Warum dies Stereotyp „Kellerhacker“ falsch ist – und gefährlich

“Es könnte Russland sein, handkehrum es könnte wiewohl Volksrepublik China sein, es könnten viele Personen sein. Es könnte Leckermäulchen sein, jener gen seinem 400 Pfund schweren Koje sitzt.” Ebendiese Kommentare, die während einer Präsidentschaftsdebatte im Jahr 2016 gemacht wurden, in Besitz sein von unter Umständen zu den profiliertesten und erbärmlichsten Inkarnationen dessen, welches ich dies Stereotyp jener Kellerhacker nenne. Trotzdem wiewohl Jahre später hält sich die Basement Hacker-Idee. Dieses veraltete Stereotyp und Medien-Trope charakterisiert Bedrohungsakteure denn tot, dysfunktional, ohne formelle Bildung oder Organisation und ausschließlich in schwarzen Kapuzensweatshirts gekleidet.

Im Markröhre stellt jener Basement Hacker ein grundlegendes und anhaltendes Missverständnis des modernen Cyber-Gegners dar. Wie Sun Tzu in schrieb Die Kunst des Krieges, “Wenn du dich selbst kennst, handkehrum nicht den Feind, wirst du für jedes jeden gewonnenen Triumph wiewohl eine Niederlage erleiden.” Welcher Mythos von Basement Hacker vermittelt Unternehmen jeder Größe ein falsches Gefühl jener Superiorität oppositionell Bedrohungsakteuren, die sie denn ungeschult, gutartig und seltsam fühlen. Wenn dieses Gefühl jener Superiorität nicht kontrolliert wird, kann es im Rahmen Risikomanagern und Führungskräften, die Sicherheitsbudgets festlegen, zu Selbstgefälligkeit zur Folge haben, welches zu Unterinvestitionen in Sicherheitsteams, übermäßigem Vertrauen in die Automatisierung oder beidem führt.

Trotzdem dies Stereotyp jener Kellerhacker schadet wiewohl gen subtilere Weise. Denken Sie an die mehrjährige Debatte gut den Zahl von Zertifizierungen und Bildungsprogrammen, die in jener großen, dynamischen und ständig wachsenden Verbundenheit aufstrebender Cybersicherheitsexperten und den etablierten Akteuren jener Industriezweig, die Bildungsdienstleistungen und Vordenker für jedes sie vermarkten, stattfindet. Branchenveteranen, aufstrebende Fachleute und Cyber-Pädagogen diskutieren tief, ob sich Zertifizierungen lohnen, welche man wählen sollte und wie man die begehrten Fähigkeiten gen die wirtschaftlichste Weise erwerben kann.

In einem kürzlich veröffentlichten Social-Media-Gebühr eines Markenmanagers eines Cyber-Trainingsunternehmens wird rhetorisch gefragt: “Warum nötig haben Sie eine Zertifizierung/vereinigen Zweck, um in jener Cybersicherheit zu funktionieren? Die Personen, die Ihre Netzwerke und Anwendungen ausnutzen, nach sich ziehen keine Zertifizierungen oder Abschlüsse.” Dieser und ähnliche Posts erhalten ein starkes Engagement in Form von Hunderten von Reaktionen und Dutzenden von Kommentaren und Shares.

Ebendiese Botschaft, die steif gen dem Stereotyp eines ungeschulten und desorganisierten Gegners von Basement Hacker basiert, enthält mehrere Elemente effektiver Fehlinformationen. Es gibt vor, die konventionelle Weisheit (dass die Beschäftigung im Einflussbereich Cybersicherheit vereinigen Zweck und/oder eine Zertifizierung erfordert) mutig in Frage zu stellen, um Glaubwürdigkeit aufzubauen. Es verwendet pauschale Verallgemeinerungen, um fälschlicherweise zu behaupten, dass es erfolgreichen Angreifern an formeller Bildung und Qualifikationen mangelt, eine potenziell attraktive Botschaft für jedes angehende Cybersicherheitsexperten, die sich für jedes vereinigen Job qualifizieren möchten, ohne die Geldhaus zu sprengen. Und es nutzt die natürliche menschliche Unstetigkeit aus, die vereinigen Studenten dazu können würde, sich zu fragen: “Warum gebe ich all dieses Geld für jedes Studiengebühren oder formale Bildung aus, wenn die wirklich elitären Hacker zum Einen nicht nach sich ziehen?” Dies Ergebnis? Fortführung des Mythos sowie aufstrebende Fachleute, die nicht oder nur unzureichend gut die wahre Natur jener Risiko informiert sind.

Tatsächlich nach sich ziehen Organisationen wie dies Mandiant Intelligence Center, FireEye und dies Justizministerium, ganz zu sich in Schweigen hüllen von akademischen Cybercrime-Forschern, dokumentierte, formale Trainingsprogramme, Organisationshierarchien und spezifische Qualifikationskategorien, die von den gefährlichsten Gegnern jener Welt verlangt werden. In ihrem Depesche von 2016 stellte Mandiant/FireEye z. B. steif, dass „es Beweise zu diesem Zweck gibt, dass die Maßeinheit 61398 giftig neue Talente aus den naturwissenschaftlichen und technischen Fakultäten von Universitäten wie dem Harbin Institute of Technology und jener Zhejiang University School of Computer Science and Technology rekrutiert jener “Berufscodes”, die Positionen kennzeichnen, die die Maßeinheit 61398 zu okkupieren sucht, erfordern hochtechnische Computerkenntnisse. Die Haufen scheint wiewohl mehrfach starke Englischkenntnisse zu verlangen.”

Im Rosenmonat 2021 berichtete Brian Krebs gut den Einstellungsprozess für jedes die Trickbot-Schadsoftware-Gangart, im Rahmen jener Bewerber „aufgefordert wurden, verschiedene Programme zu erstellen, die die Problemlösungs- und Programmierfähigkeiten des Bewerbers testen sollten“.

Wie Sicherheitsexperten sind wir stolz darauf, besser zu wissen, denn uns in dies veraltete, schädliche Stereotyp von Basement-Hackern einzuklinken. Schließlich nach sich ziehen wir gen die harte Tour gelernt, dass unsrige gefährlichsten Gegner organisiert, gut finanziert und bestens kompetent sind. Trotzdem trotz jener Tatsache, dass die Sicherheitsfachwelt größtenteils gut den veralteten Trope Basement Hacker hinausgegangen ist, droht jener Schaden ihrer anhaltenden Verbreitung die Sicherheitslage von Unternehmen jeder Größe in einem schon fragilen Moment in jener Historie jener Cybersicherheit weiter zu untergraben.

Wenn wir dem Schaden des Stereotyps Basement Hacker entgegenwirken, werden Führungskräfte jener Kohlenstoff-Stufe ungefähr wiedererkennen, dass professionalisierte Bedrohungsgruppen ein Sicherheitsrisiko für jedes Unternehmen jeder Größe und in allen Branchen darstellen. Um dieses Ergebnis zu erzielen, sollten wir es nachher Möglichkeit vermeiden, die Basement Hacker-Idee zu verewigen. Wir sollen diesem Narrativ wiewohl entgegenwirken, während wir ein klares, umfassendes Skizze moderner Bedrohungsgruppen verteilen.

Schließlich ist noch mehr Wissenschaft erforderlich, um die Talententwicklungspipeline Advanced Persistent Threat (APT) zu verstehen. Ebendiese Wissenschaft sollte die Bildungsprogramme, praktische Bildung, Berechtigungsnachweise und die Vernetzung zwischen militärischem Geheimdienst, Privatwirtschaft und organisierter Kriminalitätsrate zusammenfassen, die ebendiese hochqualifizierten und organisierten Gruppen ernähren. Nur dann können wir mit Zuversicht behaupten, dass wir ebendiese ausgeklügelten Akteure verstehen, die (so gut wie) komplett external des Kellers wirken.