Bok: Intelligence-Driven Incident Response

Friday, December 14, 2018

UnderrättelserIncidenthanteringBok

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

En bok som i perfekt blandning lyckas med konststycket att väva samman teori med praktik. Som titeln antyder handlar det om hur underrättelser driver incidenthanterings-arbetet och detta stämmer. Du får vad du tror att du ska få.

Detta är en utmärkt bok som jag tveklöst rekommenderar till den erfarna incidentutredaren och till den organisation som vill vidareutveckla och ta nästa steg i sin CIRT/CERT-verksamhet.

Du kan hitta prisjämförelser av boken här .

Nyckelinsikter

  • Underrättelser föder incidentutredning, precis som att incidentutredningar föder underrättelser.
  • Bra balans mellan teori och praktik.
  • Omfattande behandling av ämnet; lyckas med att fånga bredd men ändå tillräckligt djup. Snyggt!
  • Stort fokus på underrättelser (som det ska vara!), och endast översiktlig beskrivning av incidenthantering.
  • F3EAD är ett återkommande tema, i denna bok, så väl som andra vilket gör detta värt att studera i mer detalj.

Anteckningar och andra tankar

Boken kan läsas fristående, men jag skulle ändå rekommendera att du först läser en lämplig bok om incidentutredning. Detta är kort och gott en mycket bra bok. Det var ganska länge sedan jag fick känslan av att författarna faktiskt har erfarenhet av det dom skriver om.

Boken är uppdelad i tre övergripande avsnitt som avser grundläggande fundament, praktisk tillämpning och “vägen framåt”. I avsnittet fundament går författarna igenom övergripande förhållandet mellan incident response och intelligence, samt olika typer av intelligence (strategisk, taktisk och operativ). Därutöver ungefär samma typ av genomgång för incident response. Processer för detta, förhållandet till cyber kill chain , diamond model , active defense och F3EAD.

Find, Fix, Finish, Exploit, Analyze, Disseminate (F3EAD)

Och här skulle jag vilja snabbt ägna några rader åt F3EAD. Detta är ett akronym för Find, Fix, Finish, Exploit, Analyze, Disseminate. F3EAD är en process som väver samman intelligence med operations. Underrättelser ska leda till handling, och handling ska leda till underrättelser. Och vad innebär då det?

En bra underrättelse ska innebära att mottagaren av denna kan fatta ett bättre beslut och agera. Detta agerande utifrån underrättelsen kan sedan användas för att förbättra underrättelsearbetet i framtiden. Vi bedömer att distribution av skadlig kod kommer flytta från bifogade filer till att istället distribueras genom skadliga länkar.

Efter att lämpliga åtgärder införts för att identifiera och hantera skadliga länkar följer vi upp resultaten. Dessa visar att åtgärderna är effektiva. Det visar sig att skadliga länkar ofta föregås av ett e-postmeddelande som inte innehåller något skadligt överhuvudtaget för att sedan följas av ett nytt meddelande som innehåller den skadliga länken. Denna kunskap lämnar vi till underrättelsegänget som förmedlar vidare detta i en rapport.

Underrättelse föder operations, som föder underrättelser.

Det finns givetvis mycket mer att säga om F3EAD, men det får bli föremål för en artikel.

Fortsättning anteckningar

Boken blandar teori med praktik och lämnar ganska ofta förslag på hur en modell, process eller teknik kan omsättas i något konkret. Det gillar jag och är uppfriskande.

Boken avslutar med ett kapitel vägen framåt i vilket författarna diskuterar hur ett “program” för underrättelser kan införas. De beskriver hur du avgör om ni är mogna för detta, hur ni planerar arbetet, definierar mål och mätvärden för detta.

Kort och gott, detta är en omfattande behandling av ämnet intelligence och hur det kan tillämpas inom ramen för incidenthantering. Jag skulle dock vilja säga att behandlingen är tillräckligt omfattande för att sträcka sig utanför incidenthantering.

UnderrättelserIncidenthanteringBok

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Bok: Offensive Countermeasures

CIS Controls version 7 - Åtgärd 6 - Underhåll, hantering och analys av loggar - (6/20)