Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод — атака носит случайный характер и мы попали «под раздачу» веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим — желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его «вывода из игры», а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.
При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем — от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, «предсказывать» реальные мотивы совершения тех или иных «акций».
ЗЫ. К чему я это? А сам не знаю 😉 Просто в голову пришло 😉 На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.
А почему многоуровневость?
Точно, скорее уж многовекторность.
Навскидку можно предположить, что эти данный аспект должен оцениваться при расследовании инцидентов. Вот только с методикой и инструментами этой оценки дела не очень. Алексей, будьте застрельщиком и реализуйте какой-нибудь подход в банковском стандарте?
А там уже и ФСТЭК с персданными подтянется. 🙂
В качестве инструмента навскидку можно предложить следующее — как минимум в модели угроз должно быть описание взаимосвязей угроз с целью предупреждающего описания возможного вектора распространения атаки.
Тогда при расследовании инцидента безопасник может отработать последствия не только от уже произошедшей угрозы, но и наметить перечень контрольных мероприятий по указанным направлениям атаки.
Точнее многослойность 😉 Вроде как у лука или капусты — снимаешь один слой, а там еще один. Снимаешь второй, а там третий. И т.д.
Многовекторность подразумевает разнонаправленность, но на одном уровне. А тут речь именно об иерархии мотивов.
Название статьи читай как:
"мотивация греха в современном обществе"…
Предлагаю начать с Достоевского "Бесы" и ссылочка соответствующая…
http://goo.gl/ADozx
P.S. Неужели Алексей решил САМОГО посчитать 😉
У ФСТЭКа это называется комбинированные угрозы =)