Ta kategoria dotyczy celowego umieszczenia osoby wewnątrz organizacji w celu uzyskania dostępu do informacji wewnętrznych i zasobów sieciowych. Pozwala to na obejście kontroli bezpieczeństwa obwodowego lub dostęp do zamkniętej sieci bez łączności zewnętrznej. W związku z tym mechanizmy służące rozróżnieniu motywacji osób z zewnątrz mają zasadnicze znaczenie. Modele takie jak Warm Touch można rozszerzyć, aby umożliwić wykrywanie i scharakteryzowanie insiderów, którzy nie pojawiają się w sieci przez pewien czas pod wpływem psychologicznych czynników wewnętrznych, ale raczej systematycznie sondują i naruszają sieć wewnętrzną. Termin „insider” również zasługuje na dyskusję. Dzisiejsze środowisko technologii informatycznych często obejmuje infrastrukturę sieciową zaprojektowaną tak, aby pomieścić organizacje zróżnicowane geograficznie, a także outsourcing kluczowych funkcji. Oznacza to, że umieszczanie informacji poufnych musi obejmować nie tylko umieszczanie personelu w fizycznych granicach przedsiębiorstwa, ale także staż u wykonawcy lokalizacji, obiekty outsourcingowe, a nawet centra operacyjne lub serwisowe obsługujące sieć przedsiębiorstwa. Jak zauważył jeden z ekspertów, kult Aum Shinrikyo miał szerokie kontrakty na wsparcie IT w japońskim rządzie i przemyśle. Xxiv Co więcej, Aum Shinrikyo wykonywał te kontrakty jako podwykonawcy dla innych firm, co sprawia, że organizacje prawie nie mogą wiedzieć, kto rozwija oprogramowanie. Jako podwykonawcy, kult mógł instalować konie trojańskie, aby w późniejszym czasie przeprowadzać lub ułatwiać cyberataki terrorystyczne. . Pojawiły się również dowody na to, że programy szkoleniowe w znanych organizacjach terrorystycznych szkolą osoby w korzystaniu ze standardowych narzędzi biurowych, takich jak edytory tekstu i arkusze kalkulacyjne. najniższy wspólny mianownik (np. zwykli użytkownicy i pracownicy tymczasowi) do docelowej sieci. Jeśli uzyskany zostanie elektroniczny dostęp do informacji poufnych, agent zagrożenia może założyć tylne drzwi lub przeprowadzić mapowanie sieci. Jeśli uzyskany zostanie fizyczny dostęp do informacji poufnych, agent zagrożenia może podłączyć nieautoryzowane urządzenia do sieci, aby utworzyć punkt dostępu dla zewnętrznych agentów zagrożeń, aby uzyskać dostęp za pośrednictwem tunelowania internetowego lub połączenia telefonicznego. Podczas niedawnej konferencji na temat zagrożeń cyberterroryzmem opisano scenariusz obejmujący fizyczny dostęp do informacji poufnych i umieszczenie wrogich urządzeń „czarnych skrzynek” w sieci wewnętrznej, do których można było uzyskać dostęp za pośrednictwem połączenia bezprzewodowego. Insider może naruszyć integralność, poufność i dostępność informacji i usług, a insider celowo umieszczony w złych zamiarach prawdopodobnie z powodzeniem wykorzysta wszystkie trzy.
Przechwytywanie danych / Wąchanie / Gromadzenie informacji
Kategoria ataków polegających na przechwyceniu / podsłuchiwaniu / zbieraniu informacji obejmuje różne mechanizmy, dzięki którym agenci mogą uzyskać informacje o docelowych systemach i sieciach. Chociaż ataki te mają zazwyczaj charakter pasywny, zapewniają nieocenione wskazówki dotyczące planowania i wykonywania późniejszych ataków. Można zastosować czujniki programowe i sprzętowe. Funkcję tę można uznać za analogiczną do obowiązującego wojskowego „rozpoznania”. Faza zbierania informacji może być również wykorzystana do bezpośredniego wsparcia zaawansowanego złośliwego kodu, który ma na celu stworzenie „list trafień” podatnych na ataki komputerów, które są atakowane w pierwszej fazie uwalniania robaka, maksymalizując w ten sposób początkowe uszkodzenia i szybkość rozprzestrzeniania się robaka .
Złośliwy kod
Ataki złośliwego kodu mają miejsce, gdy zewnętrzne podmioty próbują zainstalować niepożądany kod na komputerze ofiary, poprzez bezpośrednie włamanie lub oszukanie użytkowników w celu wykonania kodu w ich systemach. lub dane osobowe atakującym, a nawet udostępnianie zdalnego obiektu, za pośrednictwem którego osoba atakująca może kontrolować zaatakowany host. Ataki złośliwego kodu, będące jednym z najbardziej destrukcyjnych i coraz bardziej popularnych zagrożeń dla sieci komputerowych na całym świecie, wymagają niewielkich nakładów finansowych, aby je utworzyć, szybko rozprzestrzenić i wygenerować ogromne zagrożenie dla ich autorów. Według raportu Riptech Corporation Q1 / Q2 – Internet Security Threat Report, liczba ataków na sieci wzrosła o 28% od początku 2002 r. I według przewidywań będzie rosnąć w tempie 64% rocznie. Xxv Szacuje się, że w jednym incydent, robak Code Red, wydany po raz pierwszy w lipcu i sierpniu 2001 r., zainfekował miliony serwerów i spowodował szkody w wysokości 2,6 miliarda dolarów. Ataki ze złośliwym kodem mogą być bezpośrednie lub pośrednie, co omówiono w poniższych sekcjach.
Bezpośrednie ataki złośliwego kodu
Bezpośrednie ataki złośliwego kodu mają miejsce, gdy wrogie jednostki umieszczają aktywny lub uśpiony złośliwy kod w niestandardowym lub komercyjnym gotowym oprogramowaniu (COTS) przed jego wydaniem, potajemnie lub pod auspicjami legalnego zlecenia pracy i wykonują kod na zainfekowanym maszyn po ich dystrybucji. W jednym przypadku napastnicy wysłali dyski kompaktowe niczego niepodejrzewającym osobom z wewnątrz korporacji, zawierające oprogramowanie tunelujące, aby pomóc im w przyszłym ataku. Chociaż nie są tak powszechne jak pośrednie ataki złośliwego kodu, bezpośrednie ataki złośliwego kodu są szczególnie trudne do wykrycia, ponieważ są zwykle osadzone w legalnym kodzie i rozprowadzane wraz z nowymi wewnętrznymi wersjami oprogramowania wewnątrz zabezpieczeń sieciowych.
Pośrednie ataki złośliwego kodu
Pośrednie ataki złośliwego kodu, w tym wirusy, konie trojańskie i robaki, są zazwyczaj samoczynnie rozprzestrzeniającymi się plikami wykonywalnymi, rozsyłanymi przez źródło za pośrednictwem połączeń IP na inne niespecyficzne adresy IP, konta pocztowe lub komunikacyjne, z zamiarem wywołania różnorodnych błędów anonimowe komputery docelowe. Ataki mogą powodować wiele problemów dla zainfekowanych maszyn, od obniżenia wydajności, przez ujawnienie danych osobowych, po całkowitą utratę możliwości systemu lub zawartości.