Cyber Threat Intelligence (CTI) är ett begrepp du antagligen redan stött på men kanske har du, likt många andra, funderat på vad det egentligen betyder och innebär. Artikeln du läser är tänkt att ge dig en någorlunda grundad förklaring på dessa frågor. Målsättningen är att du efter några välspenderade minuter förstår och kanske i bästa fall får några idéer om hur du kan använda dig utav denna fantastiska kombination av modeord.

Ett varningens ord. Detta är en mer informell artikel och i det avseendet något olik många av mina andra alster som vanligtvis innehåller betydligt fler källhänvisningar. Området i sin helhet är inte särskilt välstuderat även om många av dess fundament är det. Jag gör hänvisningar där det finns särskild anledning att vara tydlig kring använda källor.

Området CTI är helt enkelt inte särskilt moget varför en artikeln kanske mer bör betraktas som en diskussion eller debatt kring ämnet. En debatt i vilken jag välkomnar andra att delta! Nå väl, nog om det.

Nyckelinsikter

  • Marknaden är tämligen full av aktörer med tjänster och produkter inom operationell intelligence, men tunnas ut avsevärt uppåt i kedjan genom taktisk och strategisk intelligence.
  • Inhämtning sker genom OSINT, SIGINT och CSINT (nej, CSINT finns inte... men det borde göra det)
  • CTI kräver en viss mognad på säkerhetsorganisationen för att kunna omhändertas och användas ordentligt.

Inledning

Den här artikeln är uppdelad i ett antal avsnitt:

  1. Definition av Cyber Threat Intelligence
  2. Olika typer av CTI
  3. Insamling för att kunna producera CTI
  4. Varför CTI?
  5. Avslut och framtid

Målsättningen är som tidigare nämnt att ge dig en översiktlig introduktion till ämnet med lite relevanta hänvisningar till annat material. Eventuellt tänkte jag även framställa någon slags vägledning om hur man kan börja arbeta med CTI, men endast i mån av intresse. Hör av dig!

Finns det någon defintion för Cyber Threat Intelligence?

Ja, men det finns dessvärre inte bara en, utan flera och ingen som kan anses vara direkt erkänd. Men det behöver inte vara så komplicerat, åtminstone till en viss grad.

Låt oss först ignorera det faktum att cyber är vanskligt att definiera, men de flesta har ändå någon slags idé om vad det betyder. När nätverk, internet, människor, teknik blandas samman får vi cyber.

Och så kommer vi då till threat, eller svenskans hot. Ett hot är en slags varning om en obehaglig, icke-önskevärd följd av en handling. Ett cyberhot skulle exempelvis kunna vara att en aktör (statlig, traditionellt kriminell) skickar datapaketar till din dator så att den stängs av. Det är ett hot. Det innebär vissa obehagliga följdeffekter.

Intelligence är underrättelser, kunskap. Det är information som genom bearbetning av olika slag, analyser och bedömningar förädlats till kunskap som är relevant för just dig och din organisation. Det är exempelvis information om en sårbarhet, som analyserats och konstaterats gälla för er och som i skrivande stund aktivt utnyttjas av hotaktörer. Jag har skrivit mycket om detta ämne.

Sammantaget innebär detta att cyber threat intelligence är underrättelser om hot i cyberdomänen.

Olika typer av Cyber Threat Intelligence

CTI finns i olika tappningar och det talas vanligtvis om taktisk, operationell och strategisk CTI. Men den absolut och tveklöst vanligaste typen av CTI som ni kommer stöta på är taktisk CTI. Detta innebär, något förenklat, saker som hashar, IP-adresser, domäner. Alltså olika typer av indiactors of compromise (IOC).

Nu kanske någon där ute sitter och funderar på min användning av taktisk, operationell och strategisk. Och det förstår jag. På engelska har vi längst upp strategic intelligence, sedan kommer operational och sedan tactical intelligence. Men av någon outgrundlig anledning har vi i Sverige vänt på det och när vi säger taktisk menar vi operationell och när vi säger operationell så menar vi taktisk.

Det är djävligt förvirrande, men så är det. Jag väljer att använda det jag anser vara korrekt; strategisk, operationell och taktisk intelligence i den ordning.

Strategisk intelligence

En strategisk underrättelse är av naturen av en mer framåtblickande och långsiktig karaktär. Det handlar om förändringar som inte omedelbart nödvändiggör handling, men som kan komma att kräva stora orgnisatoriska förändringar på sikt.

Observera att när vi pratar om underrättelser är det också nödvändigt att inte endast tänka på förändringar på sikt utan även att förändringarna också har antagonistiska inslag. Det kräver en motpart från vilken vi i någon utsträckning behöver hemlighålla något. Dags för ett exempel tror jag.

Exempel strategisk underrättelse
Ämne: Ryssland RUnet och Sveriges offensiva cyberförmåga i ett framtida konfliktscenario
Frågeställning: Vilka konsekvenser/effekter innebär RUnet för Sveriges förmåga att agera offensivt mot Ryssland?

Ryssland bygger ett eget RUnet; ett inhemskt internet som kan hållas innanför den ryska gränsen. I ett framtida konfliktscenario skulle Rysslands möjlighet att genomföra cyberangrepp i stort förbli oförändrad, men Sveriges möjlighet att hämnas skulle däremot avsevärt försämras. Sverige behöver därför agera för att fortsättningsvis, även efter införandet av RUnet, kunna hämnas ett eventuellt cyberangrepp mot svensk kritisk infrastruktur. Om inte Sverige aktivt agerar för att placerar utrustning för "fjärranslutning" kommer Sveriges förmåga avsevärt begränsas.

Givetvis skulle den strategiska analysen behöva vara mycket mer omfattande. Men förhoppningsvis förstår du genom exemplet att detta inte är något som på kort sikt kan förändras genom en brandväggsregel eller ny produkt i DMZa. Det är en stor organisatorisk förändring som kräver omfattande planering och hantering. Eventuellt.

Tactical intelligence

Taktiska underrättelser handlar mer om modus och agerande. Det handlar om försåtelse för hur en given aktör agerar i en given situation. Det är kunskap om vilka metoder en given aktör använder för initialt fotfäste. Vilka metoder, verktyg och tekniker denne använder för att verka i cyberdomänen.

Och precis som för strategiska underrättelser är det viktigt att hemlighålla vår förståelse och kunskap om aktörens beteende, metoder och verktyg. Så länge vi kan hemlighålla denna kunskap har vi ett övertag mot denne. Och givetvis kan det vara värdefullt att tvinga aktören att förändra sitt beteende, metoder och verktyg... men det kostar både för oss och aktören. Det finns många avvägningar att beakta här.

Operationell intelligence

Operationella underrättelser handlar om domäner, IP-adresser, hashar och andra snabbt föränderliga indikatorer. Sådant som vi enkelt kan upptäcka och blockera, men som också är enkelt för motståndaren att byta.

Det är också inom operationell intelligence som marknaden är tämligen ... full.

Inhämtning för att kunna producera CTI

En mycket vanlig källa till CTI är OSINT, open source intelligence. OSINT är allting som publiceras på webben och är fritt åtkomligt. Det handlar "bara" om att kunna gräva fram informationen. Bellingcat är ett exempel på mästare av inhämtning från OSINT. Jag har skrivt en artikel om hur du skulle kunna organisera inhämtning från öppna källor.

Det finns sedan även CSINT (nej, det är inget vedertaget begrepp), closed-source intelligence. Stängda forum som kräver att du blir inbjuden på öppna webben eller darkweb. Inhämtning som sker genom att du deltar i incidentutredningar och får kunskap om hur ett angrepp genomförts. Det är ingen information som kan hämtas från öppna källor.

Sedan finns den gamla trotjänaren SIGINT (Signals Intelligence) som innebär att du inhämtar information/data genom signalspaning (tänk FRA). Genom att "lyssna" på de elektroniska bitarna som flödar genom våra nät kan du få en mycket god förståelse för vem som pratar med vem, på vilket sätt osv. Även om en stor del av kommunikationen över Internet är krypterad går det att förstå väldigt mycket bara genom att se vem som pratar med vem, på vilket sätt och "hur" paketen förflyttar sig.

Varför Cyber Threat Intelligence?

Det finns många olika anledningar att vilja börja med CTI, och det är viktigt att man klargör för sig själv (och andra) varför man gör investeringen av tid och resurser. Varför vill du börja?

Är det "endast" för att skydda organisationen? Vill du omfördela resurser avseende vilka skyddsåtgärder som prioriteras? Vill du förklara för din ledningsgrupp varför du behöver mer pengar till säkerhetsorganisationen?

Det ska kanske direkt sägas att CTI kanske inte är det första man börjar med. Det kräver en någorlunda mogen säkerhetsorganisation som kan ta emot och framförallt använda sig utav de underrättelser som CTI-organisationen levererar. Om produkterna som produceras inte används av mottagarna är arbetet helt och fullständigt meningslöst.

CTI i en Security Operations Center (SOC)

En SOC är en stor konsument av CTI. Betraktat ur ett operationellt perspektiv behöver en SOC få ett sammanhang för en IP-adress, eller en domän. De behöver förstå om den tidigare observerats användas för att sprida skadlig kod, varit del av ett angrepp eller på något annat sätt kan antas vara kopplad till "skadlig verksamhet".

Betraktat ur ett taktiskt perspektiv behöver en SOC få vetskap och kunskap om hur en relevant aktör genomför sina angrepp, vilka metoder och verktyg han föredrar. De behöver få kunskap om beteendet, vilka tekniker enligt MITRE ATT&CK som är mest vanligt förekommande.

CTI i en säkerhetsorganisation

Om du börjar gräva där du står genom att titta i brandväggsloggar och kanske en eventuell intrångsdetektering kan du börja producera taktiska underrättelser. Du kan börja förse ledningsgruppen(erna) med information om vilka som angriper er verksamhet, genom vilka metoder de försöker. Det är viktig kunskap som många ledningsgrupper idag saknar. Även om allt du ser är portscans och misslyckade SQL-injectionangrepp finns det många intressanta slutsatser att framställa.

Vilka länder angriper er mest? Finns det gemensamma nämnare mellan angreppen? Verkar någon återkomma? Vad är det ni inte ser, men kanske borde se?

Sammanfattning

CTI är inte endast IP-adresser, domäner och hashar. Det är inte endast insamling av massa information och data från den öppna webben. CTI innebär att ni analyserar information och data om diverse hot, sätter dessa i ett sammanhang av er organisation och vilka av dessa hot som eventuellt skulle kunna komma att realiseras och på vilket sätt. CTI är bearbetad och analyserad information och data.

Vad vill du läsa härnäst? Hör av dig.