Så här kan du organisera inhämtning från öppna källor

Sunday, February 23, 2020

UnderrättelserVägledningÖppna källorMetodik

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

En stor utmaning med att använda öppna källor för inhämtning är att mängden information som flödar förbi på våra skärmar ibland kan kännas nästan överväldigande. Många artiklar och rapporter är inte heller värda att läsa då de sällan tillför något reellt värde utöver att upprepa vad en annan artikel redan sagt.

I den här artikeln skriver jag om hur jag har valt att organisera mina källor för att försöka hantera problemet ovan.

Nyckelinsikter

  • Kategorisera en källa utifrån dess avstånd till datat och informationen.
  • Avståndet till datat och informationen bestäms främst av hur många tolkningar som datat och informationen har passerat innan det når dig som mottagare.
  • En tolkning av data och information är när en person läst, bearbetat och framställt exempelvis en artikel eller rapport.

Källor organiserade enligt Tier-nivåer

För att organisera mina källor har jag valt att kategorisera källorna utifrån källans avstånd till de data och/eller den information som ligger till grund för tolkningen.

Detta ger mig följande struktur:

  • Tier 0 (T0) - Data och information (rå)
  • Tier 1 (T1) - Första tolkning
  • Tier 2 (T2) - Andra tolkning
  • Tier 3 (T3) - Tredje tolkning

Tier 0 - Data och information (rå)

Inom ramen för denna kategori av källor ska det vara rådata. Det kan handla om rapporterade incidenter, loggar från säkerhetsprodukter, skadliga programvaror osv.

Det handlar om att ingen ännu har försökt tolka informationen eller datat. Det ska vara fritt från tolkning.

Tier 1 - Första tolkning

Denna kategori av källor är typiskt leverantörer av säkerhets- produkter eller tjänster. Dessa har direkt tillgång till T0-data och har således goda förutsättningar för att presentera intressanta och vettiga tolkningar.

Tier 2 - Andra tolkning

Denna nivå innehåller typiskt nyhetssajter och vissa bloggar. Använder sig oftast av information som inhämtats från T1-källor.

Tier 3 - Trejde tolkning

Typiskt för denna kategori av källor är nyhetsbrev, aggregatorer eller andra som endast förmedlar länkar till källor. Exempelvis skulle jag placera sådana källor som skriver om en nyhetsartikel från T2 utan att göra någon egentlig analys eller tillföra något reellt värde utöver att upprepa vad som redan sagts.

Reddit, HackerNews är typiska källor för den här kategorin.

Varför organisera källor överhuvudtaget?

Det finns flera anledningar till varför jag väljer att försöka organisera mina källor.

  1. Trovärdighet och tillit.
  2. Transparens.
  3. Prioriterad läsning.

Trovärdighet och tillit

Första punkten är egentligen grunden i vad jag vill försöka uppnå med CORS. Jag vill att det jag publicerar här ska uppfattas som trovärdigt och att detta i en förlängning skapar tillit mellan dig som läsare och mig som författare.

Transparens i rapportering

Särskilt viktig anser jag att denna kategorisering blir när jag redovisar och hänvisar till diverse källor i en underrättelserapport. Det ger mottagaren en nästan omedelbar uppfattning om hur långt ifrån jag är informationens källa. Detta leder till transparens enligt (2).

Prioriterad läsning

Sist hjälper det mig att prioritera vad jag ska läsa och studera. Jag kan dels använda det för att välja vilka artiklar jag ska läsa och dels hjälper det mig att utvärdera en bok. Är denna bok ett resultat av att författaren har jobbat med riktiga data, eller baserar författaren sina slutsatser på andras tolkningar av data?

Utmaningarna med tier-kategorsering

Kategoriseringen av en källa i en given tier-nivå innebär inte per automatik att allt som denna källa producerar är värt att läsa. Många leverantörer, som jag klassar T1, spottar ur sig en mängder floskelartiklar också.

Sammanfattning

Att kategorisera källor enligt ovan Tier-modell hjälper mig mycket i att prioritera vad som ska läsas, till vilken grad jag kan lita på innehållet och hur jag ska kategorisera nya källor.

Förhoppningsvis kan denna modell inspirera dig till lite mer organiserad systematik i din egen inhämtning från öppna källor.

UnderrättelserVägledningÖppna källorMetodik

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Sammanfattning: Crowdstrike Global Threat Report 2020

Cyberförsvarsdagen 2020 - Löpande Anteckningar