Cyberunderrättelser - Den hemlighållna kunskapen

Wednesday, June 3, 2020

UnderrättelserCyber Threat Intelligence

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Detta är en längre artikel om underrättelser och kanske mer specifikt cyberunderrättelser. Artikeln utgjorde grunden i en presentation jag höll för ett slutet sällskap om cirka 20 deltagare. I mångt och mycket har jag skrivit om samtliga delar tidigare, men nu sammanfogat i en och samma, längre, artikel.

Nyckelinsikter

  • Cyberunderrättelser är underrättelser använda och producerade inom ramen för cyberdomänen; en underrättelse är hemlighållen kunskap.
  • Det finns tre övergripande typer av underrättelser; beskrivande (basic), förklarande (descriptive/explanatory) och framåtblickande (strategic).
  • Även om vi kallar det cyberunderrättelser är det fortfarande i grund och botten underättelser det handlar om, “endast” ett nytt tillämpningsområde.

Introduktion

Artikeln är uppdelad i följande avsnitt:

  1. De viktiga begreppen
    • Cybersäkerhet
    • Säkerhetshot
    • Underrättelser
      • Cyber Threat Intelligence (CTI)
  2. Kunskapsluckor - Behovet uppstår
  3. Underrättelser - Den hemlighållna kunskapen_
    • Tre typer; beskriva, förklara och blicka framåt
  4. Vad innehåller underrättelser?
  5. Hur kan jag börja framställa underrättelser?

Jag vill också poängtera att artikeln utgår ifrån ett offensivt och antagonistiskt perspektiv. Jag kommer inte beröra legala aspekter som driver behovet av att vidta säkerhetsåtgärder så som lagstiftningar som GDPR eller PCI-DSS.

Min utgångspunkt är antagonisterna, alltså de människor som medvetet (riktat eller ej) kommer försöka angripa er.

Nå väl, nog om det. Låt oss börja.

De viktigaste begreppen

För att kunna förklara cyberunderrättelser vill jag först att vi är, åtminstone någorlunda, överens om några grundläggande och relaterade begrepp. Detta avsnitt är endast tänkt som en ytlig begreppsdiskussion kring de centrala och mest betydelsefulla termerna.

  1. Cybersäkerhet
  2. Säkerhetshotande verksamhet
  3. Underrättelser

Cybersäkerhet

Cybersäkerhet handlar om att hantera säkerhetshot i cyberdomänen. Cybersäkerhet kan definieras som den nivå av riskreduktion vi har. Cybersäkerhet består av åtgärder som vi implementerar för att antingen reducera sannolikheten av att ett hot realiseras eller för att reducera konsekvenserna av att ett hot realiseras.

Cybersäkerhet är den samlade mängden åtgärder du vidtagit för att hantera de risker du identifierat.

Säkerhetshotande verksamhet

Säkerhetshotande verksamhet, eller förkortat säkerhetshot, är händelser med negativa effekter för säkerheten. Alltså händelser som leder till att oönskade konsekvenser uppstår. Vi förlorar pengar. Vi förlorar bandbredd. Vi förlorar kontrollen över våra klienter eller information.

Exempel-1: Cyberkriminella installerar utpressningstrojaner vilket leder till att våra filer blir otillgängliga och samtidigt kräver de en lösensumma.

Exempel-2: Statliga aktörer infiltrerar med hjälp av skadlig kod svenska ambassaden i Moskva och får ta del av potentiellt hemlig information som skickas till och från våra diplomater.

Underrättelser

Underrättelser är kunskap om säkerhetshot. Det är förståelse för hur cyberkriminella installerar utpressningstrojaner, förståelse för vilken infrastruktur de använder sig utav. Det är förståelse för vilka statliga aktörer som är ute efter vilken information och mot vilka mål de troligtvis kommer att rikta sina säkerhetshot.

Underrättelser är kunskap men med den viktiga skillnad att kunskapen måste undanhållas från de aktörer vilka vi vill skydda oss från. Det handlar trots allt om ett kunskaps- och informationsövertag gentemot en hotande aktör. Om vi vet hur en aktör genomför sina angrepp har vi ett kunskapsövertag gentemot denne. Om vår kunskap blir tillgänglig för aktören riskerar vi att förlora kunskapsöveraget.

Det är således en viktig skillnad mellan kunskap och underrättelser. Underrättelser är kunskap, men hemlighållen kunskap.

Som en funktion skulle vi kunna uttrycka underrättelser så här: underrättelser = hemlighållande(insamling av information/data + bearbetning + analys + spridning)

Cyber Threat Intelligence (CTI)

Cyber Threat Intelligence (CTI) är således hemlighållen kunskap om säkerhetshot i cyberdomänen. Det handlar om vilka aktörer som kan komma att rikta sin verksamhet mot vår organisation, vilka verktyg de vanligtvis använder, hur de genomför sina angrepp, vad de är ute efter och hur villiga de är att försöka få tag i vad de är ute efter.

Cyber Intelligence (CYINT)

Eftersom alla underrättelser antingen direkt, eller indirekt, handlar om att ge underlag kring hantering av säkerhetshot spelar det ingen roll om vi säger cyber intelligence (cyberunderrättelser) eller cyberhotsunderrättelser.

Jag sätter likhetstecken mellan CYINT och CTI. Det finns ingen konsensus kring det här.

Summering - Centrala begrepp

Underrättelser hjälper oss förstå de säkerhetshot som kan komma att riktas mot vår organisation. Underrättelserna hjälper oss således att dimensionera våra skyddsåtgärder och hantera de säkerhetsrelaterade risker som finns i cyberdomänen.

Kunskapsluckor - Behovet uppstår

Nu tänkte jag förklara under vilka omständigheter behovet av underrättelser uppstår.

Du har något som någon annan vill ha; du vill inte att någon ska ta det ni har.

Effektiva och rätt skyddsåtgärder

Under antagandet att ni faktiskt har något som någon vill ha kan säkerhetshotande verksamhet komma att riktas mot er. De kommer att försöka hacka er. Beroende på hur mycket denna någon vill ha något som ni har kan angreppen bli mer eller mindre enkla att förhindra, upptäcka, begränsa eller åtgärda.

För att ni ska kunna vidta effektiva och nödvändiga skyddsåtgärder behöver ni förstå säkerhetshoten. Ni behöver veta vad någon vill ha från er, hur de vanligtvis försöker ta den, från var de kommer försöka och när de kommer.

Våra skyddsvärden

En naturlig fråga uppstår i det här sammanhanget: hur vet jag om vi har något som någon annan vill ha?

Utmärkt fråga, det är nämligen en bra första underrättelsefråga.

Vad har, eller gör, vi som organisation som skulle kunna innebära att säkerhetshotande verksamhet riktas mot oss?

Denna kunskap får ni genom att studera er bransch, era partners och kunder, era anställda. Ni får kunskapen genom att studera er IT-infrastruktur, studera era inkomstkällor, eller mängden fakturor ni hanterar. Er förmåga att skydda organisationen är direkt kopplad till er förståelse för organisationen och dess verksamheter.

Besvarar ni den här frågan har ni också tagit första steget mot att upprätta grunden till er hotprofil . Hotprofilen beskriver er specifika hotbild. Det kan sägas vara en grundläggande underrättelse som är nödvändig för att kunna fatta beslut om rätt åtgärder, rätt nivå av risktagande. Observera att ni troligen aldrig kommer ha en ensad och aktuell hotprofil. Desto större organisation, desto mindre troligt…

Behovet av underrättelser uppstår således som konsekvens av att du har något att skydda; ett behov av att förstå hur du på bästa sätt kan skydda det skyddsvärda, men också där det finns behov av att hemlighålla hur du göra detta.

Hemlighållen kunskap

Kunskap är makt.

Underrättelser handlar om att du ska få ett kunskapsövertag gentemot de aktörer som, mot er, kan komma att rikta säkerhetshotande verksamhet (de som kommer försöka hacka er).

Beskriva, förklara och blicka framåt

Generellt sett brukar vi tala om att det finns tre typer av underrättelser:

  1. Beskrivande (basic/descriptive intelligence)
  2. Förklarande (current/explanative intelligence)
  3. Framåtblickande (strategic/estimative intelligence)

Det finns fler typer som t.ex. nationella säkerhetspolitiska underrättelser, militära underrättelser, affärsmässiga underrättelser, polisiära underrättelser osv. Men det överordnade kategorierna (typerna) ovan finns inom samtliga av dessa.

Beskrivande underrättelser (basic)

Underrättelser är beskrivningar av dessa aktörer, dess målsättningar, verktyg och metoder. Faktabaserade beskrivningar av vad vi känner till om teknologi X eller aktör Y. Dessa kallas basic intelligence (grundläggande underrättelser).

Exempel: Vilka cyberangrepp har historiskt genomförts mot bransch X? Exempel: Förra veckan stoppades X bilagor med skadlig kod från att nå slutanvändaren.

Förklarande underrättelser (current)

Utöver dessa kan underrättelser även vara förklaringar. Förklaringar om varför dessa aktörer gör vad dom gör, vad som driver dom. Förklaringar härleder resonemang utifrån grundläggande underrättelser. Det är tolkningar av aktuella händelser, innebörden av dessa. Den engelska termen för detta är current, eller explanative, intelligence.

Exempel: Vad innebär sårbarheten X för vårt internetanslutna system Y?

Framåtblickande underrättelser

Underrättelser är framåtblickande när de försöker estimera och förutspå vad dessa aktörer troligen kommer att göra, när och hur. Estimerande underrättelser baseras ofta på de allra bästa beskrivande och förklarande underrättelserna vi har att tillgå.

Exempel: På vilka sätt kommer ransomware att utvecklas de nästkommande 12 månaderna?

Summering - Hemlighållen kunskap

Det finns tre huvudsakliga typer av underrättelser. De beskriver fakta, de förklarar och tolkar innebörden av relevanta händelser och de blickar framåt, försöker förutspå och estimera effekterna av en framtida möjlig händelseutveckling.

Underrättelsernas innehåll

Det enkla svaret på frågan vad som ska produceras är det underrättelser ska innehålla det som behövs för att ni ska kunna skydda organisationens tillgångar på ett effektivt sätt. Kunskapsluckorna är vanligtvis många när det kommer till cyberdomänen. Företagsledningen kan många gånger inte svara på vilka eller hur många angrepp de har utsatts för eller om några av dessa varit framgångsrika.

I den ideala världen finns det tydliga inriktningar från ledningsgrupper, styrelser osv. Det är uppenbart för samtliga involverade parter vilka prioriteringar som gäller för organisationen. Dessa prioriteringar och övergripande inriktningar skulle då styra vad som ska produceras.

Men, verkligheten är sällan så där tydlig.

Det går inte att prioritera allt och så är det även en mognads- och resursfråga. Det är därför många gånger nödvändigt att börja gräva där man står. Börja producera underlag som beskriver något. Kanske:

  • Beskriv hur många cyberangrepp som stoppades i/av e-postlösningen förra månaden.
  • Beskriv hur många skadliga domäner era användare försökte/lyckades besöka förra månaden.

Det är inte ovanligt att det snabbt blir tydligt vilka data som finns tillgängliga och vilka som saknas.

Skriftliga och kriterier

En underrättelse är en, oftast, skriftlig produkt. Och att skriva bra rapporter är en konst och en vetenskap. Det finns dessvärre inte särskilt många böcker på ämnet om hur man skriver underrättelser. Men någonstans handlar det om att uppnå följande kriterier:

  • Den ska vara användbar av mottagaren.
  • Den ska vara tidsenlig (finnas när den behövs).
  • Den ska vara tydligt vilken fråga den besvarar.

En av de få böcker som finns är dock alldeles utmärkt och det är Communicating with Intelligence av James P. Major. Den boken rekommenderar jag varmt.

Cyberunderrättelser för dig

Om ni skulle söka på cyber threat intelligence (CTI) skulle ni få upp hundratals träffar från diverse företag som arbetar med CTI. Eller förlåt, påstår sig arbeta med CTI. Det kan kännas tämligen överväldigande att försöka greppa omfattningen och var man ska börja någonstans.

Låt mig rekommendera att ni inte börjar med att försöka köpa någon produkt eller tjänst. Först och främst ska ni börja med att utreda grundläggande frågeställningar.

Det skulle exempelvis kunna handla om: Grundläggande frågor:

  1. Vilka typer av cyberangrepp har vi utsatts för?
  2. Vilka tjänster/applikationer exponerar vi mot Internet?
  3. Vilka typer av cyberangrepp har vi ingen förmåga att upptäcka?
  4. Vilka skadliga domäner har någon av våra användare besökt?
  5. Hur många skadliga filer har vi blockerat i mejl-lösningen?
  6. Hur många skadliga filer har vårt AV blockerat?

Jag skulle vilja rekommendera att ni tar ett steg tillbaka och tänker på principen:

Cyber Threat Intelligence är kunskap om hot.

Ska ni börja med något är det att titta på er egna miljö först! När ni besvarat ovan frågor har ni kommit långt och kommer ha ett ordentligt underlag genom vilket ni skulle kunna ta steget mot prognosticerande underrättelser, alltså börja försöka förutspå vilka typer av angrepp, händelser eller aktiviteter nu kan förväntas se inom de kommande månaderna.

Prognosticerande underrättelser är även dessa framställda med utgångspunkt i en specifik frågeställning. Samtidigt är det viktigt att

  1. Baserat på de grundläggande underrättelesrna vi har tillgång till vilka förändringar avseende modus operandi kan vi förvänta oss att se inom de nästkommande 3-6 månaderna?

Avslutning

Underrättelser inom cyberdomänen är hemlighållen kunskap om säkerhetshotande verksamhet som kan komma att riktas mot er. Eller på svenska: Kunskap ni har, men inte delar, om hur hackare eventuellt skulle kunna komma att… hacka er.

Målsättningen med underrättelser är att framställa kunskap där den saknas och för att hjälpa er att välja rätt och effektiva säkerhetsåtgärder. Underrättelser skulle kunna argumenteras för att vara ett fundament i ett systematiskt informationssäkerhetsarbete.

UnderrättelserCyber Threat Intelligence

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Vilseledande teknologier - Fundament för framtidens Cyberförsvar

Äntligen på svenska - Cyber Threat Intelligence