Om trusseletterretning

Photo by Pixabay on Pexels.com

Trusseletterretning, threat intelligence, threat intel, cyber threat intel, TI og CTI – uttrykkene brukes om hverandre, ofte med varierende innhold. Noen sidestiller det med IoC, “indicators of compromise”, tekniske indikatorer (også kalt atomiske indikatorer, f.eks. en IP-adresse, et domenenavn eller en filhash) som kan brukes til å identifisere kjent trusselaktivitet. Andre fastholder at trusseletterretning er nettopp etterretning – sammenstilt og nøye vurdert informasjon som gir retning og veiledning når man skal ta stilling til konkrete spørsmål.

Så lenge du vet hva du vil ha, er det ikke så nøye hva det kalles. Det er kun et problem når du betaler for etterretninger, forventer etterretninger, men får tekniske indikatorer uten videre kontekst.

Det kan være nyttig å beholde det varierte innholdet i trusseletterretningsbegrepet, og se på hvordan trusseletterretning i bred forstand kan støtte operasjoner på taktisk, operasjonelt og strategisk nivå.

På taktisk nivå møter vi først sikkerhetsovervåking. Ulike deler av sikkerhetsovervåkingen konsumerer og anvender trusseletterretning på ulike vis, men det er stort sett snakk om tekniske indikatorer. Det er høy sannsynlighet for at brannmuren din kan importere en svarteliste. Dette er rett og slett en liste over IP-adresser (og domener) som man knytter uønsket aktivitet til, og som du ønsker å kontrollere (ofte nekte) trafikk fra (og ofte til). Dette er en av de enkleste måtene å få målbar verdi fra trusseletterretning på, og den kan som regel automatiseres.

Når noe så blokkeres av brannmuren, f.eks. utgående HTTP-trafikk til evil.com, bør hendelsen fanges opp. Trafikk til evil.com kan være en indikasjon på at noe har skjedd på innsiden av nettverket ditt, men hva? Hendelsen genererer et varsel som blir lest av en sikkerhetsperson. Denne personen vil gjerne ha litt kontekstinformasjon for å forstå hvorfor trafikk til evil.com har blitt stoppet, og hva det kan være en indikasjon på. Nyttig kontekstinformasjon kan være kilden til informasjonen, hvor gammel informasjonen er, referanser til omtaler av det samme, og kanskje til og med konkrete knytninger til trusseltype, skadevare eller antatt trusselaktør. Er ikke konteksten tilgjengelig, må sikkerhetspersonen bruke tid på å finne ut av det på egenhånd, f.eks. ved å søke etter informasjon på nettet. Hvis tiden er knapp og alarmene mange, er det fare for at det ikke blir gjort – hendelsen ble tross alt stoppet i brannmuren.

Her kan virksomheten stå ved et veiskille. Trafikken til evil.com er en indikasjon på at noe har skjedd på innsiden av nettverket. En PC i økonomiavdelingen har blitt kompromittert via et Office-dokument sendt til en medarbeider via e-post. Da medarbeideren åpnet vedlegget på sin datamaskin, utnyttet kode i vedlegget en sårbarhet i Word som gjorde det mulig å installere og kjøre skadevare på PC-en. Denne skadevaren kobler til evil.com for å informere om vellykket installasjon, samt be kommando- og kontrollserveren i den andre enden om videre instruksjoner. Domenet evil.com var kjent fra en spionasjeoperasjon flere uker tidligere, men siden da har trusselaktøren også tatt i bruk to alternative domener, alsoevil.com og unknownevil.com. Trafikken til evil.com ble stoppet av brannmur, men skadevaren fikk svar fra de andre domenene, så den lille gnisten har nå utviklet seg til en ulmebrann.

Trusseletterretning gir kunnskap som kan være nødvendig for å tolke tilgjengelige signaler fra sikkerhetssystemene. Om trusselaktøren i dette eksempelet spiller kortene sine riktig, er det ikke sikkert at du får flere signaler før det er for sent. Ulmebrannen utviklet seg til full fyr, spredte seg, og igjen ligger bevisene på et vellykket cyberangrep (sett fra trusselaktørs ståsted, selvsagt). Med lett tilgjengelig kontekstinformasjon kunne evil.com-hendelsen blitt fanget opp og eskalert i henhold til henelseshåndterings- og eskaleringsrutiner. Trusseletterretning hadde gitt retning til hendelseshåndteringen, og dannet grunnlag for mer effektiv håndtering av den spesifikke trusselen.

På operasjonelt nivå gir trusseletterretning retning i den konkrete hendelsen. Med kunnskap om tidligere operasjoner utført av samme trusselaktør er vi bedre rustet til å forstå trusselaktørens motivasjon og kapabiliteter. Dette er avgjørende for at operasjonell ledelse tidlig skal kunne ta riktige beslutninger når det gjelder koordinering av tiltak og disponering av ressurser på det taktiske nivået. Operasjonelt nivå trenger også innsikten for å informere strategisk nivå og sikre tilstrekkelig mobilisering.

For det strategiske nivået, ofte virksomhetens øverste ledelse, er det lett å se hvilken betydning innsikt fått gjennom trusseletterretning kan ha. Hvor alvorlig er den aktuelle hendelsen? Hvilke konsekvenser kan den gi på lang sikt? Hva med virksomhetens omdømme? Om det ikke har blitt gjort tidligere, er en god hendelse et effektivt virkemiddel for å endelig forankre sikkerhetsstyring i virksomhetsstyring.

I det ovenstående har jeg kun fokusert på hendelsessituasjonen, men trusseletterretning har minst like stor verdi utenom krise, før hendelse:

  • Taktisk
    • Forbedre evnen til oppdagelse av trusler
    • Utfordre strategier for sikring og oppdagelse
    • Opprettholde og utvikle håndteringsevnen
    • Deltakelse i informasjonsdeling
    • Avdekke og lukke sårbarheter
  • Operasjonelt
    • Gi innspill til risiko/sikringsrisiko
    • Danne grunnlag for prioriteringer og planlegging på taktisk nivå
  • Strategisk
    • Veiledning til ledelsens prioriteringer innen sikkerhet og beredskap

Trenger du trusseletterretning? Kanskje. Jeg vil hevde at potensialet trusseletterretning har til å styrke oppdagelse og håndtering av sikkerhetshendelser, gjør trusseletterretning til noe de fleste virksomheter, som på et eller annet vis styrer IT selv, burde være interessert i. Skal man få valuta for pengene, er det imidlertid viktig at virksomheten er på et visst modenhetsnivå, og evner å utnytte informasjonen som en del av den daglige driften. Selv om trusseletterretning kan virke uunnværlig, er det fortsatt en del andre tiltak og investeringer som bør ha prioritet og komme først.

Leave a Reply

%d bloggers like this: