Miesiąc: sierpień 2021

Podczas charakteryzowania przeciwnika z ilością możliwych do zaobserwowania danych, które wymagają od nas próby przewidzenia najbardziej prawdopodobnych wartości nieznanych zmiennych, pomocna jest ocena, jak trafne jest nasze przypuszczenie. Analizując dane wejściowe wykorzystywane do scharakteryzowania cyberprzestępcy, jesteśmy w stanie ocenić jakość charakterystyki, oceniając, które z wykorzystanych metrycznych zmiennych wejściowych mają udowodniony związek z innymi, nieznanymi zmiennymi, potwierdzając się w ten sposób w przypadkach, gdy wyniki ich odpowiednich wskaźników „zgadzają się”. Rysunek pokazuje, w jaki sposób możemy ustalić dokładność charakteryzacji, badając relacje między wykorzystanymi zmiennymi. Zwróć uwagę, że punktacja 1 jest przyznawana zmiennej, jeśli skutkuje to potwierdzeniem innej zmiennej. Taki wynik wystąpiłby, gdyby zmienna ładunku narzędzia ataku została wypełniona w celu określenia zmiennej nieznanej techniki ataku – łatwości implementacji. Wynik 2 jest przyznawany, gdy zmienna ataku potwierdza dwie lub więcej innych zmiennych, użytych w tych samych lub sąsiadujących metrykach. Byłoby tak w przypadku, gdyby zmienna warunków wstępnych narzędzia ataku została użyta do określenia zarówno techniki ataku – wymagane zasoby nietechniczne, jak i zmienne zmniejszające technikę ataku – inhibitor. Oczywiście im bardziej znane (obserwowalne) zmienne, które mają znane relacje z innymi znanymi (obserwowalnymi) zmiennymi, tym wyższy wynik i większa dokładność charakteryzacji.

Rysunek 2 przedstawia przykład, gdzie jedynymi dostępnymi danymi wejściowymi do metryki charakterystyki narzędzia ataku (przedstawioną w rozdziale 4) jest ładunek ataku. Chociaż wynik dla tej konkretnej charakterystyki wynosi tylko 3, na podstawie wyświetlonych metryk, należy zauważyć, że w charakterystyce zwykle stosowane byłyby dodatkowe metryki, a jedynym celem diagramu jest zademonstrowanie sposobu, w jaki system punktacji byłby używany w prawdziwej charakterystyce

Podsumowanie

Metodologie i miary charakteryzacji przeciwników dają nam solidną podstawę do odpowiedzi na niektóre pytania, które zadaliśmy sobie na początku tej książki. Pytania te obejmowały: Jakie są możliwości naszego przeciwnika? Jaka jest motywacja naszego przeciwnika? I, co może najważniejsze, skąd naprawdę wiemy, że ktoś jest naszym przeciwnikiem? Niezależnie od tego, czy rozpatrywane dane kontradyktoryjne odnoszą się do wykorzystania inżynierii społecznej, dostępu do informacji poufnych w Twojej organizacji, czy też niepublikowanej luki w zabezpieczeniach, którą posiada przeciwnik, ustalone przez nas zasady, metodologie i wskaźniki mają zastosowanie ogólne. realia radzenia sobie z niektórymi bardzo realnymi zagrożeniami, w tym osobami wewnętrznymi w dużych organizacjach, tym, co środki masowego przekazu wybierają nazywać cyberterrorystami, oraz sposobami wykrywania i zarządzania tymi konkretnymi zagrożeniami. Ilość danych dotyczących przeciwnika bez granic, ale zasady pozostają takie same. Czytając pozostałe rozdziały, zastanów się, czego nauczyłeś się do tej pory; zastanów się, jak to, o czym czytasz, pasuje do modelu przeciwnika i jak odnosi się to do Ciebie i Twojej organizacji. Jeśli czytasz o insiderach, zastanów się, w jaki sposób ich dodatkowe zasoby – ich wyższy poziom początkowego dostępu do organizacji – wpływają na postrzeganie przez przeciwnika ryzyka związanego z atakiem,  i w jaki sposób może uczynić atak bardziej atrakcyjnym. do przeciwnika.

Wyobraź sobie przez chwilę, że stoisz na plaży i spoglądasz na odległą wyspę. Twój kajak siedzi obok Ciebie. Planujesz jednodniową wycieczkę na wyspę i z powrotem i zaczynasz trochę późno; musisz się upewnić, że wrócisz przed zachodem słońca. Stajesz przed wyborem. Możesz usiąść na plaży i spróbować zaplanować swoją podróż w taki sposób, aby mieć pewność, że się powiedzie. Aby to zrobić, musisz zmierzyć siłę wiatru i jego kierunek. Obliczylibyście wielkość i kierunek fal. Musiałbyś sprawdzić, czy podmuchy wiatru mogą się nasilić lub uspokoić. Musisz oszacować czas przypływów i siłę przyciągania księżyca. Musiałbyś także przypomnieć sobie o oszacowaniu wpływu prądów na Twój kurs. Mając wszystkie te informacje, będziesz musiał wykonać pewne obliczenia, aby nakreślić kurs. Alternatywnie możesz sprawdzić prognozę pogody, szybko ocenić warunki przed tobą, wejść do wody i zacząć wiosłować. Mądrym wyborem jest podniesienie wiosła. Jedynym sposobem na zrozumienie prawdziwego wpływu wiatru i fal na nasz kajak jest doświadczenie tego. Następnie możemy na bieżąco dokonywać obliczeń i dostosowywać. W ten sam sposób możemy zobaczyć, jak inne niewidoczne czynniki wpływają na kierunek naszego kajaka. Tak naprawdę nie musimy wiedzieć, czy to pływy czy prąd powodują dryfowanie naszej łodzi. Po prostu widzimy, że nasza łódź dryfuje i dokonujemy subtelnej zmiany w naszym kierunku. W spokojny dzień nie musimy często wprowadzać tych zmian. Gdyby jednak wiatr się wzmógł, tak że fale na naszej łodzi stałyby się bardziej gwałtowne, bylibyśmy sprytni, gdybyśmy dokonywali tych zmian częściej. Zamiast dostosowywać nasz kurs mniej więcej co dziesięć minut, moglibyśmy dokonywać korekt już po dwóch lub trzech ruchach wiosłem. Podoba nam się ta analogia kajakowa, ponieważ oddaje wiele niepewności, z którą wszyscy spotykamy się, gdy żyjemy. Wszyscy możemy mieć w głowie wynik do osiągnięcia – lepszą pracę, sprawniejszą organizację, lepiej prosperującą społeczność – i chcemy osiągnąć to tak szybko, jak to tylko możliwe. Rzeczywistość jest taka, że ​​naprawdę nie możemy się nauczyć, jak osiągnąć ten wynik, dopóki nie zaczniemy czegoś robić. Nie oznacza to, że nie siedzimy ani na chwilę, nie zbieramy informacji (np. Prognozy pogody) i nie myślimy. Oznacza to jednak, że nie próbujemy wymyślić idealnego planu. Nie jesteśmy sparaliżowani analizą. Nie ograniczamy naszej zdolności do działania poprzez angażowanie się w nasze lęki. Zamiast tego patrzymy w przyszłość z przekonaniem, że jesteśmy w stanie doświadczyć tego, czego nie potrafimy w pełni zrozumieć, nauczyć się i podejmować decyzje, które łączą zarówno fakty, jak i naszą intuicję. Mamy wystarczająco dużo doświadczenia, aby rozpoznać, że możemy ufać naszej intuicji, ale jesteśmy na tyle sprytni, aby zdać sobie sprawę, że możemy się mylić. Być może będziemy musieli wprowadzić poprawki. Kiedy niewidzialne siły wpływające na nasz kurs są silne i szybko się zmieniają, będziemy musieli być przygotowani do podjęcia szybkich decyzji. Zwinny lider rozumie granice naszej zdolności rozumienia i analizowania złożonych, niewidocznych systemów. Zwinni liderzy są skłonni do działania z prostego powodu: uczymy się o tych złożonych systemach jedynie działając. Jeśli chcemy szybko dokonać dużych zmian, musimy iść powoli… ale przede wszystkim musimy iść.

Po pierwszym pytaniu „powiedz mi, jak”, Twoja rozmowa kwalifikacyjna może mieć dowolną formę. Może się okazać, że zadajesz po kolei każde pytanie ze swojej listy lub spędzasz 10 minut nad jednym pytaniem, ponieważ rozmówca nie może przestać o tym mówić. Najważniejsze jest, aby rozmówca mówił i subtelnie zachęcał ją do bardziej szczegółowego omówienia rzeczy, które najbardziej ją ekscytują.

OSTRZEŻENIE

Nie wykonuj sztuczki „bądź cicho przez 60 sekund”. Bardzo dobrze jest rozpocząć rozmowę kwalifikacyjną we właściwy sposób, ale nadużywanie jej może wydawać się zimne lub manipulacyjne. Zatrzymywanie się, aby upewnić się, że nie przerywasz ani nie przerywasz rozmówcy, jest dobre, ale możesz zachować przerwy na dwie lub trzy sekundy. Kiedy już rozmawiasz z osobą, chcesz sprawić, by poczuł się ekspertem. Wymaga to aktywnego słuchania – rozpoznawania tego, co mówi osoba i zadawania pytań.

Zadawaj pytania, aby wydobyć jak najwięcej szczegółów. Chcesz zachęcić do dłuższych odpowiedzi. Najlepsze monity są otwarte i nie dają odpowiedzi „tak” lub „nie”:

• Jak długo trwa ten proces?
• Jak myślisz, dlaczego tak się dzieje?
• Jakie są konsekwencje tego wydarzenia?
• Kto jeszcze jest zaangażowany w takie decyzje?
• Gdzie jeszcze widzisz tego rodzaju błąd?
• Kiedy ostatnio wykonałeś to zadanie?

Zadawanie tego typu pytań uzupełniających nie tylko sprawia, że ​​rozmówca mówi; może całkowicie zmienić ton jego odpowiedzi. Przeczytaj tę wymianę zdań od osoby, która wcześniej przeprowadziła wywiad z KISSmetrics, firmą zajmującą się analityką internetową:

Klient: używamy już niektórych narzędzi analitycznych, które nasi inżynierowie stworzyli na zamówienie, i wydaje się, że działają dobrze. Widzimy konwersje i ruch oraz otrzymujemy raporty, gdy ich potrzebujemy.

To wygląda na niezainteresowanego klienta. Mówi mi, że ma już rozwiązanie swojego bólu. Nie okazuje frustracji. Nie narzeka na rzeczy, których nie może zrobić. Czas przejść do następnego pytania? Nie tak szybko. Warto zadać co najmniej jedno pytanie uzupełniające, aby upewnić się, że nie ma tu nic interesującego:

Prowadzący: Powiedziałeś, że możesz otrzymać raporty, kiedy ich potrzebujesz. Kiedy ostatnio potrzebowałeś raportu?

Klient: ostatni tydzień. Cóż… mogliśmy wykorzystać niektóre dane w zeszłym tygodniu, ale w rzeczywistości inżynier, który sporządza raporty, był w trakcie naprawiania dużego błędu, więc musiałem czekać kilka dni, aby go uzyskać.

Ankieter: Jak często to się zdarza, że ​​potrzebujesz danych, ale musisz na nie czekać?

Klient: Cóż, stało się to w zeszłym tygodniu. I prawdopodobnie kilka razy w tym miesiącu. Ale dla inżynierów ważniejsze jest, aby pracowali nad poprawkami błędów lub funkcjami niż uruchamianiem raportów. [długa pauza] Tak… wydaje mi się, że ostatecznie podejmuję decyzje na podstawie moich najlepszych przypuszczeń, zamiast na podstawie liczb.

Prowadzący: Jak myślisz, jak ważne są te decyzje? Jakie są konsekwencje braku tych liczb?

Klient: Szczerze mówiąc, nie było to takie ważne w tym, co mamy

zrobione do tej pory. Ale zamierzamy wprowadzić pewne zmiany, które bezpośrednio wpłyną na zarabianie. Jeśli popełnimy tam błędne przypuszczenia, stracimy pieniądze. Całkiem bezpośrednie połączenie. Fuj! Byłem tak zajęty, że jeszcze o tym nie myślałem, ale to naprawdę pilne …

Opisywaliśmy szczegółowe informacje na temat profilowania i pobierania odcisków palców użytkowników, organizacji i różnych grup na podstawie ich ujawnień online. Same zapytania wyszukiwania mogą umożliwiać profilowanie, pobieranie odcisków palców i łączenie, ale można je również łączyć z innymi formami semantycznymi, na poziomie aplikacji (w tym z polami nagłówka przeglądarki, plikami cookie i informacjami o logowaniu) oraz informacjami o sieci, aby ułatwić szybszy rozwój profilu , silniejsze powiązania z innymi użytkownikami i niepowtarzalna identyfikacja samych użytkowników. Nawet jeśli firmy wyszukujące całkowicie zniszczą swoje dzienniki, zapytania wyszukiwania mogły zostać podsłuchane podczas przechodzenia przez sieć, zarejestrowane przez docelowe witryny internetowe i zapisane w pamięci podręcznej opartej na przeglądarce na poszczególnych komputerach. Innymi słowy, mogą pozostawać w innych lokalizacjach poza okres ich życia na serwerach firm wyszukiwania.

Uwaga: Ponieważ wyszukiwarki zawierają zapytania osadzone w polu odniesienia, docelowe witryny internetowe mogą rozpocząć pobieranie odcisków palców użytkowników na podstawie ich zapytań.

Uważam, że zapytania wyszukiwania precyzyjnie identyfikują użytkowników na przestrzeni czasu, szczególnie w połączeniu z powiązanymi czynnościami, takimi jak korzystanie z zaawansowanych funkcji googlowania, jakie słowa zawierają błędy, kiedy i jak często wyszukują, długość ich zapytań, jak przeformułowują swoje zapytania jako korzystają z wyszukiwarki i jakie linki klikają w wynikach wyszukiwania. [98] Nawet jeśli mała grupa użytkowników, na przykład rodzina, ma ten sam adres IP i tę samą przeglądarkę, ta rodzina będzie wykazywać unikalne cechy, podobnie jak poszczególni członkowie rodziny. Uważam, że w tym przypadku można oddzielić wyszukiwania każdego członka rodziny z rozsądną dokładnością. Użytkownicy decydujący się na personalizację swojego interfejsu wyszukiwania i wyników radykalnie zwiększają prawdopodobieństwo pobrania odcisków palców, ponieważ wyszukiwarka musi je identyfikować przy każdym kolejnym powrocie do witryny, prawdopodobnie przy użyciu pliku cookie lub zarejestrowanego konta użytkownika. Unikalna identyfikacja może nastąpić szybko, jeśli użytkownik wielokrotnie generuje zestaw zapytań różniących się od zapytań innych użytkowników, co moim zdaniem często ma miejsce. Każde zapytanie umożliwia profilowanie użytkownika na podstawie zainteresowań i łączenie go z podobnymi użytkownikami. Z biegiem czasu i przy wystarczającej liczbie zapytań każdy użytkownik będzie wykazywał cechy lub funkcje, aby zwiększyć swoją wyjątkowość z wyższym stopniem precyzji, a wszystko to bez konieczności stosowania plików cookie lub zarejestrowanych kont użytkowników, aby pomóc w tym procesie.

Usługa w chmurze zapewnia różne zasoby online, a świadczenie usług w dużym stopniu zależy od dostępnej sieci. Istnieje wiele zagrożeń dla dostępności danych przechowywanych w środowisku chmurowym z wielu powodów. Atak na sieć chmurową lub sieci publiczne jest jednym z głównych zagrożeń. Duże centra danych w chmurze i ich sieci są atrakcyjne jako pojedynczy punkt ataku, ponieważ przechowują duże ilości danych od wielu użytkowników chmury i przedsiębiorstw. Częstość ataków w środowisku chmurowym wzrosła również z powodu zwiększonych wymagań komunikacyjnych i sieciowych wynikających z rozproszonego charakteru chmury. Dostawcy CSP mogą rościć sobie pretensje do wysokiej dostępności i bezawaryjności usług, ale wcześniej zdarzały się incydenty [6] związane z wyłączaniem wielu głównych dostawców CSP. Siła wpływu wyłączenia jest różna w zależności od sytuacji krytycznych i wyłączeń. Wiele czynników wpływa na dostępność aplikacji w chmurze, w tym architektura aplikacji, architektura centrum danych w chmurze, systemy sieciowe, architektura odporna na błędy, niezawodność oprogramowania i sprzętu używanego w usługach w chmurze oraz narażenie na błędy ludzkie i złośliwe zamiary. Ponadto istnieje obawa, że ​​klienci korzystający z chmury będą mieli poważne kłopoty, jeśli dostawca nagle zamknie swoją działalność. Dlatego poważnym problemem jest również dostępność biznesowa dostawców CSP. Klient chmury musi mieć pewność i świadomość poziomu i rodzaju usług oferowanych przez dostawcę chmury. Chociaż wielu dostawców domyślnie oferuje usługę tworzenia kopii zapasowych do przechowywania w chmurze, usługi te mogą nie być obowiązkowe i mogą być oferowane za dodatkową opłatą. Wszystkie takie szczegóły muszą być wyraźnie i jasno wyrażone w umowach SLA. Chociaż umowy SLA i kontrakty mogą próbować wzbudzić zaufanie klienta w chmurze, rozwiązanie techniczne może zapewnić klientowi większe zaufanie co do dostępności zasobów w chmurze.

Niebezpieczeństwo, jakie stwarza „slacktivism” w kontekście państw autorytarnych, polega na tym, że może on dać młodym ludziom żyjącym tam błędne wrażenie, że inny rodzaj polityki – z natury cyfrowej, ale prowadzącej do rzeczywistych zmian politycznych i opartej całkowicie na kampaniach wirtualnych , petycje online, śmieszne komiksy polityczne w Photoshopie i wściekłe tweety – są nie tylko wykonalne, ale w rzeczywistości lepsze od nieskutecznej, nudnej, ryzykownej i, w większości przypadków, przestarzałej polityki praktykowanej przez konwencjonalne ruchy opozycyjne w ich krajach. Ale pomimo jednego lub dwóch wyjątków, prawie wcale tak nie jest. Co więcej, pustka rozrywkowa wypełniona przez Internet – możliwość ucieczki od makabrycznej i nudnej rzeczywistości politycznej autorytaryzmu – sprawiłaby, że następne pokolenie protestujących rzadziej stało się częścią tradycyjnej opozycyjnej polityki. Chęć porzucenia starych sposobów uprawiania polityki jest szczególnie silna w krajach, w których istnieją słabe, nieskuteczne i zdezorganizowane ruchy opozycyjne; często bezsilność takich ruchów w walce z rządami generuje więcej gniewu wśród młodych ludzi niż ich występki. Ale czy nam się to podoba, czy nie, takie ruchy są często jedyną nadzieją, jaką mają takie społeczeństwa. Młodzi ludzie nie mają innego wyjścia, jak tylko przyłączyć się do nich i spróbować je ulepszyć. Potępienie ich rządów i ubieganie się o stały pobyt na Twitterze nie jest rozwiązaniem, które prawdopodobnie ożywi konający proces polityczny w wielu z tych krajów. „Jeśli chodzi o ich wpływ [na świat arabski, nowe media], wydają się bardziej łagodzić stres niż mechanizm zmian politycznych”, pisze Rami Khouri, naczelny libańskiego Daily Star, który obawia się, że ogólny wpływ takich technologii na polityczny sprzeciw na Bliskim Wschodzie może być negatywny. „Blogowanie, czytanie stron internetowych o charakterze politycznym lub przekazywanie prowokacyjnych wiadomości tekstowych przez telefon komórkowy to jest. . . satysfakcjonujące dla wielu młodych ludzi. Takie działania jednak zasadniczo przenoszą jednostkę ze sfery uczestnika do sfery widza i przekształcają to, co w innym przypadku byłoby aktem politycznego aktywizmu, mobilizacji, demonstracji lub głosowania, w akt pasywnej, nieszkodliwej osobistej rozrywki ”. Pan Khouri może nieco wyolbrzymiać sprawę – działacze cyfrowi na Bliskim Wschodzie mogą pochwalić się kilkoma osiągnięciami, szczególnie jeśli chodzi o dokumentowanie brutalności policji – ale jego ogólne obawy dotyczące długoterminowego wpływu aktywizmu cyfrowego na politykę w ogóle jest dobrze uzasadnione. Widząc, jak zderzają się światy polityki offline i online w przypadku Białorusi, mojego rodzinnego kraju, dostrzegam pewien triumfalizm polityki online wśród młodego pokolenia. Wielu młodych ludzi, sfrustrowanych niezdolnością opozycji do rzucenia wyzwania twardemu władcy kraju, zaczyna się zastanawiać, dlaczego mieliby w ogóle przejmować się słabo uczęszczanymi ratuszami, sfałszowanymi wyborami, wygórowanymi grzywnami i nieuchronnym więzieniem, jeśli pozwala na to internet uprawianie polityki zdalnie, anonimowo i tanio. Ale okazało się to tylko utopijnymi marzeniami: żadne gniewne tweety ani wiadomości tekstowe, nieważne jak elokwentne, nie były w stanie ożywić demokratycznego ducha mas, które w dużej mierze utonęły w bezdennym zbiorniku wirowania i hedonizm, stworzony przez rząd, który przeczytał jego Huxley. Kiedy większość Białorusinów korzysta z internetu, aby zajadać się darmową rozrywką na YouTube i LiveJournal, szukając ukojenia w strasznych realiach politycznych prawdziwego świata, upolitycznianie wymaga czegoś więcej niż tylko wysyłania im próśb o dołączenie do antyrządowych grup na Facebooku, bez względu na to, jak przekonujące są one. Podczas gdy decydenci nie powinni ignorować wielu sukcesów aktywistów, którzy wykorzystali Internet i media społecznościowe na swoją korzyść na całym świecie, od kampanii przeciwko Pervezowi Musharafowi w Pakistanie, przez zawstydzanie Shell za jego wątpliwą działalność w Nigerii, po walkę z mizoginistycznymi fundamentalistami w Indiach, Należy również pamiętać, że nawet skuteczne kampanie takie zawsze pociągają za sobą ukryte koszty społeczne, kulturowe i polityczne. Jest to jeszcze bardziej istotne, jeśli atakują potężne autorytarne państwo. Jednym z głównych powodów, dla których protesty przeciwko FARC odniosły taki sukces w Kolumbii, było to, że sprzeciwiali się grupie tak bardzo znienawidzonej przez kolumbijski rząd. Kiedy ta sama grupa aktywistów wykorzystała swoją wiedzę z Facebooka do rozpoczęcia podobnych protestów przeciwko Chavezowi w Wenezueli we wrześniu 2009 r., Spodziewając się, że do protestów na całym świecie przyłączy się nawet sześćdziesiąt milionów ludzi, pojawiło się tylko kilka tysięcy (ten Chavez rozpoczął inteligentną kampanię propagandową i przeciwstawił się „oddolnym” protestom również nie pomogło). Ilekroć Hillary Clinton zachwala siłę sieci społecznościowych w zmienianiu świata, a David Miliband, jej były brytyjski odpowiednik, mówi o „fali ludności cywilnej” i zastanawia się, jak nowe media mogą pomóc „napędzać dążenie do sprawiedliwości społecznej”, należy dokładnie przeanalizować te twierdzenia dokładnie. Chociaż może być prawdą, że pojawiają się nowe formy aktywizmu, mogą one raczej powodować erozję niż rozszerzanie starszych, skuteczniejszych form aktywizmu i organizowania się.

Wprowadzenie

W ciągu ostatnich wpisów dowiedzieliśmy się o modelu przeciwnika, który stanowi podstawę naszych charakterystyk, a także o właściwościach komponentów modelu przeciwnika i zmiennych związanych z tymi właściwościami. Przebadaliśmy niektóre miary (lub metryki) możemy wykorzystać do określenia wartości pewnych zmiennych przeciwnika, biorąc pod uwagę zestaw obserwowalnych danych, takich jak dane dotyczące ataku lub dane dotyczące potencjalnego celu, dla którego próbujemy scharakteryzować zagrożenie. Ten rozdział ma na celu uszczegółowienie pozostałej teorii omówionej w tej książce, wprowadzając pewne zasady, które uzupełniają niektóre z wcześniej udokumentowanych teorii.

Relacje między komponentami

Jak widzieliśmy, podczas charakteryzowania cyberprzestępcy często zdarza się, że dostępne są niewystarczające dane, aby spełnić wymagania wielu z wprowadzonych wskaźników. Sytuacja ta została zilustrowana w rozdziale 4, w którym odnieśliśmy się do kilku zastrzeżeń dotyczących wskaźniki oceny narzędzi i technik ataku, które wynikają z braku danych dotyczących techniki ataku lub specyfiki narzędzia.

Wypełnianie luk

Stawiamy hipotezę, że dzięki zrozumieniu zmiennych, które wpływają na wynik pomiaru ataku, takich jak wynik przyznany określonej technice ataku, tak samo jak możemy dokonywać ustaleń dotyczących zasobów przeciwnika, inhibitory ataku z danymi dotyczącymi właściwości środowiska przeciwnika (patrz Rozdział 2), możemy również rzutować najbardziej prawdopodobne wartości nieznanych zmiennych w tych samych lub sąsiednich obiektach przeciwnika. Aby zbadać, jak możemy to zrobić, użyjmy jednego z zastrzeżeń dotyczących narzędzia ataku jako podstawy naszego przykładu. W rozdziale 4 nawiązaliśmy do sytuacji, w której musimy scharakteryzować przeciwnika za pomocą narzędzia ataku, którego pochodzenia nie jesteśmy świadomi, ale jesteśmy w stanie zaobserwować inne zmienne narzędzia, takie jak jego ładunek. Naszym celem jest znalezienie się w położeniu, w którym możemy przewidzieć prawdopodobne wartości zmiennych narzędzia ataku, które są dla nas niedostępne, takie jak prawdopodobny poziom dystrybucji narzędzia ataku.

UWAGA: Chociaż liczba możliwych scenariuszy jest prawie nieokreślona, ​​a sposób podejścia do tego problemu będzie się nieznacznie różnić w zależności od przypadku, przy dokładnym zrozumieniu interakcji między metrykami charakteryzującymi, określenie odpowiedniej metodologii pobierania wymaganych danych powinno być uczciwe. intuicyjny.

Zaczynamy naszą charakterystykę narzędzia ataku od dostępnych nam danych (tj. Ładunku narzędzia ataku). Zacznijmy od spojrzenia na prognozowanie najbardziej prawdopodobnej wartości zmiennej „wymagania wstępne narzędzia ataku” w ramach naszej metryki charakterystyki narzędzia ataku. Technika wykorzystywana w ataku jest często typowa dla używanych narzędzi ataku; z tego samego powodu wymagania wstępne narzędzia ataku będą również (częściej niż nie) być endemiczne dla zastosowanej techniki ataku. Z tych powodów i faktu, że techniki ataku można przynajmniej częściowo scharakteryzować narzędziem implementującym odpowiednią technikę, jesteśmy w stanie uzyskać przynajmniej częściowo dokładne wyobrażenie o wymaganiach narzędzia ataku. Niektóre bardziej oczywiste przykłady obejmują to, że jeśli narzędzie ataku o nieznanej dystrybucji i ładunku wymagań wstępnych spowodowało eskalację uprawnień użytkownika do użytkownika Administrator, w większości przypadków byłoby uczciwe stwierdzenie, że warunkiem wstępnym używanego narzędzia było początkowe posiadanie lokalnego konto użytkownika. Następnie następuje dystrybucja narzędzia do ataku. Jak dowiedzieliśmy się , dystrybucja narzędzia do ataku jest użyteczna, ponieważ pozwala nam uzyskać wgląd w możliwości cyberprzestępcy. Podobnie jak w przypadku nietechnicznych wymagań wstępnych narzędzia ataku, ponownie przyjrzymy się naszej teorii technik ataku, przedstawionej w rozdziale 4, aby nam pomóc. Ponieważ techniki ataku są endemiczne dla określonych narzędzi ataku, badając poziom dystrybucji techniki ataku zaimplementowanej przez narzędzie ataku – obserwowalne poprzez obserwowalny ładunek ataku – jesteśmy w stanie przynajmniej określić dystrybucję techniki ataku w zakresie, w jakim zaimplementowana technika ataku należy do domeny publicznej, czy nie. Zbadaliśmy to, co nazwaliśmy piramidą ujawnień (lub cyber-łańcuchem pokarmowym); nawiązaliśmy do sposobu, w jaki piramida ujawnienia może być wykorzystana do dokonywania ustaleń, w tym dotyczących zdolności przeciwnika, na podstawie ich umiejscowienia w piramidzie. Tak jak możemy ocenić zdolność poprzez pozycjonowanie w piramidzie, możemy również wywnioskować zdolności poprzez technikę ataku, wywnioskowaną z ładunku ataku, tym samym odstraszając prawdopodobne położenie przeciwnika w piramidzie ujawniania. Jak wskazano w rozdziale 3, pozycja przeciwnika w piramidzie ujawnienia działa również jako miara względnego poziomu dystrybucji luki – innymi słowy, rozkład rośnie wraz ze spadkiem pozycji w piramidzie. Być może zauważyłeś, że jedna ze zmiennych narzędzia ataku ustalona w rozdziale 4 nie została jeszcze wspomniana – łatwość użycia narzędzia ataku. Jest to zamierzone, ponieważ łatwość użycia narzędzia ataku nie jest zwykle powiązana z żadnym innym narzędziem ataku lub Zresztą inne zmienne przeciwnika i dlatego nie można ich wyliczyć. Podsumowując, niełatwo jest wyliczyć łatwość, z jaką narzędzie ataku jest używane bez dostępu do samego narzędzia.

Korzystając z tej umiejętności, zwinny lider pomaga grupie w wyrażaniu jej marzeń, a następnie czyni je na tyle namacalnymi, aby można je było realizować. Jak można się domyślić, należy zacząć od zadania trzech pytań: Co byśmy zobaczyli? Co byśmy poczuli? Czyje życie byłoby inne i jak? Zostaw czas na merytoryczną i nieco meandrującą rozmowę – chociaż prawdopodobnie nie zajmie to tak długo, jak niektóre rozmowy o stwierdzeniach wizji! Postaraj się o co najmniej trzy stwierdzenia dotyczące wyniku – niekoniecznie jedną odpowiedź na każde z pytań (czasami jedno lub więcej pytań po prostu nie łączy się z konkretnym pojęciem), ale trzy lub cztery stwierdzenia w sumie. Kusi, by po prostu zagłosować nad najpopularniejszymi stwierdzeniami i przejść dalej. Oprzyj się tej pokusie i pozwól, aby znalezienie tych, które naprawdę rezonują, zajmie tyle czasu, ile potrzeba, w granicach rozsądku – z naszego doświadczenia wynika, że ​​od 20 do 40 minut jest prawie właściwe. Po stwierdzeniu, jak mógłby wyglądać pomyślny wynik, wróć do każdego z nich i podaj kilka sposobów, w jakie możesz to zmierzyć jakość. Pamiętaj, że (jeszcze) nie zobowiązujesz się do wykonania pomiaru – na tym etapie po prostu starasz się upewnić, że każdy z was rozumie wynik w ten sam sposób. Na razie masz swobodę zaproponowania kosztownego badania podłużnego lub drogiego systemu śledzenia (oczywiście, zanim faktycznie rozpoczniesz projekt, będziesz chciał powrócić do rozmowy o tym, jak monitorować postęp i oceniać wyniki). Dopiero wtedy, gdy jesteśmy pewni, czego chcemy – w szczegółach – możemy naprawdę do tego dążyć. Ta umiejętność pozwala zwinnym liderom kierować grupami w dialogu, który jest potrzebny, aby dojść do wspólnego zobowiązania do wspólnego celu. Mając jasny obraz sukcesu i sposób, w jaki można go zmierzyć, grupa jest gotowa rozważyć działania, które przyniosą ten sukces.

Właśnie ukończyłeś scenariusz otwierający i wyjaśniłeś, jak ważne jest, aby rozmówca – ekspert – podzielił się wszystkim, co wie. Oto, co stanie się naturalnie: Twój rozmówca nie chce zdominować rozmowy (nawet jeśli tylko go do tego zachęcałeś!). Powie jedno lub dwa zdania i przestanie. Jak przekonasz kogoś do złamania naszych zakorzenionych norm społecznych i kontynuowania rozmowy? Zamknij się i słuchaj. Mówisz początek, pytasz pierwsze „Powiedz mi o tym, jak… ”pytanie i czekasz. Spójrz na zegar i nie mów ani słowa przez pełne 60 sekund. Sześćdziesiąt sekund to dużo czasu. Będziesz chciał coś powiedzieć, aby przerwać ciszę lub przejść do następnego pytania. Nie. Wskakując zbyt szybko, sygnalizujesz, że rozmówca powiedział wystarczająco dużo i że nie chcesz słuchać więcej. Twoja próba przerwania ciszy będzie wskazówką, że jedno lub dwa zdania są na odpowiednim poziomie szczegółowości i zacznie udzielać krótkich, płytkich odpowiedzi. To wcale nie jest to, czego chcesz!

Zamiast mówić, niech zajdzie cisza. Niedawno widziałem tweeta, który sugerował dosłowne naciśnięcie przycisku wyciszania telefonu, aby uniemożliwić rozmowę. Właściwie to nie polecam: jest to zauważalne, gdy drugi koniec linii jest całkowicie cichy i brzmi to jak przerwane połączenie. Nie chcesz, aby rozmówca przerywał sobie i pytał: „Cześć? Jesteś tam jeszcze? Czy cię straciłem? ” Utrzymuj subtelne dźwięki twojego oddechu i słuchania. Jeśli zachowasz ciszę, większość ludzi będzie dalej mówić * i zwykle to właśnie te szczegóły – a nie podsumowanie – zawierają przydatne spostrzeżenia. (Jeśli rozmówca nie zaczyna ponownie mówić lub wydaje się naprawdę niekomfortowy, być może trzeba będzie go szturchnąć. Zazwyczaj nie ma takiej potrzeby). Zmuszenie go do kontynuowania rozmowy w pierwszej rozmowie nadaje ton. Naprawdę miałeś na myśli to, co powiedziałeś; będziesz głównie słuchać. Teraz Twój rozmówca wie, że możesz podać długie, szczegółowe opisy.

Rozważ dwa ważne aspekty cenzury wyszukiwania: autocenzurę własnych działań i cenzurę ze strony firmy wyszukującej z własnej woli lub na żądanie organizacji rządowej. Gdy użytkownik dokonuje samoocenzury z powodów związanych z bezpieczeństwem, takich jak przekazywanie dzienników rządowi lub uważa, że ​​wyszukiwania zostaną wykorzystane w niewłaściwy sposób, ogranicza on możliwości, jakie oferuje wyszukiwanie. To jest bardzo zły stan – kiedy użytkownicy są uwarunkowani, by ograniczać swoją eksplorację wiedzy, ludzkość będzie cierpieć. Jednak, jak opisano w rozdziale 1, „Wyszukiwanie w Google”, użytkownicy sieci mają dobry powód do niepokoju. [86] Trzeba przyznać, że w dzisiejszym środowisku może nie być innego naprawdę skutecznego rozwiązania niż w ogóle nie wpisywanie zapytania, ale patrząc w przyszłość, wierzę, że możliwe są lepsze rozwiązania.

Uwaga: W przeciwieństwie do wcześniejszych utopijnych teorii Internetu, rządy nie wymagają wiele wysiłku, aby spowodować, że pewne informacje po prostu znikną dla ogromnej liczby ludzi.

Cenzura na poziomie firmy lub rządu jest taka sama . Być może najlepszym przykładem jest cenzura Google w Chinach, gdzie Google uruchomił wersje swoich witryn z wyszukiwaniem i wiadomościami, które cenzurowały treści niepożądane dla chińskich urzędników. Jako dowód na plastyczność zasad korporacyjnych, Google wyciągnął swoje „Google nie cenzuruje wyników żadnego wyszukiwania hasło ”z Centrum pomocy Google. Początkowo Sergey Brin próbował bronić stanowiska ze względu na większy dostęp, że mimo cenzury sytuacja byłaby lepsza dla chińskich internautów. Google przyznał później, że narusza swoje zasady w Chinach. Być może zobaczymy poprawę: Sergey Brin, jeden ze współzałożycieli Google, przyznał: „Na poziomie biznesowym decyzja o cenzurowaniu… była ujemna netto”. Kluczową ideą jest tutaj to, że cenzura żyje i ma się dobrze w XXI wieku, szczególnie w odniesieniu do sieci i naszych własnych myśli