Состязательная возможность
Хакеры могут отвлекать свои цели и специально создавать угрозы, которые можно легко и быстро обнаружить, как когда-то делали синоби. Например, когда киберзащитники обнаруживают внезапную распределенную DDoS-атаку, стандартные рабочие процедуры требуют оценки силы и продолжительности DDoS и создания тикета (записи в системе управления безопасностью) с инцидентом безопасности для регистрации активности.
Защитники не всегда распознают, что DDoS-атака представляет собой лишь прикрытие для атаки злоумышленника на сеть. Таким образом, когда атака подавляет датчики безопасности цели, системы захвата пакетов (packet capture, pcap) и системы обнаружения или предотвращения вторжений (IDS/IPS), эти системы начинают отказывать из-за неспособности обработать слишком много данных и пропускают пакеты с вредоносным содержимым. Когда DDoS-атака прекратится, защитники увидят, что значительного простоя не возникло, и возвращают работу в нормальное состояние, не понимая, что хотя атака длилась всего 10 минут, поток пакетов дал противнику достаточно времени, чтобы обойти защиту системы и закрепиться в сети. (Во втором стихе «Ёсимори хяку-сю» говорилось, что сильный шторм может помешать как цели, так и атакующему, поэтому атака, скорее всего, окажется не слишком интенсивной. Очень интенсивная атака может привести к тому, что сетевое оборудование будет отклонять пакеты и терять данные связи, включая данные самой атаки. Вместо этого злоумышленник, скорее всего, замедлит (trottle) целевые системы, чтобы нарушить безопасность, не нарушая связи.)
У злоумышленников есть много других способов создать на объекте проникновения благоприятные обстоятельства, разнообразие которых ограничено лишь их изобретательностью. Выгодно проводить атаки на качество и надежность сервисов и инфраструктуры, например, нарушая работу интернет-провайдеров или межсетевых соединений. Терпеливые злоумышленники могут дождаться, когда коммерческие поставщики выпустят неисправные обновления или исправления, после чего служба безопасности или ИT-персонал целевого объекта временно снимет часть ограничений или ослабит меры безопасности для устранения проблемы. Злоумышленники могут отслеживать процесс приобретения компанией чего-либо, чтобы определить, когда новые системы и серверы будут перемещаться в производство или в облако и, следовательно, когда они могут быть временно не защищены или неправильно настроены. Атакующие могут также отслеживать слияние компаний и пытаться атаковать разрывы, образовавшиеся при объединении сетей разных компаний. Также злоумышленники могут использовать специальные мероприятия, проводимые в здании цели, такие как большие конференции, выставки поставщиков и иные встречи, чтобы смешаться с толпой незнакомцев и проникнуть в здание. Возможно, им даже удастся что-то утащить.
