TIBER-SE: Threat Intelligence-based Ethical Red Teaming nu i Sverige

Friday, December 13, 2019

OffensivtTIBER-SERiksbanken

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Den 13 december publicerade Riksbanken en helt klart upplyftande nyhet om att de antar TIBER-EU och anpassar detta för Sverige, som TIBER-SE.

TIBER-EU är ett ramverk för att genomföra red-team (RT) övningar (ethical hacking) med utgångspunkt i underrättelsestyrda hot-scenarier. Det betyder kort och gott att utgångspunkten är att verkligheten ska visa vilka typer av övningar som RT ska genomföra.

På andra sidan finns ett blue team (BT, den företag som ska testas) och ett white team (WT, övningsledning).

Jag tycker detta är ett fantastiskt besked och verkligen framåtblickande av Riksbanken. RT kommer att inför varje test upphandlas precis som företagen som ska tillhandahålla underrättelserna som styr hotscenarierna. Det innebär alltså ett samarbete mellan det statliga och privata. En ypperlig demonstration av hur vi kan stärka Sverige genom samarbete.

Ni som läst bloggen ett tag vet att jag brinner för underrättelser och driver sedan några månader tillbaka (uppdatering 2020-08-20: inte längre) ett initiativ kring sektoriella underrättelserapporter (som med tiden blivit mer … generella , men med inslag av sektoriell rapportering). Jag har skrivit en hel del om det här och det är med stor spänning jag ser fram emot vad detta kommer att resultera i.

Generisk hotlandskapsrapport

Utgångspunkten för arbetet med TIBER-SE är att det ska tas fram en hotbildsrapport (kalla det vad du vill). Riksbanken beskriver det så här:

The GTL will contain information regarding threats to the Swedish financial sector and critical financial entities in the sector. This includes a description of the threat actors and their motives and modus operandi, together with the tactics, techniques and procedures they use to attack. The report will also contain information regarding the types of financial entities different threat actors are targeting.

Det är nästan exakt sådan information som jag presenterar i månadsrapporterna. Det blir en slags av extern bekräftelse på att behovet av sådan information finns och är viktig. Utmaningen som kvarstår är att leverera detta (innehållsmässigt och strukturellt) på ett så bra sätt som möjligt. Men det är precis detta som jag hoppas mitt arbete kan bidra med.

Det finns mycket att säga om Tiber och det ska bli spännande att följa och se hur bankerna anpassar sig efter detta. Jag misstänker att nya grupperingar kommer startas och många nya tjänster kommer erbjudas, kanske inom 6-8 månader när nyheten hunnit sjunka in.

OffensivtTIBER-SERiksbanken

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Detta är Sveriges Cyberförsvar - En översikt

Underrättelserapport för cyberdomänen - November 2019