Framtiden för arbetet med cyberunderrättelserapporten

Wednesday, January 22, 2020

UnderrättelserRapport

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

För ett antal månader sedan (augusti 2019) presenterade jag en idé om sektorsinriktade underrättelserapporter för cyberdomänen. Målsättningen var initialt att producera månatliga rapporter, relevanta för ett antal sektorer (bank-, energi- och offentlig sektor). Syftet var att skapa underlag som skulle förklara på vilka sätt hotaktörer angriper svenska verksamheter och genom hjälpa verksamheter att förstå vilka säkerhetsåtgärder som behöver prioriteras framför andra.

Denna målsättningen skiftade något under perioden då jag saknade åtkomst till nödvändig information/data som var tillräckligt specifik för att kunna antas vara relevant för en specifik sektor. Istället breddade jag målsättningen till att istället täcka allmängiltiga användningsfall (hur distribueras skadlig kod, hur säkerställer hotaktörer ett initialt fotfäste osv.)

Projektet var från början tidsbegränsat och årsskiftet 19/20 blev således en naturlig gränsdragning. Framförallt behövde jag tidsbegränsningen för att få det nödvändiga utrymmet att utvärdera arbetet och avgöra om jag överhuvudtaget ska fortsätta.

Relevansen i rapporterna

Återkoppling från de som tagit emot rapporterna är tämligen begränsad. Det kan finnas en rad olika anledningar bakom detta men jag spekulerar i att de främsta anledningarna är:

  1. Tiden finns inte hos mottagarna för att återkoppla på innehållet.
  2. Rapporterna är inte tillräckligt värdefulla och användbara.
  3. Mottagare vågar inte återkoppla.

Mest troligen faller de flesta inom 1 eller 2, och jag hoppas på 1, men misstänker att 2 också kan vara vanlig. Att jag misslyckas med att göra rapporterna tillräckligt tydliga avseende problembeskrivning, konsekvenser och uppskattning av framtida utveckling.

Lärdomar

Några saker från att producera de här rapporterna tar jag med mig.

Lärdom 1: Begränsa omfattning, en fråga per rapport

Jag gick ut för tungt, med för många underrättelsekrav från början. Det blev spretigt och svårarbetat, men kanske framförallt svårt att lämna en bra sammanhängande bedömning.

Framtida rapporter behöver vara uppdelade och endast ett krav per rapport; ett prioriterat underrättelsekrav (PIR) per rapport.

Lärdom 2: Tydliggöra kopplingen mellan observation och bedömning

Enligt (Major 2014:154)[note]James S. Major, 2014, Communicating With Intelligence, second edition.[/note] är det viktigt för en analytiker att undvika föreslå på vilket sätt mottagaren ska agera (avoid prescribing policy). Analytikerns uppgift är att beskriva och förklara effekterna av ett givet fenomen och estimera förväntad framtida utveckling.

Exempel: Enligt källor x, y och z använder sig hotaktörer av molntjänster (ex. Google Drive) för att distribuera delar av en slutlig payload (skadlig kod), en bild (jpg) med en konkatenerad base64-enkodad exekverbar fil.

Detta är fenomensbeskrivningen.

Forts. exempel: Denna metod för att sprida skadlig kod försvårar onekligen upptäckt för verktyg och produkter som använder sig av domain-reputation. Användningen av riktiga tredjeparts-tjänster för att distribuera skadlig kod gör att angriparen kan rida på etablerat rykte och undvika att filer fastnar i domain-reputation filter.

Vidare innebär den stegonografiska användningen av bild-filer ytterligare försvårande upptäckt eftersom det nu är nödvändigt för verktyg att förstå vilka delar av en bild-fil som faktiskt hör hemma i filen, det räcker inte med att kontrollera att en bild visas, eller att de första bytsen i filen motsvarar rätt magiska nummer som exempelvis representerar en JPG-bild.

Detta är förklaringen av fenomenet.

Forts. exempel: Vad kan vi förvänta oss av framtiden? Först och främst bedömer jag att användningen begränsas till riktade angrepp eftersom det kräver en del resurser för att beställa Google-konton osv. Infrastrukturen bakom denna distribution lämpar sig inte för storskalig distribution eftersom det antagligen snabbt skulle snappas upp av Google att nedladdning sker av en fil från många olika platser.

Och så vidare. Det är sådana här bedömningar av fenomen som är nödvändiga att göra för att leverera värde i rapporterna. Det är också precis sådant jag avser leverera. Tidsenliga, välskrivna och användbara rapporter. Men det har som sagt sitt pris.

Framtida rapporter?

Kort och gott, jag har kommit fram till att nuvarande konstruktion (gratisarbete) inte fungerar för att fortsätta producera och delge dessa rapporter. Den tid som behövs för att producera dessa är hyfsat omfattande, särskilt med beaktande för att arbetet idag bedrivs utanför ordinarie arbetstid.

Jag estimerar att det behövs ungefär 8h per vecka för att göra de första stegen i arbetet insamling, och bearbetning. Därefter tar analys och sammanställning av material kanske ytterligare 10h för att producera en slutlig rapport som är källhänvisad och framförallt relevant givet aktuella inriktningar och underrättelsekrav. Även om arbetet på många sätt är givande och roligt kan jag inte motivera att spendera ungefär 40h per månad att producera de här rapporterna.

Däremot har jag några idéer på en prenumerationstjänst för rapporterna, men behöver underlag för att kunna avgöra intresset och viljan att betala för innehållet i dessa rapporter. Vad är en rimlig månadspeng för en sådan här rapport?

Ett grovt estimat är att ta den uppskattade tidsåtgången per månad och multiplicera med en rimlig timpeng (runt 1000 kr/h). Då landar vi på ungefär 40 000 kr per månad. Säg att 5-10% av dagens mottagare (vilket råkar vara 5-10 personer) är villiga att betala för arbetet, då skulle den behöva kosta mellan 8000 kr och 4000 kr.

Jag tycker att 4000 kr per månad är en fullt rimlig summa för arbetet.

Vad tycker du?

UnderrättelserRapport

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

CIS-kontrollerna - Åtgärd 16 - Kontohantering - (16/20)

Cyberförsvaret - Område: Försvarsunderrättelser