Ein guter Angriff kann sich über Wochen und Monate hinziehen bevor er abgeschlossen wird. "Zeitlicher Druck" sieht irgendwie anders aus...
Es existieren zwischen - Vorsicht, Marketing-Begriff! - APTs und Bots/Skriptkiddies auch Angreifertypen, die versiert vorgehen können, aber nicht Wochen und Monate dafür Zeit haben, beispielsweise Insiderangriffe gekündigter oder unzufriedener Mitarbeiter, Wirtschaftsspionage einzelner Konkurrenzunternehmen, Hacktivismus (was gerade bei Banken und Unternehmen aus dem Militärumfeld stark zugenommen hat) oder einfach nur Vandalismus von übermütigen Studierenden. Hier hast du klare Zeit- und Ressourcengrenzen sowie psychologische Faktoren (Frustrationspotential, Lust, Hass, (Un-)Geduld, "Kick", ...), welchen du mit SbO begegnen kannst. Und genau diese Typen von Angreifern machen die Hauptarbeit aus, wenn wir von automatischen Bots und Tool-geilen Skriptkiddies absehen.
APTs dagegen sind sehr selten, auch wenn dies von der Sicherheitsindustrie, insbesondere der amerikanischen, getreu dem FUD-Ansatz gegenteilig suggeriert wird. Aber auch hier macht SbO Sinn, da es die Wahrscheinlichkeit, dass der Angriff entdeckt wird, steigert. Hier spielt der Ressourcenfaktor natürlich nur eine geringere Rolle. Eine Einschränkung gibt es: Die technischen Sicherheitsmaßnahmen müssen darauf ausgelegt sein, d.h. SbO muss bewusst eingesetzt werden und Teil eines ganzheitlichen Sicherheitskonzepts sein. Dies ist in vielen Unternehmen nicht der Fall.
Ein weiterer Aspekt - neben dem Verstecken von Informationen - von SbO, der mir sehr gut gefällt, den ich aber bisher noch nicht gesehen habe (oder vielleicht schon, man weiss es nicht
), ist die bewusste Streuung von falschen Informationen. Im großen Stil kann das auch gegen APTs verwendet werden und damit zur Verteidigung eingesetzt werden. Gerade bei APTs steht die (passive) Informationssammlung im Vordergrund, d.h. soziale Kontakte von Mitarbeitern, Informationen aus öffentlichen Datenbanken (Shodan, Google, Monster.de, netcraft, ...) oder technische Informationen (Netzwerkverkehr, Architekturinformationen, whois, ...). Werden hier schon von Beginn an falsche Informationen nach außen getragen und veröffentlicht, kann auch hier wieder eine Brücke zur Angriffserkennung geschlagen werden.
Edit:
Es gibt einige Szenarien, in denen SbO wirklich keinen Sinn macht. Das bekannteste ist die Kryptographie, ein anderes die Veröffentlichung von möglichen Schwachstellen sowie von Angriff- und Bedrohungsstatistiken von "Endkunden" bzw. Unternehmen. Zur Kryptographie muss ich glaube ich nichts sagen. Die Veröffentlichung von Schwachstelleninformationen halte ich für essentiell für die Sicherheit, da dadurch öffentlicher Druck auf Hersteller erzeugt wird oder Unternehmen diese Lücken auch selbst schliessen können (jaja ich weiss, Praxis sieht anders aus..) bzw. ein Informationsgleichgewicht zwischen Angreifer und Verteidiger geschaffen wird. Angriffs- und Bedrohungsstatistiken halte ich gerade von großen Unternehmen und im internationalen Umfeld für wichtig, um "das große Ganze" zu schützen und die Verteidigung allgemein zu verbessern bzw. auf Bedrohungen schneller reagieren zu können. Ein Angriff auf eine Bank könnte so einen Angriff auf eine andere Bank nach gleichem Muster verhindern, da Informationen zu ersterem ausgetauscht und entsprechende Maßnahmen ergriffen wurden.