to zaufanie było podstawą wszystkich decyzji w przyszłości. Jednak teraz rozumiemy, że zaufanie musi ewoluować w sposób ciągły i dynamicznie dostosowywać się, biorąc pod uwagę obecne i przeszłe doświadczenia użytkownika, a także innych osób, które znajdują się w takiej samej sytuacji. Odbywa się to poprzez dostarczanie informacji zwrotnej do modelu zaufania w postaci zaufania obliczonego przez użytkownika (zaufanie bezpośrednie) i zaufania, na które powołują się inni (zaufanie referencyjne). Pojawia się wtedy kilka pytań. Jak zaufanie obliczone w czasie t wpływa na zaufanie obliczone w czasie t + 1, t + 2,. . ., t + n i dalej, a kiedy staje się bezużyteczne. Z zaufania powierzonego w formie rekomendacji należy korzystać ostrożnie, ponieważ niejednoznaczność zawsze otacza autentyczność i poprawność powierzonego zaufania. Jak bardzo można ufać wartości zaufania otrzymanej z innych źródeł i jaki wpływ powinno mieć to zaufanie na obliczenia zaufania. Kwestie te są rozwiązywane przez składnik TMS dotyczący ewolucji zaufania. Po zakończeniu fazy oceny zaufania i wprowadzeniu dobrze zdefiniowanej metody obliczania zaufania, komponent ewolucji zaufania uruchamia się i stale próbuje udoskonalać zaufanie z każdym nowym doświadczeniem pomoc innych użytkowników. Pierwszą kwestią związaną z ewolucją zaufania jest ilościowe określenie wpływu zaufania obliczonego w czasie t na zaufanie w czasie t + x. Większość artykułów, które do tej pory przejrzeliśmy, zawiera informacje zwrotne oparte na wbudowanych wcześniejszych doświadczeniach. Zaufanie definiuje się jako prawdopodobieństwo σ, że zadanie użytkownika zostanie obsłużone w czasie odpowiedzi τ określonym przez klienta. Początkowy wynik zaufania T0 jest obliczany na podstawie średniego wskaźnika dotarcia, czasu obsługi i liczby serwerów wirtualnych. Czas obsługi każdego kolejnego zadania obsługiwanego przez serwer będzie większy lub krótszy niż wymagany czas odpowiedzi.   Pozytywna odpowiedź służy do zwiększenia zaufania poprzez dodanie do wartości zaufania (Tn) ułamka, o który czas usługi był lepszy niż wymagany czas odpowiedzi, i odjęcie ułamka w przypadku negatywnej odpowiedzi. Zaufanie w czasie t, a zatem w tym przypadku zależy tylko od bezpośredniego doświadczenia i wartości zaufania w czasie t – 1. Schemat zarządzania tożsamością umożliwiający tylko zaufanemu zestawowi użytkowników dostęp do danych przechowywanych w chmurze przedstawiono w ref. [6]. Ewolucja zaufania w tym schemacie opiera się na dziennikach dostępu. Jeśli podczas audytu dzienniki pozostają zgodne z tożsamościami, wartość zaufania dostawcy CSP rośnie, a użytkownik zapewnia lepsze oceny i rekomendacje, co pomaga nowym użytkownikom ocenić wiarygodność dostawcy CSP, a cykl ewolucji zaufania trwa. Najprostszą metodą kwantyfikacji zaufania referencyjnego jest użycie przechodniości zaufania. Ta metoda jest stosowana w Ref. [42]. Jeśli x użytkownik ma zaufanie Tx do dostawcy CSP c, a inny użytkownik y ma zaufanie użytkownika x, obliczane jest zaufanie użytkownika y do CSP c jako ty * Tx. Zaufanie przechodnie nie uwzględnia jednak kontekstu, w którym jest ono używane. Co więcej, długie łańcuchy zaufania mogą zostać łatwo zatrute przez napastników. Talal i Quan [11] wprowadzają pojęcie wieku użytkownika w celu ilościowego określenia wpływu zaufania poleconego na obliczenia zaufania. Jak omówiono wcześniej, Noor i wsp. określa zaufanie do CSP na podstawie ocen i rekomendacji przedstawionych przez użytkownika. Wiek użytkownika jest określany przez liczbę dobrych rekomendacji dostarczonych przez użytkownika. Dobre rekomendacje to takie, które są bliższe średniej rekomendacji udzielanej przez grupę użytkowników. Zalecenie podane przez użytkownika jest zatem oparte na wieku użytkownika i na tym, jak blisko średniej jest rekomendacja użytkownika. Nr ref. [37,38] omawiają wykorzystanie sieci bayesowskiej do probabilistycznego budowania relacji między TMP, a następnie budowania systemu decyzyjnego, który umożliwi użytkownikom określenie wpływu jednego parametru na ogólną wartość zaufania. Zalecenia w tym przypadku są zależne od kontekstu, a zalecenia każdego użytkownika są ważone zgodnie z tym, jak wiarygodny jest użytkownik w systemie. Wiarygodność użytkownika jest obliczana na podstawie jego wcześniejszych rekomendacji. W ref. [38], własna opinia użytkownika jest również traktowana jako zalecenie, a źródło jest uważane za w pełni godne zaufania i ten sam proces jest stosowany do uwzględnienia tego jako opinii

Ciemna Strona Neta : Cyfrowi tubylcy świata, łączcie się!

I wielu z nich już jest zaangażowanych. Kiedy w 2008 roku ulice Kolumbii zapełniły się nawet milionem wściekłych protestujących przeciwko partyzantom ruchu FARC, który terroryzuje kraj od dziesięcioleci, uznano grupę na Facebooku o nazwie No Más FARC (No More FARC). za tę bezprecedensową mobilizację. (W 2008 roku FARC zdominował kolumbijskie wiadomości serią głośnych porwań). Założona przez Oscara Moralesa, trzydziestotrzyletniego bezrobotnego technika komputerowego, grupa szybko zyskała członków i stała się centralnym punktem rozpowszechniania informacji o protestach. , zyskując poparcie rządu kolumbijskiego w tym procesie. Rząd amerykański był również na prośbę Facebooka. Morales, który później został stypendystą Instytutu George’a W. Busha, otrzymał notatkę od Jareda Cohena z Departamentu Stanu USA, amerykańskiego biurokraty, który rok później wysłał niesławną prośbę e-mail do Twittera. Cohen chciał przyjechać do Kolumbii, aby poznać szczegóły imponującej operacji online Moralesa. Morales nie miał nic przeciwko. Wizyta Cohena w Kolumbii musiała być inspirująca, zaledwie kilka miesięcy później Departament Stanu uruchomił międzynarodową organizację zwaną Sojuszem Ruchów Młodzieżowych (AYM), zbudowaną na założeniu, że przypadki takie jak Kolumbia będą bardziej rozpowszechnione i że rząd USA musi odegrać wczesną rolę w tej dziedzinie, przyczyniając się do ułatwienia nawiązywania kontaktów między takimi „cyfrowymi rewolucjonistami”. Seria głośnych szczytów ruchów młodzieżowych – jeden był nawet moderowany przez tę zagorzałą obrońcę wolności Internetu Whoopi Goldberg – należycie śledzony. W swojej krótkiej historii AYM wyłoniło się jako coś w rodzaju cyfrowego odpowiednika Kongresu Wolności Kultury, rzekomo niezależnego ruchu artystycznego, który w rzeczywistości został stworzony i sfinansowany przez CIA w celu kultywowania antykomunistycznych intelektualistów na wczesnych etapach zimnej wojny.  (Niestety, dorobek literacki AYM nie jest tak olbrzymi). Teraz, gdy walka o idee przeniosła się do cyberprzestrzeni, to raczej blogerzy niż intelektualiści chcą się osądzać. James Glassman z George W. Bush Institute, ówczesny podsekretarz stanu ds. Dyplomacji publicznej i spraw publicznych, rozpoczął pierwszy szczyt AYM w Nowym Jorku, wyjaśniając, że celem spotkania było „zebranie około dwudziestu grup razem z czołowymi technologami ze Stanów Zjednoczonych. i przygotuj instrukcję. . [aby pomóc] innym organizacjom, które chcą, aby informacje i wiedza technologiczna były w stanie zorganizować własne grupy przeciwdziałające przemocy ”. Firmy takie jak Facebook, Google, YouTube, MTV i AT&T wzięły udział w szczycie w Nowym Jorku wraz z grupami, takimi jak Birma Global Action Network, Genocide Intervention Network i Save Darfur Coalition. (Przedstawiciel Balatarin, znanego irańskiego portalu społecznościowego, był obecny na drugim szczycie AYM w Meksyku). Spotkanie miało na celu wysłanie jeszcze jednej silnej wiadomości, że amerykańskie firmy, być może z delikatnym naciskiem ze strony rządu USA, odegrały ważną rolę. ważną rolę w ułatwianiu demokratyzacji i że technologie cyfrowe – przede wszystkim sieci społecznościowe – odegrały zasadniczą rolę w odpieraniu prześladowców. „Każda kombinacja tych [cyfrowych] narzędzi daje większe szanse, że organizacje społeczeństwa obywatelskiego zaczną działać, niezależnie od tego, jak trudne jest środowisko” – ogłosił Jared Cohen, dając być może jeden z najostrzejszych wyrazów zarówno cyberutopizmu, jak i centryzmu internetowego. data. Pod wrażeniem sukcesu kolumbijskiej grupy amerykańscy urzędnicy postanowili przyjąć portale społecznościowe jako realne platformy do rozmnażania i mobilizowania sprzeciwów, wyrażając chęć finansowania tworzenia nowych witryn, jeśli to konieczne. W związku z tym w 2009 roku Departament Stanu przeprowadził na Bliskim Wschodzie konkurs grantów o wartości 5 milionów dolarów, w ramach którego zbierał wnioski o dofinansowanie projektów, które „rozwijałyby lub wykorzystywały istniejące platformy sieci społecznościowych w celu podkreślenia priorytetów zaangażowania obywatelskiego, pomocy młodzieży, partycypacji politycznej, tolerancji, przedsiębiorczości gospodarczej , wzmocnienie pozycji kobiet lub pokojowe rozwiązywanie konfliktów ”. (Najwyraźniej nie ma problemu, którego sieci społecznościowe nie mogą rozwiązać). Najprawdopodobniej amerykańscy urzędnicy odrzuciliby eksperyment ze Stork Fountain jako tylko drobne zawstydzenie, koszt prowadzenia działalności w tym nowym cyfrowym środowisku, ale raczej nie jest to dobry powód, aby przestań zbierać ogromną energię sieci społecznościowych. Ale czy to możliwe, że dążąc do krótkoterminowych i instrumentalnych celów mobilizacyjnych, mogli przeoczyć długoterminowy wpływ sieci społecznościowych na kulturę polityczną represyjnych społeczeństw?  Aby nawet zacząć odpowiadać na to pytanie, być może będziemy musieli ponownie przemyśleć lekcje z duńskiej fontanny. Obie interpretacje eksperymentu z bocianią fontanną – ta, która potępia to jako dziwactwo, i ta, która oddaje mu cześć jako potężny przykład mobilizującej mocy internetu – obarczona jest kilkoma niedociągnięciami analitycznymi. Żaden z nich nie zapewnia dobrego opisu tego, co członkostwo w takich połączonych w sieć sprawach robi dla samych członków. Z pewnością większość z nich to nie tylko bezmyślne roboty-aktywiści, wciskające dowolne przyciski wymagane od ich internetowych zwierzchników, bez zmagania się ze znaczeniem tego, co robią i próbujące dowiedzieć się, jak ich udział w takich społecznościach może wpłynąć na ich poglądy. o znaczeniu demokracji i znaczeniu sprzeciwu. Te dwie konkurujące ze sobą interpretacje również nie wskazują, jaki wpływ takie kampanie online mogą mieć na skuteczność i popularność innych działań offline i indywidualnych aktywistów. Chociaż kusi, by o tym zapomnieć w erze sieci społecznościowych, walka o demokrację i prawa człowieka jest toczona również poza siecią, przez kilkadziesiąt lat organizacji pozarządowych, a nawet przez niektórych odważnych samotnych wojowników niepowiązanych z żadnymi organizacjami. Zanim decydenci uznają aktywizm cyfrowy jako skuteczny sposób na przeciwdziałanie autorytarnym rządom, dobrze jest im dobrze zbadać jego wpływ zarówno na praktyków, jak i na ogólne tempo demokratyzacji.

Audyt Umysłu Hakera : Charakterystyka zagrożeń majątkowych

Charakterystyka zagrożeń związanych z zasobami stanowi jedno z głównych zastosowań teorii charakteryzacji teoretycznej. Krótko mówiąc, charakterystyka zagrożeń związanych z zasobami służy dwóm celom. Po pierwsze, pozwala nam określić, czy dany typ przeciwnika rzeczywiście stanowi zagrożenie dla danego celu. Być może organizacja jest zaniepokojona, że ​​grozi jej „dziecko skryptów” zaatakujące ich zastrzeżoną aplikację internetową; proces charakterystyki zagrożenia związanego z aktywami pozwala nam sprawdzić zasadność takiego przekonania, a jeśli okaże się ono fałszywe, ta sama teoria pozwala określić, skąd pochodzą rzeczywiste zagrożenia. Drugim celem procesu charakteryzowania zagrożeń związanych z aktywami jest: scharakteryzować zdolności i motywacje przeciwników, którzy naszym zdaniem stanowią realne zagrożenie dla celu. Zanim to się stanie, musimy przygotować się do charakteryzacji, badając „kogo” staramy się scharakteryzować.

Przygotowanie do charakteryzacji

Cytowana w poprzednim rozdziale analogia przyrównała kwestie związane z próbami scharakteryzowania każdego typu cyberprzestępców i ich zachowań podczas ataku na dany cel do fizyka jądrowego, który próbował wyliczyć każdą strukturę molekularną, charakteryzując ich zachowania względem siebie. Rozwiązanie, które przedstawiliśmy dla tego porównania, nie polegało na próbie wyliczenia wszystkich możliwych przeciwstawnych zachowań, ale zamiast tego, aby opracować teorię wyjaśniającą, dlaczego występują pewne zachowania – podobnie jak fizycy jądrowi teoretycznie wyjaśniają, dlaczego powstają określone struktury molekularne. Nawet teraz, gdy ustaliliśmy kilka kluczowych zasad, które poprowadzą nas przez charakterystykę zdolności, jakie posiada przeciwnik przeciw danemu celowi, ponownie stajemy przed tym samym problemem. Czy powinniśmy skorzystać z ustalonych przez nas zasad i skrupulatnie wyliczyć każdy możliwy profil przeciwnika, aby określić, jakie możliwości każdy stawia w stosunku do danego celu? W kontekście charakterystyki zagrożeń związanych z zasobami klucz do praktyczności zastosowane przedstawionych dotychczas zasad polega na określeniu tego, co jest dla Ciebie istotne. Istnieją dwa szerokie sposoby spojrzenia na teoretyczną charakterystykę zagrożeń dla aktywów:

* „Stąd może pochodzić nasze zagrożenie: chcę teraz zrozumieć zdolności i motywacje przeciwników w celu wprowadzenia środków odstraszających ataki ”

„To są moje docelowe właściwości. Jakie typy przeciwników przyciągnę? Jakie są ich możliwości i motywacja? ”

W obu przypadkach zakres charakterystyki można znacznie zawęzić z „wszystkich cyberprzestępców” po prostu patrząc na typy przeciwników, którzy będą zainteresowani Tobą jako celem.

UWAGA: Poniższe terminy są często używane w tym rozdziale i należy je rozumieć we właściwym kontekście:

  • Cyber ​​przeciwnik Zbiór zmiennych przechowywanych w środowisku i własność atakującego.
  • Cel Zbiór zmiennych przechowywanych w ramach właściwości docelowej, a nie indywidualnego systemu informacyjnego

Określenie, co jest dla Ciebie istotne

W odniesieniu do charakterystyki zagrożenia związanego z zasobami; istnieje czteroetapowy proces myślowy, przez który musimy przejść, aby upewnić się, że przeciwnik, którego charakteryzujemy, stanowi realne zagrożenie, a nie tylko fałszywy alarm.

  1. Dla jakich cyberprzestępców moje aktywa stają się atrakcyjnym celem?
  2. Jaka jest motywacja cyberprzestępców?
  3. Jakie są ich możliwości?
  4. W jaki sposób możemy sprawić, aby inhibitory związane z atakiem były nie do przyjęcia dla przeciwnika?

Różne cele oznaczają różnych przeciwników

Dokonując charakterystyki zagrożenia, jakie przeciwnik stwarza dla określonego zasobu, należy wziąć pod uwagę realizm charakteryzowanego zagrożenia. Nie w sensie pytania, czy scharakteryzowane zagrożenie może rzeczywiście istnieć w świecie rzeczywistym, ale w sensie pytania, czy scharakteryzowane zagrożenie byłoby w pierwszej kolejności zainteresowane atakowaniem celu w określonym zakresie. Pamiętaj, że kiedy mówimy o celu, nie odnosimy się do indywidualnego systemu informacyjnego, ale odnosimy się do właściwości celu, składającej się z grupy elementów, które mogą składać się z wielu setek systemów informacyjnych, ale co ważniejsze, składa się z Ciebie ( właściciel). Więc kim jesteś? Czy jesteś bankiem? Czy jesteś agencją rządową? A może jesteś dostawcą usług internetowych (ISP). Nie jesteśmy tutaj, aby powiedzieć Ci, kim jesteś, ani pomóc Ci zrozumieć, jak wygląda Twój model biznesowy; powinieneś to wiedzieć lepiej niż ktokolwiek inny. Ponadto, jeśli twoja organizacja jest dużą, być może już wiesz, kim jest twój przeciwnik. Chcemy Ci powiedzieć, w jaki sposób możesz potwierdzić swoje podejrzenia co do tego, kim naprawdę są Twoi cyberprzestępcy, co ich motywuje i jakie mają możliwości zaatakowania Ciebie.

Różne cele oznaczają różne motywacje

Jak ustaliliśmy, analizując wpływ, jaki obiekt docelowy może mieć na czynniki motywujące (lub kierujące) atakiem przeciwnika, zmienne właściwości docelowej, takie jak właściciel celu, mogą zapewnić adwersarzowi wystarczającą motywację do zainicjowania ataku. Oczywiste jest, że różni cyberprzestępcy mają różne poziomy motywacji do angażowania się w ataki na różne cele, a zatem identyfikacja czynników motywujących wymaganych do zmuszenia przeciwnika do zaangażowania celu jest ważnym krokiem w zawężeniu liczby przeciwników, których należy scharakteryzować.

Różne zasoby oznaczają różne zestawy umiejętności

Choć może to być oczywiste, chociaż wielu cyberprzestępców posiada szeroki zakres umiejętności technicznych, z powodu stromych krzywych uczenia się, z którymi wiąże się to, prawie wszyscy przeciwnicy mają techniczne skłonności do tej czy innej technologii. Z tego powodu przeciwnicy często preferują cele ataku, które czują, że są bardziej zdolni do pójścia na kompromis poprzez zwiększone postrzegane prawdopodobieństwo sukcesu. Z punktu widzenia obrońcy jest to po prostu przypomnienie, że powinniśmy dalej ograniczać nasze poszukiwania przeciwnika do tych, którzy mają wystarczające zdolności, aby w pierwszej kolejności stanowić zagrożenie dla ataków. Weźmy pod uwagę dużego (fikcyjnego) licytatora internetowego, którego kierownictwo chciałoby spróbować scharakteryzować przeciwników, którzy stanowią największe zagrożenie dla obecności firmy w Internecie. Ze względu na ustalenia firmy z ubezpieczycielami, z biznesowego punktu widzenia nie ma rzeczywistych obaw dotyczących pojedynczych przypadków nieuczciwych zakupów dokonywanych za pośrednictwem witryny lub kradzieży danych uwierzytelniających poszczególnych użytkowników prowadzących do oszukańczych zakupów. Jednak firma obawia się, że przeciwnik może być w stanie zebrać lub zmodyfikować dane klientów przechowywane w systemach firmy, wykorzystując luki, które mogą istnieć w aplikacji aukcyjnej witryny sieci Web. Ponadto firma obawia się, że w podobny sposób przeciwnik może spowodować znaczne przestoje w witrynie sieci Web, skutkujące utratą zaufania klientów do firmy. Chociaż firma w tym scenariuszu jest codziennie atakowana, to, czego tak naprawdę szukają, to scharakteryzowanie nie przeciwników, którzy zawodzą w ich codziennych atakach, ale tych, którzy mają odpowiednie umiejętności techniczne, aby osiągnąć sukces podczas ataku na swój cel. Analizując, jakie zasoby techniczne (część obiektu zasobu atakującego) muszą być obecne, aby przeciwnik stał się realnym zagrożeniem dla organizacji, jesteśmy w stanie dodatkowo wyeliminować z charakterystyki przeciwników, którzy nie mają realnego znaczenia. Taka analiza zasobów technicznych wymaganych do tego, aby przeciwnik stał się przedmiotem poważnych obaw (biorąc pod uwagę parametry akceptacji ryzyka przez firmę), opierałaby się na właściwościach technicznych celu, takich jak wszelkie systemy operacyjne i oprogramowanie zastrzeżone lub strony trzeciej, z którego korzysta. Po zidentyfikowaniu technicznych właściwości celu może wejść do gry metryka techniki ataku wprowadzona w rozdziale 4. Na potrzeby tego przykładu załóżmy, że aktualnie rozważaną docelową właściwością techniczną jest publiczna aplikacja internetowa organizacji, napisana w Microsoft Active Server Pages (ASP) i obsługiwana przez bazę danych Microsoft SQL Server 2000.

UWAGA

Poniżej znajduje się podsumowanie kroków związanych z celem scharakteryzowania zagrożenia związanego z zasobami (do tej pory!):

  1. Ustal wspólny zestaw zmiennych posiadanych przez cyberprzestępców, którzy uważają dany cel za atrakcyjny.
  2. Zidentyfikuj zmienne (poza tym, że cel jest atrakcyjny), które mogą zmotywować przeciwnika do ataku.
  3. Dalsze udoskonalanie potencjalnych przeciwników poprzez identyfikację zmiennych ataku, które mogą spowodować, że przeciwnik będzie w stanie odnieść sukces w ataku na cel.

Zgodnie z tabelą wyników ataku błędów aplikacji sieci, przewidywany wynik ataku dla przeciwnika, który pomyślnie przejął cel za pośrednictwem bieżącej właściwości target (aplikacji ASP), wyniesie sześć, w przeciwieństwie do cztery osoby, które wiedziały o usterce w domenie publicznej. Celem tego ćwiczenia nie było przeprowadzenie teoretycznego ataku, ale wykazanie, że jeśli chodzi o biznes w naszym przykładowym scenariuszu, aby przeciwnik był realnym zagrożeniem, lub wymagałaby dość specyficznego zasobu technicznego – w tym przypadku Microsoft ASP i Microsoft SQL Server 2000. To pokazuje, że biorąc pod uwagę umiejętności wymagane do złamania zabezpieczeń celu, jesteśmy w stanie dalej eliminować pewne zmienne przeciwnika, pomagając nam zawęzić w dół listy cyberprzestępców do tych, którzy mają największe znaczenie.

Wady aplikacji internetowej Publiczne Prywatne

Zastrzeżona penetracja aplikacji: 3 5

Wstrzyknięcie SQL

Penetracja aplikacji typu open source: 3 5

Wstrzyknięcie SQL

Zastrzeżona penetracja aplikacji: 2 4

Wstrzyknięcie dowolnego kodu

Penetracja aplikacji typu open source: 2 4

Wstrzyknięcie dowolnego kodu

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu wtrysku SQL (MS SQL)

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu SQL Injection (Sybase)

Zastrzeżona penetracja aplikacji: 4 6

Tylko SQL Injection (MS SQL)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wtrysk SQL (IBM DB2)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wstrzyknięcie SQL (Oracle)

Pokazuje to, że biorąc pod uwagę umiejętności wymagane do skompromitowania celu, jesteśmy w stanie dalej eliminować pewne zmienne przeciwnika, pomagając nam zawęzić listę cyber przeciwników do tych, którzy mają największe znaczenie.

Agile Leadership : Korzystanie z Matrix

Aby skorzystać z tego narzędzia, należy podjąć bardzo ważną decyzję: które dwa kryteria należy wziąć pod uwagę? Możesz użyć dowolnych dwóch kryteriów, które Twoim zdaniem najlepiej pasują do Twojego wyzwania, ale w szczególności proponujemy dwa: wpływ i łatwość wdrożenia (dlatego nazywamy to Wielkim Łatwym). Szukasz możliwości, która ma największy wpływ i jest najłatwiejsza do wdrożenia. Czasami wydaje się to sprzeczne z intuicją. Ale zostań z nami. Dlaczego te dwa kryteria? Z naszego doświadczenia wynika, że ​​wybór pierwszej okazji ma kluczowe znaczenie dla budowania więzi zaufania potrzebnych do przejścia do większych projektów które będą potrzebne do rozwiązywania złożonych problemów. Chcesz, aby ludzie byli podekscytowani tym, co robią, a wczesny sukces utrzyma ich zaangażowanie na dłuższą metę, przyciągając innych, aby większe możliwości były bardziej osiągalne. Kiedy ludzie budują sukces, przekładając pomysły na działanie, budują także zaufanie. Budując zaufanie, budują zdolność do wykonywania razem coraz bardziej złożonej pracy. Skoncentrowanie się na Big Easy zapewnia właściwą równowagę miejsca do rozpoczęcia. „Wielkie” w Wielkim Łatwym inspiruje ludzi i angażuje ich emocjonalnie. „Łatwy” oznacza, że ​​istnieją praktyczne kroki, które można podjąć już teraz, aby zbliżyć się do tej okazji. Podsumowując, te dwa wymiary zapewniają, że grupa uniknęła dwóch typowych zagrożeń: (1) wybranie pomysłu, który jest bardzo trudny do wykonania i zniechęcenie, lub (2) wybranie czegoś, co jest łatwe, ale nieistotne, na czym nikomu naprawdę nie zależy. Jeśli zespół pracuje razem po raz pierwszy, wybrana szansa rzeczywiście może wydawać się mała i przyziemna. Na przykład, pracowaliśmy z grupą obywateli i liderów w całym mieście, którzy obawiali się, że ich społeczność podupada. Głównym problemem było pogarszające się warunki w centrum miasta – podobnie jak w większości miast, handel przeniósł się na przedmieścia, pozostawiając pustkę na Main Street. Po jednodniowym spotkaniu poza placem budowy dotyczącym rewitalizacji śródmieścia, zespół wrócił z projektem upiększania plantatorów w centrum miasta. Reakcja osób, które nie brały udziału w sesji: „To wszystko ?! Cały dzień, żeby zdecydować się na budowę donic? ” W rzeczywistości plantatorzy byli tylko pierwszym wspólnym krokiem, więc zespół mógł przejść do większych możliwości, które wymagały głębszych zobowiązań. Grupa przeszła do rewitalizacji ich chorego centrum i znalazła wiele sposobów współpracy, które wcześniej nie byłyby możliwe. Jak pokazuje ten przykład, nawet jeśli Big Easy może wydawać się dość mały, oprzyj się pokusie osiągnięcia dużego. Widzieliśmy niezliczone pierwsze projekty, takie jak te plantatory – małe wysiłki, które przyciągają uwagę, a z kolei przyciągają większe wsparcie. Ludzie na ogół chcą przyłączyć się do udanych wysiłków, a to wnosi do projektu szerszy zakres umiejętności i zasobów. Sieć dla możliwości rozszerza się i można wykonać większą, bardziej złożoną pracę. Ludzie, którzy kiedyś uważali, że nic nie może się wydarzyć, aby poprawić dzielnicę, centrum miasta, biznes lub organizację, dostrzegają ten trend i chcą wesprzeć projekt. Aby zrozumieć, dlaczego tak się dzieje, wróć do naszego opisu różnych typów ludzi w rozdziale 1. Jeśli dopiero zaczynasz, prawdopodobnie masz przy stole głównie pionierów. Pragmatyści przeważnie czekają, aby zobaczyć, czy ten wysiłek będzie miał moc i czy mogą ufać grupie, że dobrze traktuje ich i ich czas. Jeśli wybierzesz zbyt ambitną okazję i stracisz energię, pragmatyści nigdy nie dołączą do Ciebie. Zademonstruj jednak sukces nawet przy niewielkim przedsięwzięciu, a będzie dużo bardziej prawdopodobne, że wrzucą swój los w grupę. W niektórych przypadkach członkowie zespołu mogą już dobrze się znać. Jednak złe nawyki mogły osłabić zespół. Być może nadal spotykają się bez decyzji i bez postępu. Być może każdy ma na myśli swój własny projekt. Albo, co gorsza, cynizm osłabił chęć zrobienia czegokolwiek. Macierz 2 × 2 może pomóc zespołom przełamać stare nawyki i pokazać swoje możliwości w nowym świetle. Może odmłodzić zespół wokół potencjału zmian i zainspirować innych do przyłączenia się