정답: A
섹션: 위험, 대응 및 복구
설명/참조:
비즈니스 공격은 경쟁 인텔리전스 수집 및 컴퓨터 관련 공격을 통한 정보 손실에 관한 것입니다. 이러한 공격은 영업 비밀과 평판의 손실로 인해 많은 비용이 소요될 수 있습니다.
정보 공격은 군사 데이터 및 조사 보고서가 포함된 민감한 군사 및 법 집행 파일을 목표로 합니다.
금융 공격은 은행 및 대기업에 대한 사기와 관련됩니다.
원한 공격은 공격자가 좋아하지 않는 일을 한 개인과 회사를 대상으로 합니다.
CISSP for Dummies 책은 다양한 유형의 공격에 대해 잘 설명하고 있습니다. 발췌문은 다음과 같습니다.
테러 공격
테러리즘은 인터넷의 여러 수준에 존재합니다. 2001년 4월, 중국과 미국의 긴장 관계(하이난 섬에 미 해군 정찰기가 불시착한 결과) 동안 중국 해커(사이버 테러리스트)는 미국을 포함한 미국의 주요 기반 시설을 교란하기 위한 대대적인 노력을 시작했습니다.
정부와 군사 시스템.
2001년 9월 11일 미국에 대한 테러 공격 이후 일반 대중은 인터넷 테러의 정도를 뼈저리게 인식하게 되었습니다. 테러 조직과 세포는 온라인 기능을 사용하여 공격을 조정하고, 자금을 이체하고, 국제 상거래에 피해를 입히고, 중요 시스템을 교란하고, 선전을 전파하고, 핵무기, 생물학 및 화학 무기를 포함한 테러 도구 및 기술 개발에 대한 유용한 정보를 얻습니다.
군사 및 정보 공격
군사 및 정보 공격은 기밀 법 집행 기관이나 군사 정보를 찾는 범죄자, 반역자 또는 외국 정보 요원에 의해 자행됩니다. 이러한 공격은 전쟁 및 분쟁 기간 동안 정부에 의해 수행될 수도 있습니다.
금융 공격
은행, 대기업, 전자상거래 사이트는 모두 탐욕에 의한 금융 공격의 대상입니다. 금융 공격은 자금을 훔치거나 횡령하거나, 온라인 금융 정보에 액세스하거나, 개인이나 기업을 갈취하거나, 고객의 개인 신용 카드 번호를 얻으려고 할 수 있습니다.
비즈니스 공격
기업은 점점 더 많은 컴퓨터 및 인터넷 공격의 표적이 되고 있습니다. 이러한 공격에는 경쟁 정보 수집, 서비스 거부 및 기타 컴퓨터 관련 공격이 포함됩니다. 기업은 전문 지식 부족을 포함하여 여러 가지 이유로 표적이 되는 경우가 많습니다. 보안 인식이 높아졌음에도 불구하고 특히 민간 기업의 경우 자격을 갖춘 보안 전문가가 여전히 부족합니다.
리소스 부족: 기업은 종종 시스템에 대한 공격을 방지하거나 탐지하기 위한 리소스가 부족합니다.
보고 또는 기소 부족 : 홍보 문제와 증거 부족 또는 적절하게 처리된 증거 부족으로 인해 컴퓨터 범죄자를 기소할 수 없기 때문에 대부분의 비즈니스 공격은 여전히 보고되지 않습니다.
영업 비밀 또는 독점 정보의 손실, 수익 손실 및 평판 손실을 포함하여 기업에 대한 비용은 상당할 수 있습니다.
원한 공격
원한 공격은 개인이나 기업을 대상으로 하며 개인이나 조직에 대한 복수심에서 비롯됩니다. 예를 들어 불만을 품은 직원은 영업 비밀을 훔치거나 중요한 데이터를 삭제하거나 중요한 시스템이나 애플리케이션에 논리 폭탄을 설치할 수 있습니다.
다행히도 이러한 공격(적어도 불만이 있는 직원의 경우)은 다음과 같은 이유로 다른 많은 유형의 공격보다 예방하거나 기소하기가 더 쉬울 수 있습니다.
공격자는 종종 피해자에게 알려져 있습니다.
공격은 실행 가능한 증거 추적을 생성하는 가시적인 영향을 미칩니다.
대부분의 기업(잘못된 해고 소송의 가능성에 이미 민감한)은 잘 정립된 해고 절차를 가지고 있습니다.
"재미" 공격
"재미" 공격은 호기심이나 흥분에 의해 동기가 부여된 스릴 추구자와 스크립트 키디에 의해 자행됩니다.
이러한 공격자는 해를 입히거나 액세스하는 정보를 사용할 의도가 없을 수도 있지만 여전히 위험하고 그들의 활동은 여전히 불법입니다.
이러한 공격은 또한 비교적 쉽게 탐지하고 기소할 수 있습니다. 가해자는 종종 스크립트 키디 또는 경험이 부족한 해커이기 때문에 자신의 흔적을 효과적으로 덮는 방법을 모를 수 있습니다.
또한 일반적으로 시스템에 실제 해를 입히거나 의도하지 않기 때문에 기업이 개인을 기소하고 사건에 긍정적인 홍보 효과를 내기 위해 (잘못된 조언이지만) 유혹을 받을 수 있습니다.
당신은 11시에 영화를 보았을 것입니다: "우리는 공격을 신속하게 감지하고, 우리 네트워크에 대한 피해를 방지하고, 책임자를 기소했습니다. 우리의 보안은 무너질 수 없습니다!" 그러나 그러한 행동은 다른 사람들로 하여금 비즈니스에 대해 더 심각하고 협력적인 원한 공격을 시작하도록 동기를 부여할 것입니다.
이 범주의 많은 컴퓨터 범죄자는 악명만을 추구합니다. 공개 웹 사이트를 훼손한 것에 대해 소수의 친구들에게 자랑하는 것은 하나의 일이지만 CNN에 등장하는 교활한 해커는 해커 유명 인사의 다음 단계에 도달합니다. 이 뒤틀린 사람들은 자신의 15분 동안의 명성을 즐기기 위해 붙잡히고 싶어합니다.
참조:
ANDRESS, Mandy, Exam Cram CISSP, Coriolis, 2001, Chapter 10: Law, Investigation, and Ethics(187페이지) 및 James Michael Stewart, Ed Tittel, Mike Chapple의 CISSP 전문 학습 가이드, 607-609페이지 및 Dummies용 CISSP, Miller LH 및 Gregory PH ISBN: 0470537914, 309-311페이지
