Не все атакующие нашу сеть "враги" одинаковы. Давайте посмотрим на различные характеристики "как-бы грабителей" Форта Нокс и сравним их с различными типами атакующих, которые стараются получить доступ в нашу сеть.

Выбор цели
Одно из трех основных различий между преступниками заключается  в том, как они выбирают цель.  Можно многое понять об угрозах, разобравшись в том, как они добиваются желаемого для себя.

На золотом крыльце сидели ...
Когда похититель дамских сумочек осматривается вокруг, чтобы найти жертву, он ждет удобного случая (большая сумочка, маленькая женщина). Он не имеет никакой гарантии, что получит от этого что-либо существенное и ничего не знает заранее о своей жертве. Это то, что называется "случайное преступление", и вряд ли оно может случиться в Форте Нокс. В сфере информационной безопасности атаки, которые имеют своей целью какие-нибудь старые компьютеры, встречаются часто. Затрачиваются минимальные силы, и чтобы получить от этого прибыль, надо "заразить" много целей. Что-нибудь да выпадет…

Закрытые цели
Никто не сможет случайно когда-нибудь ограбить Форт Нокс. Если даже реальная попытка будет сделана, то цель будет детально изучена, поскольку преступление может принести очень большой "доход".
Аналогично и целевые атаки на сеть имеют специфические цели, начиная от попытки получения доступа к закрытой информации (шпионаж), перевода денег с чужого счета на свой, повреждения критичных Интернет- или инфраструктурных ресурсов (устройства, коммуникации), до создания различных схем вымогания. Подобные типы атак могут принести значительно больше ущерба, чем случайные атаки, но их и осуществить значительно сложнее.

Подготовка
Второе главное отличие между различными типами взломщиков - как в физическом, так и кибернетическом мире - это уровень подготовки, требуемый для проведения атак. Для большинства "обычных преступников" существующее давление (пища, наркотики, необходимость оплаты счетов, наконец) принуждает их совершать импульсивные преступления, и подготовка к ним минимальна. С другой стороны, группа преступников, которая планирует ограбить Форт Нокс, вынуждена потратить много времени на исследование объекта и подготовку грабежа.
В сфере сетевой безопасности когда атакующая группа аккуратно планирует и проводит направленную атаку, это называется элитная угроза. Подобный тип угроз начинается с разведки цели, иногда называемой fingerprinting. Продвинутые преступники затем начинают продумывать атаку, которая позволит им получить желаемое и избежать обнаружения. Хорошо задуманный сбор информации и изобретательное планирование - вот две основные "приметы" элитных взломщиков. Поскольку у них есть время для разработки стратегии преступления, которая может обойти механизмы автоматического обнаружения, они могут использовать опытных аналитиков, которые расширяют их возможности.

Ресурсы
Другая проблема, с которой сталкиваются любые преступники, надеющиеся ограбить Форт Нокс, это доступность ресурсов. Защита форта включает в себя сотни солдат, снабженных оборудованием, стоящим сотни миллионов долларов. Для достижения успеха в преодолении наиболее защищенной системы в мире требуется значительное количество оборудования и денег.
В Интернете большое количество обычных хакерских атак осуществляется необученными и неумелыми псевдо-хакерами, обычно называемыми "скрипт-детками". Они создают вредоносное ПО, не предназначенное для атаки на какую-то определенную цель, и не имеют денег для поддержки своих атак. С другой стороны элитные взломщики часто затрачивают много ресурсов для осуществления своих атак, особенно в тех случаях, когда преступление может принести значительную прибыль.
Спонсируемые государством элитные атаки (общепринятое название - advanced persistent threat или APT) обладают потенциалом получения практически "бездонных мешков" наличных, да и поддерживаемый корпорациями шпионаж также часто имеет неплохое финансирование.
Кроме денег на успех атаки влияет количество людей, принимающих в ней участие. Кибер-атаки, которые совместно осуществляются многочисленными, хорошо снабженными и имеющими средства взломщиками, имеют значительно больше шансов на успех и представляют существенно большую угрозу, чем беспорядочные и неподготовленные атаки.

Заключение
Обсудив эти три категории характеристик взломщиков, мы можем сделать вывод, что хорошо подготовленные, имеющие значительные ресурсы группы взломщиков, имеющие к тому же достаточно времени, представляют собой значительную опасность, когда нацеливаются на ценную мишень. Если механизмы обнаружения, такие как файерволы, системы предотвращения вторжений на базе сигнатур и  мониторинг логов сегодня легко могут защитить от "похитителей дамских кошельков", то элитные взломщики или APT для своего обнаружения требуют наличия качественных средств и технологий в руках опытных аналитиков. В следующей и последней части наших уроков мы рассмотрим процедуры реагирования на инциденты, необходимые для противодействия таким элитным атакам.