Słownik
Atrybucja to proces, w którym (upoważniony) podmiot przypisuje odpowiedzialność za cyberincydent innemu podmiotowi.
Średni okres atrybucji: średni okres atrybucji wskazuje średni czas między rokiem rozpoczęcia zdarzenia a jego przypisaniem.
Atrybucja techniczna: Atrybucja techniczna określa, kto był sprawcą cyberincydentu na podstawie kryminalistycznych dowodów elektronicznych i pozostawionych śladów technicznych. W związku z tym przypisanie techniczne może być ograniczone do zastosowanych sposobów wywołania incydentu oraz jego charakterystyki, bez identyfikowania faktycznej strony dokonującej ataku lub za niego bezpośrednio odpowiedzialnej, np. w przypadku dokonywania ataków na zlecenie (hacking-for-hire).
Atrybucja polityczna: Atrybucja polityczna to publiczne nazwanie podmiotu, który wskazany jest w jej treści jako odpowiedzialny za cyberncydent. Przedstawiciele państw dokonujący przypisania stale weryfikują kryteria pozwalające ustalić, jak skala cyberincydentu powinna wpływać na potencjalne konsekwencje publicznego przypisania odpowiedzialności politycznej i/lub prawnej określonym podmiotom.
Atrybucja prawna: Atrybucja prawna to termin określający przypisanie odpowiedzialności prawnej za naruszenie prawa międzynarodowego lub krajowego konkretnemu podmiotowi lub grupie podmiotów, np. poprzez wszczęcie postępowania karnego lub publiczne oskarżenie sprawcy cyberincydentu. Przypisanie odpowiedzialności prawnej może mieć na celu: wskazanie na odpowiedzialność prawną określonych podmiotów, zapobieganie podobnym incydentom w przyszłości, doprecyzowanie zasad prawnych dotyczących zgodnego z prawem zachowania w cyberprzestrzeni oraz standardów dowodowych dotyczących przypisania prawnego cyberincydentu.
Triada CIA to model heurystyczny, używany przez przedsiębiorstwa i organizacje do oceny, a tym samym do zapewnienia bezpieczeństwa danych. Skrót oznacza poufność, spójność I dostępność informacji (niepublicznych) Poufność (Confidentiality), Integralność (Integrity), i Dostępność (Availability) of (private) information. Decyzje podejmowane w ramach organizacji zajmujących się bezpieczeństwem informacji należy weryfikować na podstawie tych istotnych kryteriów.
Organizacje powinny korzystać z tych kategorii celem weryfikacji wewnętrznych procesów decyzyjnych, wpływających na bezpieczeństwo posiadanych przez nie danych i informacji.
Poufność: Poufność to kryterium pozwalające określić granice dostępu użytkowników do danych i informacji. Tylko osoba do tego upoważniona powinna mieć prawo dostępu do danych i informacji, ich przechowywania, wglądu do nich oraz, w razie potrzeby, zmiany tych danych i informacji. Jeśli nieupoważniona osoba uzyska dostęp z naruszeniem procedur lub protokołów, poufność danych i informacji zostanie naruszona.
Integralność: Integralność odnosi się do stanu ochrony danych i informacji przed zmianą dokonaną przez nieupoważniony podmiot. Jeśli treść danych lub informacja została zmodyfikowana przez nieupoważnionego użytkownika, integralność tych danych lub informacji zostanie naruszona. W ten sposób środki ochrony integralności zapewniają, że informacje i dane, do których użytkownik ma dostęp, są wiarygodne.
Dostępność: Dostępność odnosi się do możliwości korzystania z danych i informacji. Należy upewnić się, że upoważniony użytkownik ma dostęp do danych i informacji w dowolnym czasie i w sposób nieprzerwany. Jeśli dane i informacje nie są dostępne dla upoważnionego użytkownika, warunek dostępności nie jest spełniony.
Die Vertraulichkeit (Confidentiality) bestimmt die Grenzen der Zugriffsrechte von Nutzer:innen auf bestimmte Information. Letztlich sollen nur autorisierte Nutzer:innen das Recht haben und ausüben, auf die entsprechenden Information zuzugreifen, diese zu bewahren (wissen) und diese gegebenenfalls zu ändern. Wenn ein:e nicht berechtigte:r Nutzer:in Zugriff ohne die entsprechenden Rechte erlangt, ist die Vertraulichkeit der Information verletzt.
Die Integrität (Integrity) bezieht sich auf die Unversehrtheit von Information durch unautorisierte Veränderungen. Integritätsmaßnahmen zielen daher darauf, dass Information, auf die ein:e Nutzer:in zugreift, vertrauenswürdig sind. Wenn eine Information von einem:r unberechtigten Nutzer:in verändert wird, dann ist die Integrität dieser Information verletzt.
Die Verfügbarkeit (Availability) bezieht sich auf die Zugänglichkeit von Information. Es muss sichergestellt sein, dass eine Information von einem:r berechtigten Nutzer:in rechtzeitig und ununterbrochen zugänglich ist. Wenn eine Information für eine:n berechtigten Nutzer:in nicht zugänglich ist, dann ist deren Verfügbarkeit verletzt.
Common Vulnerability Scoring System (CVSS) to otwarty standard branżowy służący do określania wagi podatności w zabezpieczeniach w trzech kategoriach. Kategoria bazowa ocenia podatność w oparciu o wartości, które nie ulegają zmianie na linii czasu. Kategoria czasowa ocenia podatność w odniesieniu do kryteriów, które zmieniają się w czasie. Kategoria środowiskowa służy do oceny podatności w odniesieniu do wartości istotnych dla danego środowiska cyfrowego. Następnie każdej kategorii przypisywana jest wartość liczbowa od 0 do 10. W zależności od wyniku końcowego waga podatności jest klasyfikowana jako niska, średnia, wysoka lub krytyczna. Celem CVSS jest ustanowienie porównywalnego systemu pomiaru między organizacjami, a w szczególności umożliwienie wskazania najbardziej niebezpiecznych podatności i ich usuwania.
Interakcja użytkownika:Interakcja użytkownika to kryterium w kategorii bazowa Wspólnego Systemu Punktacji Podatności. To kryterium pozwala ustalić, czy działanie użytkownika (w odróżnieniu od działania podmiotu inicjującego incydent) jest niezbędne celem skutecznego wykorzystania podatności. Waga zagrożenia przypisana podatności jest tym większa, im mniej potrzebne jest działanie użytkownika, a wykorzystanie podatności zależy jedynie od inicjatora. Waga zagrożenia podatności jest niższa, jeśli konieczne jest działanie użytkownika, a jej wykorzystanie nie zależy wyłącznie od inicjatora.
Cyberatak definiuje się jako wykorzystanie technologii obliczeniowej w cyberprzestrzeni celem ingerencji w system lub wyrządzenia w nim szkód. Typowe cele cyberataków to ingerencja w dostępność informacji lub spowodowanie fizycznych zniszczeń, np. jeśli atakowane sieci są połączone z infrastrukturą krytyczną. Cyberataki bywają również nazywane "cyberatakami sieciowymi" (Cyber Network Attacks, CNA), w przeciwieństwie do "szkodliwego wykorzystywania sieci komputerowej" (Cyber Network Exploitation, CNE), które nie powoduje zakłóceń.
Kampania cybernetyczna obejmuje szereg czasowo powiązanych ze sobą operacji cybernetycznych. Powiązane ze sobą cyberncydenty mogą różnić się pod względem technicznym i operacyjnym, ale wszystkie mają nadrzędny cel strategiczny. W rezultacie kampania cybernetyczna daje atakującemu istotną przewagę w porównaniu z innymi cyberprzestępcami.
Cyberincydent oznacza pojedyncze udane techniczne naruszenie bezpieczeństwa danych lub informacji ze szkodą dla docelowego systemu komputerowego, jego systemu informatycznego, sieci lub zawartych w nich danych lub informacji. Teoretycznie cyberincydent może być również spowodowany awariami technicznymi lub błędami ludzkimi.
Operacja cybernetyczna odnosi się do pojedynczego lub wielokrotnego wykorzystania technologii informacyjnej przeciwko systemowi komputerowemu w celu osiągnięcia celów operacyjnych, np. w kontekście wojskowym. Cyberataki i cyberszpiegostwo mogą zazwyczaj realizować takie cele operacyjne. W związku z tym operacje cybernetyczne mogą być atakami sieciowymi (CNA) lub szkodliwym wykorzystaniem sieci komputerowej (CNE).
Cyberpełnomocnik to podmiot wywołujący cyberincydent z upoważnienia beneficjenta. Zarówno cyberpełnomocnik jak i beneficjent mogą być podmiotami państwowymi lub niepaństwowymi, chociaż beneficjentem jest zazwyczaj państwo. Relacja zależności między cyberpełnomocnikiem a beneficjentem może się różnić, od pełnomocników w pełni zintegrowanych z podmiotem państwowym aż do tych całkowicie od państw niezależnych i z nimi nie współpracujących. Beneficjent wykorzystuje cyberpełnomocników do ukrycia swojego udziału w cyberincydencie lub dla uwiarygodnienia braku własnej odpowiedzialności politycznej lub prawnej za taki incydent, ale także do uzupełnienia własnych zasobów w domenie cybernetycznej.
Eksfiltracja danych odnosi się do nieuprawnionego przekazywania informacji z komputera lub systemu komputerowego do nieautoryzowanego systemu. Eksfiltracja danych jest naruszeniem poufności w zakresie bezpieczeństwa informacji. Najczęstszą przyczyną są cyberncydenty inicjowane przez cyberprzestępców, ale możliwa jest ona także z wykorzystaniem środków analogowych, np. poprzez kradzież pamięci USB.
Kradzież danych to rodzaj cyberincydentu, inicjowanego celem zdobycia danych i informacji z atakowanego komputera lub systemu komputerowego. Chociaż ofiara nie traci danych i nie przestają być one dla ofiary dostępne, dane nie są już poufne. Kradzież danych może wynikać z motywacji politycznych, finansowych, ekonomicznych i osobistych. Jeśli zaangażowane są podmioty państwowe, działania takie nazywamy "cyberszpiegostwem".
Doxxing odnosi się do ujawnienia informacji bez zgody twórcy. Termin doxxing pierwotnie odnosił się do danych osobowych. W kontekście cyberincydentów dane lub informacje są zazwyczaj najpierw kradzione z wykorzystaniem hackingu. Ta kombinacja przestępnych działań jest często określana jako "hack-and-leak".
Zakłócenie przepływu danych jest rodzajem cyberincydentu, którego celem jest wyłączenie procesu przetwarzania danych lub usługi informatycznej. Zakłócenie przepływu danych wpływa na dostępność i bezpieczeństwo danych i informacji. Zakłócenie może spowodować skutek tymczasowy lub trwały. Typowymi przykładami zakłóceń są ataki typu DDoS, ataki typu defacement na witryny internetowe lub czy ataki typu Wiper.
Atak typu DDoS polega na wymuszeniu odmowy usługi świadczonej przez zaatakowany serwer. Jest destrukcyjnym cyberatakiem i polega na wywołaniu celowego przeciążenia ruchem danych zasobów ofiary w celu przerwania działania serwera internetowego. W konsekwencji takiego zmasowanego ataku dochodzi do odmowy usługi (Denial of Service, DoS) między systemem komputerowym atakującego a systemem komputerowym ofiary. Rozproszona odmowa usługi (DDoS) wywoływana może być przy wykorzystaniu dużej liczby zainfekowanych systemów komputerowych, tworzących tzw. Botnet, a docelowym systemem komputerowym ofiary. Ataki DDoS wpływają negatywnie głównie na dostępność atakowanych systemów.
Atak typu Defacement to zniszczenie strony internetowej poprzez destrukcyjny cyberatak i polega na nieautoryzowanej modyfikacji treści strony internetowej, często w połączeniu z atakami DDoS. Zwykle ten typ ataku nie powoduje poważnych i trwałych uszkodzeń docelowych systemów.
Exploit to program, który wykorzystuje luki w oprogramowaniu lub sprzęcie. Exploit może zostać wykorzystany do znalezienia luki, a następnie do zmiany sekwencji pierwotnie napisanego kodu, tak aby po modyfikacji został on aktywowany. W kontekście cyberincydentów exploity są wykorzystywane głównie w celu umożliwienia nieautoryzowanego dostępu do komputera lub systemu komputerowego.
Porwanie (hijacking) to rodzaj cyberncydentu, którego celem jest przejęcie kontroli nad komputerem lub systemem komputerowym. Porwanie obejmuje włamanie i przypisanie atakującemu dodatkowych uprawnień w kontrolowanej sieci lub sieciach. Charakterystyczne cechy techniczne tego rodzaju ataków obejmują wykorzystanie serwerów command-and-control oraz wykorzystanie inwazyjnego złośliwego oprogramowania, takiego jak malware typu wiper. Porwanie pozwala atakującemu na spowodowanie szkód nie tylko w zaatakowanych sieciach, ale także w połączonych z nimi systemach fizycznych.
Porwanie bez nadużycia: Porwanie bez nadużyciaodnosi się do cyberincydentu, w którym działający podmiot uzyskał nieuprawniony dostęp do komputera lub systemu i nadał sobie dodatkowe uprawnienia, nie dokonując jednak żadnych szkodliwych zmian w samym systemie lub urządzeniu. Podmioty działające w cyberprzestrzeni penetrują komputery lub systemy w ten sposób, gdy chcą uzyskać strategiczny dostęp celem dokonania potencjalnych przyszłych cyberincydentów, poprzez ustanowienie tzw. przyczółków (ang. beachheads).
Porwanie z nadużyciem: Porwanie z nadużyciem odnosi się do cyberincydentu, w którym podmiot atakujący z powodzeniem przeniknął do komputera lub systemu, nadał sobie dodatkowe uprawnienia, a następnie przeprowadził szkodliwe działania. Hijacking, w kontekście wielu cyberincydentów, jest warunkiem koniecznym dokonania kradzieży danych lub wywołania zakłóceń działania systemu. Istnieją jednak również inne formy nadużyć do których wykorzystywany jest hijacking, takie jak nieautoryzowane przekazywanie przelewów bankowych, umożliwione przez hacking.
Złośliwe oprogramowanie to termin zbiorczy dla wszystkich rodzajów szkodliwych programów. Celem złośliwego oprogramowania jest wywołanie niepożądanego lub szkodliwego działania atakowanych komputerów lub systemów. Z technicznego punktu widzenia prawie każde oprogramowanie może zostać przekształcone w złośliwe oprogramowanie wskutek jego szkodliwego nadużycia.
MITRE ATT&CK to publicznie dostępne wytyczne dotyczące technicznego opisu i klasyfikacji cyberncydentów. Wytyczna składa się z 14 kategorii, w których zawarte są kolejne techniki i podtechniki.
Dostęp początkowy (Initial access): Dostęp początkowy jest kategorią w ramach MITRE ATT&CK i obejmuje dziewięć technik, które wykorzystują różne wektory ataku w celu uzyskania wstępnego dostępu do komputera lub systemu.
Impakt (Impact): jest kategorią MITRE ATT&CK i obejmuje 13 technik naruszenia dostępności lub integralności informacji.
Dane właściwe to część informacji zawierająca wiadomość, która ma zostać wysłana. W kontekście cyberncydentów, dane właściwe stanowią częścią informacji, w której cyberprzestępca ukrywa złośliwe oprogramowanie jako nieszkodliwą wiadomość.
Wyłudzanie informacji to technika pozyskiwania informacji, w której przestępca podszywa się pod osobę zaufaną. W kontekście cyberincydentów, przestępcy zazwyczaj wykorzystują tą technikę w celu uzyskania wstępnego dostępu do komputera lub systemu wysyłając szkodliwe informacje, zazwyczaj za pośrednictwem poczty elektronicznej, do osoby docelowej podszywając się pod osobę zaufaną (spear phishing). Złośliwy e-mail może zawierać załącznik lub link, który prowadzi do zainfekowania danego komputera złośliwym oprogramowaniem.
Sinkholing describes a technique used to neutralise malicious attacks by directing internet activity to a different part of a network or server so that the targeted part remains secure.