Wprowadzenie
W ciągu ostatnich wpisów dowiedzieliśmy się o modelu przeciwnika, który stanowi podstawę naszych charakterystyk, a także o właściwościach komponentów modelu przeciwnika i zmiennych związanych z tymi właściwościami. Przebadaliśmy niektóre miary (lub metryki) możemy wykorzystać do określenia wartości pewnych zmiennych przeciwnika, biorąc pod uwagę zestaw obserwowalnych danych, takich jak dane dotyczące ataku lub dane dotyczące potencjalnego celu, dla którego próbujemy scharakteryzować zagrożenie. Ten rozdział ma na celu uszczegółowienie pozostałej teorii omówionej w tej książce, wprowadzając pewne zasady, które uzupełniają niektóre z wcześniej udokumentowanych teorii.
Relacje między komponentami
Jak widzieliśmy, podczas charakteryzowania cyberprzestępcy często zdarza się, że dostępne są niewystarczające dane, aby spełnić wymagania wielu z wprowadzonych wskaźników. Sytuacja ta została zilustrowana w rozdziale 4, w którym odnieśliśmy się do kilku zastrzeżeń dotyczących wskaźniki oceny narzędzi i technik ataku, które wynikają z braku danych dotyczących techniki ataku lub specyfiki narzędzia.
Wypełnianie luk
Stawiamy hipotezę, że dzięki zrozumieniu zmiennych, które wpływają na wynik pomiaru ataku, takich jak wynik przyznany określonej technice ataku, tak samo jak możemy dokonywać ustaleń dotyczących zasobów przeciwnika, inhibitory ataku z danymi dotyczącymi właściwości środowiska przeciwnika (patrz Rozdział 2), możemy również rzutować najbardziej prawdopodobne wartości nieznanych zmiennych w tych samych lub sąsiednich obiektach przeciwnika. Aby zbadać, jak możemy to zrobić, użyjmy jednego z zastrzeżeń dotyczących narzędzia ataku jako podstawy naszego przykładu. W rozdziale 4 nawiązaliśmy do sytuacji, w której musimy scharakteryzować przeciwnika za pomocą narzędzia ataku, którego pochodzenia nie jesteśmy świadomi, ale jesteśmy w stanie zaobserwować inne zmienne narzędzia, takie jak jego ładunek. Naszym celem jest znalezienie się w położeniu, w którym możemy przewidzieć prawdopodobne wartości zmiennych narzędzia ataku, które są dla nas niedostępne, takie jak prawdopodobny poziom dystrybucji narzędzia ataku.
UWAGA: Chociaż liczba możliwych scenariuszy jest prawie nieokreślona, a sposób podejścia do tego problemu będzie się nieznacznie różnić w zależności od przypadku, przy dokładnym zrozumieniu interakcji między metrykami charakteryzującymi, określenie odpowiedniej metodologii pobierania wymaganych danych powinno być uczciwe. intuicyjny.
Zaczynamy naszą charakterystykę narzędzia ataku od dostępnych nam danych (tj. Ładunku narzędzia ataku). Zacznijmy od spojrzenia na prognozowanie najbardziej prawdopodobnej wartości zmiennej „wymagania wstępne narzędzia ataku” w ramach naszej metryki charakterystyki narzędzia ataku. Technika wykorzystywana w ataku jest często typowa dla używanych narzędzi ataku; z tego samego powodu wymagania wstępne narzędzia ataku będą również (częściej niż nie) być endemiczne dla zastosowanej techniki ataku. Z tych powodów i faktu, że techniki ataku można przynajmniej częściowo scharakteryzować narzędziem implementującym odpowiednią technikę, jesteśmy w stanie uzyskać przynajmniej częściowo dokładne wyobrażenie o wymaganiach narzędzia ataku. Niektóre bardziej oczywiste przykłady obejmują to, że jeśli narzędzie ataku o nieznanej dystrybucji i ładunku wymagań wstępnych spowodowało eskalację uprawnień użytkownika do użytkownika Administrator, w większości przypadków byłoby uczciwe stwierdzenie, że warunkiem wstępnym używanego narzędzia było początkowe posiadanie lokalnego konto użytkownika. Następnie następuje dystrybucja narzędzia do ataku. Jak dowiedzieliśmy się , dystrybucja narzędzia do ataku jest użyteczna, ponieważ pozwala nam uzyskać wgląd w możliwości cyberprzestępcy. Podobnie jak w przypadku nietechnicznych wymagań wstępnych narzędzia ataku, ponownie przyjrzymy się naszej teorii technik ataku, przedstawionej w rozdziale 4, aby nam pomóc. Ponieważ techniki ataku są endemiczne dla określonych narzędzi ataku, badając poziom dystrybucji techniki ataku zaimplementowanej przez narzędzie ataku – obserwowalne poprzez obserwowalny ładunek ataku – jesteśmy w stanie przynajmniej określić dystrybucję techniki ataku w zakresie, w jakim zaimplementowana technika ataku należy do domeny publicznej, czy nie. Zbadaliśmy to, co nazwaliśmy piramidą ujawnień (lub cyber-łańcuchem pokarmowym); nawiązaliśmy do sposobu, w jaki piramida ujawnienia może być wykorzystana do dokonywania ustaleń, w tym dotyczących zdolności przeciwnika, na podstawie ich umiejscowienia w piramidzie. Tak jak możemy ocenić zdolność poprzez pozycjonowanie w piramidzie, możemy również wywnioskować zdolności poprzez technikę ataku, wywnioskowaną z ładunku ataku, tym samym odstraszając prawdopodobne położenie przeciwnika w piramidzie ujawniania. Jak wskazano w rozdziale 3, pozycja przeciwnika w piramidzie ujawnienia działa również jako miara względnego poziomu dystrybucji luki – innymi słowy, rozkład rośnie wraz ze spadkiem pozycji w piramidzie. Być może zauważyłeś, że jedna ze zmiennych narzędzia ataku ustalona w rozdziale 4 nie została jeszcze wspomniana – łatwość użycia narzędzia ataku. Jest to zamierzone, ponieważ łatwość użycia narzędzia ataku nie jest zwykle powiązana z żadnym innym narzędziem ataku lub Zresztą inne zmienne przeciwnika i dlatego nie można ich wyliczyć. Podsumowując, niełatwo jest wyliczyć łatwość, z jaką narzędzie ataku jest używane bez dostępu do samego narzędzia.