Właściwość docelowa jest podzielona na trzy dość szerokie kategorie, które reprezentują cel tak, jak widzi go cyberprzestępca. Pierwsza z trzech kategorii to obiekt środowiska fizycznego, obejmująca takie aspekty celu, jak jego fizyczne położenie, jego właściciel i ewentualni obrońcy które istnieją w fizycznym środowisku celu. Drugi to obiekt środowiska elektronicznego, na który składa się wszystko, od sprzętu komputerowego przypisanego do celu, po obiekt docelowy, systemy operacyjne, sieciowe systemy operacyjne i wszelkie inne technologie powiązane z celem. Wreszcie obiekt wartości składa się z elementów celu, które można uznać za wartościowe dla cyberprzestępcy; mogą one obejmować własność intelektualną, przepustowość łącza internetowego i wszelkie inne zwroty, które mogą dodać do dowolnego elementu znajdującego się w obiekcie zasobów atakującego (np. finanse lub początkowy dostęp do przyszłych celów).
Kto dzisiaj dba o Twoje systemy?
Coś, co prawie wszyscy administratorzy systemów są winni na pewnym etapie swojej kariery, to integracja artefaktów bezpieczeństwa (takich jak zapory ogniowe, urządzenia do wykrywania włamań i serwery proxy aplikacji) bez żadnego rzeczywistego przemyślenia na temat konkretnych zagrożeń, które ograniczają, integrując odpowiednią technologię – i rzeczywiście, biorąc pod uwagę, czy w wyniku integracji technologii pojawiły się nowe zagrożenia. Jak dowiesz się z tego rozdziału, poprzez staranne rozważenie, kto dokładnie dba o twoje systemy, a zatem kim jest, o co powinieneś się troszczyć, zaczynamy tworzyć sposób ustalenia nie tylko sposobu łagodzenia zagrożeń, ale niezachwianą metodologię, która pozwoli ci wyjaśnić, dlaczego określony sposób łagodzenia zagrożeń jest właściwy.
Tabele preferencji ataku
Zbadaliśmy niektóre zmienne, które mogą wpływać na sposób, w jaki cyberprzestępca odnosi się do danego profilu ataku. Jak odkryliśmy, jednymi z najbardziej znaczących zmiennych były te związane z ryzykiem ataku – inhibitory ataku. Ponadto wspomnieliśmy o sposobach, w jakie przeciwnik może zrównoważyć czynniki hamujące atak, takie jak prawdopodobieństwo wykrycia danej próby i prawdopodobieństwo przypisania danej próby wykrycia poprzez zużycie dodatkowych zasobów z obiektu zasobu (w ramach własności atakującego). Prawie każdy przeciwnik, odnosząc się do celu, rozważy szereg opcji, z których musi wybrać, które mogą dotyczyć wszystkiego, od poszczególnych systemów, które mają być celem ataku (w przypadkach, gdy celem ataku jest sieć informacji lub komputer, systemy) do sposobu, w jaki atak jest przeprowadzany na hosta docelowego. Dzięki naszej zdolności do uznania istnienia wyborów przeciwnika podczas rozważania ataku na cel, możemy zacząć rozważać powody, dla których przeciwnik wybiera jedną z opcji co więcej, powody, dla których przeciwnik preferuje jedną opcję ataku od innej. Jak podsumowaliśmy w poprzednim rozdziale, wiele czynników, które przyczyniają się do prawdopodobieństwa faktycznego przejścia przez przeciwnika ataku, przypisuje się obiektowi hamującemu przeciwnika (składnikowi własności atakującego). Dlatego też należy podjąć próbę pełnego zrozumienia opcje ataku przeciwnika i powody, dla których dany przeciwnik wybiera jedną opcję zamiast drugiej, logiczne jest założenie, że najpierw musimy zrozumieć, które zmienne ataku przyczyniają się do preferencji przeciwnika w stosunku do inhibitorów dołączonych do ataku (wartości obiektu inhibitora przeciwnika). Ta wiedza prowadzi do zrozumienia, które zmienne ataku ostatecznie wpływają na wybór opcji ataku przez przeciwnika. Niestety, zanim przejdziemy dalej, musimy omówić ostatnią część teorii: co decyduje o tym, w jaki sposób właściwości celu ataku wpływają na wartości elementów obiektu inhibitora, lub mówiąc językiem laików, na sposoby ataku cel wpływa na nastawienie przeciwnika do ryzyka.
Wpływ właściwości celu na czynniki atakujące i inhibitory
Przyjrzyjmy się każdemu z obiektów składowych właściwości docelowej, badając, w jaki sposób każdy z nich jest w stanie negatywnie lub pozytywnie wpłynąć na preferencje cyberprzestępcy dotyczące ryzyka i ostatecznie, jak każdy z nich może wpłynąć na preferencje dotyczące ataku przeciwnika.
Wpływy na własność środowiska docelowego
Właściwość target ma prawie taki sam wpływ na zachowanie atakującego (a tym samym właściwość atakującego), jak środowisko atakującego. Na kolejnych stronach omówiono niektóre sposoby, w jakie właściwość docelowa i jej wartości mogą wpływać na zachowania cyberprzestępcy.
Położenie geograficzne i fizyczne
Zmienna położenia geograficznego nieruchomości docelowej może mieć równie duże znaczenie, jak fizyczne położenie przeciwnika.
Właściwość docelowa: Lokalizacja Wpływ obiektu na postrzegane konsekwencje atrybucji
Położenie geograficzne celu często ma znaczący wpływ na postrzeganie przez cyberprzestępców tego, co się z nimi stanie, jeśli nastąpi przypisanie (identyfikacja). Powody, dla których położenie geograficzne ma wpływ, podsumowano w poniższej liście:
* Fizyczna separacja Pierwszą przyczyną tego zjawiska jest przekonanie wielu przeciwników, że im większa fizyczna separacja między nimi a celem, tym mniejsze konsekwencje atrybucji w momencie wykrycia ich ataków. W przeszłości takie przekonanie wielu dużych grup cyberprzestępców skutkowało wzrostem liczby cyberataków na kraje takie jak Korea i Chiny, co skutkowało zwiększeniem odległości geograficznej między celem a przeciwnikiem. Przekonanie, że odległość jest znaczna, często skutkuje zmniejszeniem postrzeganych konsekwencji atrybucji danej detekcji, czyniąc atak bardziej atrakcyjnym! Oczywiście często zdarza się również dokładnie odwrotnie, ponieważ wielu przeciwników będzie bardzo niechętnych angażowaniu się w ataki na cele znajdujące się w ich bliskości geograficznej – atak w takich przypadkach jest znacznie mniej atrakcyjny, biorąc pod uwagę zwiększone postrzegane konsekwencje atrybucji po wykryciu .
* „To twoje prawo, a nie moje” Innym powodem, dla którego położenie geograficzne wpływa na stosunek cyberprzestępców do konsekwencji przypisywania / identyfikacji jest brak wiedzy, jaką posiadają (lub nie mają) cyberprzestępcy na temat praw, które regulują sposób cyberataki są obsługiwane zarówno w ich kraju zamieszkania, jak iw innych państwach. to nieporozumienie często prowadzi do przekonania, że ponieważ przeciwnik nie jest mieszkańcem kraju, w którym atak ma miejsce, nie ponosi on w żaden sposób odpowiedzialności za jakiekolwiek reperkusje ataku. Przekonanie to często prowadzi do błędnego postrzegania konsekwencji atrybucji, jak miało to miejsce w przypadku aresztowania w Londynie kazachskiego przeciwnika Olega Zezowa za ataki na cele zlokalizowane w Stanach Zjednoczonych. Krótko po aresztowaniu Zezov został poddany ekstradycji do Stanów Zjednoczonych w celu przesłuchania i śledzenia.
Obiekt docelowy: Lokalizacja Wpływy obiektu na kierowców i motywatorów
Podobnie jak w przypadku inhibitorów ataku, na kierowców ataku (lub czynniki motywujące) często wpływa położenie geograficzne celu ataku. W rzeczywistości, jak zobaczymy, samo położenie celu może stanowić wystarczający powód, aby niektórzy przeciwnicy zaatakowali go. Jak widzieliśmy w przypadku tak zwanej chińsko-amerykańskiej „cyberwojny”, lokalizacje wielu celów były jedyną przyczyną ataków na nie zainicjowanych. Chociaż podczas konfliktu przeciwnicy zdawali się preferować systemy należące do rządu obcego państwa, zaatakowano setki systemów pozarządowych na podstawie tego, że ich fizyczną lokalizacją były Chiny lub Stany Zjednoczone.