Hotprofiler - Grunden för effektiv cybersäkerhet?

Monday, April 8, 2019

FörsvarHotprofil

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du hört begreppet hotprofil någon gång? Jag har hört det och har nog faktiskt använt det också en eller annan gång. Men det finns förvånansvärt lite skrivet om det. Själv har jag någon slags intuitiv idé om vad begreppet innebär. Hur som helst. Detta är en utforskande och teoretisk artikel om begreppet hotprofil. Min tanke är att hotprofiler bör utgöra en slags grundsten för arbete med cybersäkerhet. Det finns många olika typer av hotprofiler och i den här artikeln har jag försökt beskriva dessa samt visa några exempel på hur de skulle kunna se ut.

Nyckelinsikter

  • Hotprofilen generaliserar exempelvis en bransch eller organisation och vad som är utmärkande för just denna avseende hot, sårbarheter, aktörer och tillgångar.
  • Hotprofilerna kan ärvas mellan varandra. En organisation ärver hotprofilerna för en given individ, eller för sin bransch eller sitt land.
  • Den nationella hotprofilen är i huvudsak kopplad till landets utrikes- och säkerhetspolitik samt den typ av export som utmärker landet.
  • Hotprofiler kan användas som grund för vilka säkerhetsåtgärder som är rimliga utifrån de hot och aktörer som blir aktuella genom hotprofilerna.

Vad är en hotprofil?

Det finns inte särskilt många referenser till begreppet hotprofil, gör en sökning på Google eller DuckDuckGo så får ni se själva. Hur som helst. För mig är det egentligen inte särskilt anmärkningsvärt eller konstigt. Det är nästan mer konstigt att begreppet inte används oftare, det borde vara vanligt förekommande.

Ett hot är en varning om en, eller serie av, handling(ar) som kan resultera i negativa effekter för den mot vilket hotet riktas. Detta är ingen kontroversiell definition på något sätt, kanske något tillspetsad och utökad med delen om handling, men den torde vara ganska självklar.

Mitt användande av profil hoppas jag inte känns särskilt främmande, men i det här sammanhanget är det en karakteriserande beskrivning av något. Alltså vad som särskilt utmärker och beskriver något övergripande, men ändå … tydligt.

En hotprofil blir således en karakteriserande beskrivning av hot, och när jag säger hotprofil menar jag hot i plural. Hotprofil ska således tolkas som en beskrivning av en samling hot som på något sätt hör ihop, är relevanta för den hos vilken den används.

Individuell hotprofil

Sådant som kan tänkas vara relevant för dig som individ. Särskild kompetens, särskild inriktning yrkesmässigt, relationer eller annat som kan föranleda en viss typ av hot.

Organisatorisk hotprofil

… är således de hot som är särskilt relevanta för en given organisation. Och detta innebär att olika hot är aktuella beroende på vilken organisation som hotprofilen avser. Alla organisationer har inte samma hotprofil, eftersom alla organisationer inte gör samma sak. Snacka om att konstatera det uppenbara, men nu är det sagt. Eftersom organisationer har olika hotprofiler, bör de också rimligen ha olika nivåer av skydd.

Frågan är dock… spelar allt detta någon roll? Ja, vi får väl se. Detta är precis anledningen till att jag skriver det här. Kan vi motivera en användning av organisatoriska hotprofiler? Kan vi hitta ett värde i att upprätta en hotprofil för vår organisation?

Branschmässig hotprofil

En branschmässig hotprofil är helt enkelt en uppsättning av hot som gör sig särskilt relevanta i en given bransch. Vi skulle exempelvis kunna säga att hotell- och restaurangbranschen är särskilt utsatt för kreditkorts-relaterade hot. Är du verksam inom denna bransch behöver du förstå hoten som riktas mot denna bransch.

Nationell hotprofil

Den nationella hotprofilen är ett resultat av den nationella politiska inriktningen. På den här nivån rör sig de statliga antagonistiska aktörerna vilket innebär avancerade och riktade cyberangrepp. Hot på den nationella nivån rör hot om industrispionage, spioneri. Om våra politiker gör något på den internationella arenan som upprör en annan nation kan vi utsättas för statsunderstödda, antagonistiska hot.

Denna hotprofil överlappar även med branschmässiga hotprofiler eftersom vissa branscher kan vara av intresse för andra statliga aktörer beroende på deras särskilda politiska ambitioner och inriktningar.

Ärvd hotprofil

En organisation är en sammansättning av sitt lands nationella hotprofil, sin särskilda verksamhetsmässiga/organisatoriska hotprofil samt de individer som är en del av organisationen. Detta innebär att man särskilt behöver uppmärksamma sammansättning av profiler för att avgöra vilka hot som kan komma att riktas mot verksamheten. Genom att förstå detta blir det således enklare att förstå vilka skyddsåtgärder som är rimliga att vidta.

Generell hotprofil

Den generella hotprofilen är bruset. Det är alla de hot som kan komma att riktas mot dig endast på grund av att du har närvaro på internet. Du kommer utsättas för phishing, eller öppna e-postmeddelanden med skadlig kod. Dina anställda kanske kommer surfa på komprometterade hemsidor som sprider skadlig kod osv. Det spelar ingen roll vem du är, vilken bransch, organisation eller land du befinner dig i, dessa hot kan komma att riktas mot alla.

Hur skulle en hotprofil kunna se ut?

Låt oss börja med en individuell hotprofil. Vad skulle en sådan innehålla? Du kan komma att utsättas för vissa typer av hot om din ekonomiska situation är av viss… typ. Du kanske har lyckats dra på dig skulder i ungdomens år genom några olyckliga snedsteg. Detta gör dig mer mottaglig för finansiellt relevanta hot, så som utpressning eller phishing baserat på finansiella tjänster. Den individuella hotprofilen beskriver sådana hot som är relevanta för just dig.

Egenskap Kommentar
Svagheter Ekonomiskt utsatt
Relationer Kontakter inom försvarsindustrin
Kompetenser Kunskap om Siemens PLC för SGT54000F gas turbiner
Anställning Statlig, Myndighet Viktig
Hot Värvning agent, spear phishing, social engineering

Detta är endast ett enkelt förslag på hur det kanske skulle kunna se ut med en individuell hotprofil. Med lite tid kanske det här skulle kunna fläskas ut till något ordentligt med en fullständig profil för den person mot vilken den är ämnad. Tanken är att du lyfter fram de egenskaper hos individen som gör hen unik och vilka hot som troligtvis kan komma att riktas mot denna.

Organisatorisk hotprofil

Om vi förflyttar oss från individen till organisationen hur skulle vi kunna föreställa oss en organisatorisk hotprofil? Jag tänker mig något i stil med följande.

Egenskap Kommentar
Bransch Hotell- och restaurang
Tillgångar Hantering av betalkort
Hotaktörer Kriminella med målsättning om att tjäna pengar, ej statliga aktörer.
Hot Phishing, Skadlig kod på betalterminaler, “Lokala” attacker genom utbyte av betalterminaler.
Sårbarheter Decentraliserad infrastruktur, generellt sett lågt säkerhetsmedvetande hos de anställda som hanterar betalterminaler och kort.

Jag föreställer mig sedan att dessa (givetvis) utökas med avsevärt mycket mer detaljrikedom och omfattning för att tydliggöra mer exakt hur hoten skulle kunna realiseras, på djupet undersöka vilka sårbarheter som skulle kunna användas.

Branschorienterad hotprofil

Det finns ett antal branscher som är mer utsatta än andra. Hotell- och restaurangbranschen är särskilt utsatta eftersom de behandlar stora mängder betalkort och inte heller alltid har den högsta säkerheten eller säkerhetsmedvetenheten. En branschorienterad hotprofil skulle således innehålla något i stil med följande:

Egenskap Kommentar
Bransch Biomedicin
Hotaktörer Statliga aktörer med politisk inriktning om högteknologisk utveckling. APT-XX, APT-YY.
Hot Spearphishing, waterhole
Länder Land X, Land Y och Land Z är särskilt utsatta.
TTP (ATT&CK) Med hänvisning till hotaktörer har följande typer av angrepp observerats: T1195 , T1193 .

Min tanke med den branschorienterade hotprofilen är att, likt övriga hotprofiler, beskriva det som är specifikt och utmärkande för just den här branschen. Dessa profiler ärvs sedan av de organisationer som är verksamma inom dessa eller har någon form av relation till en sådan organisation.

Nationell hotprofil

Den nationella hotprofilen är till stor del beroende av hur det aktuella landet bedriver politik, och då särskilt utrikes- och säkerhetspolitik samt forskning. Vad satsar landet på? Vad säger politikerna i olika sammanhang om t.ex. sanktioner riktade mot ett särskilt land? En nationell profil innehåller således information om andra nationsstater som kan komma att rikta hot mot det aktuella landet. Precis som branschmässiga hotprofiler ärvs den nationella profilen av de länder som är verksamma i det aktuella landet.

Egenskap Kommentar
Land Sverige
Politiksinriktning Socialdemokratisk
Utrikes- och säkerhetspolitik Västerländsk med vissa inslag av alliansneutralitet
Hotaktörer Statliga: Iran (APT-YY), Ryssland (APT-ZZ) och Kina (APT-XX)
Export (branscher, industrier) Fordon, Mineraloljor, Medicinska och farmaceutiska produkter etc.

(PS: Jag är definitivt inte särskilt politiskt insatt och betrakta inte ovan försök att exemplifiera en nationell hotprofil som förankrad i verkligheten…)

Kanske är den nationella hotprofilen i huvudsak kopplad till branscher. Men därutöver tillkommer den säkerhetspolitiska inriktningen där den kan ge upphov till att vissa länder kommer att visa ett särskilt “intresse” för aktuellt land. Jag tror den nationella hotprofilen skulle kräva avsevärt mycket mer kompetens än vad jag besitter. Någon med en politisk kompetens och engagemang skulle nog vara nödvändigt.

Värdet av hotprofiler

Och så anländer vi då till den del där jag ska försöka summera och förstå om det finns ett värde av att använda hotprofiler. Intuitivt tycker jag att det bör kunna finnas ett värde i att upprätta olika typer av hotprofiler. Det är åtminstone minst lika värdefullt som att upprätta en informationsklassificering för en given informationsmängd. Skillnaden, som jag ser det, är att en hotprofil är förankrad i den yttre världen om vilka hot som kan komma att riktas mot en given verksamhet, organisation eller bransch. Informationsklassificeringen blir väldigt “internt” styrd och även om verksamheten bedömer att en given informationsmängd är viktigast för verksamhetens överlevnad saknas oftast kopplingen till om det faktiskt finns någon annan som intresserar sig för informationen. Självklart menar jag inte att dessa står i motsats till varandra utan de kan tveklöst användas för att komplettera varandra.

Nå väl. Hur tänker ni? Ser ni ett värde i att använda hotprofiler som grund för säkerhetsarbetet?

FörsvarHotprofil

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Sverige deltog i världens största cyberförsvarsövning

CIS Controls version 7 - Åtgärd 9 - Nätverksportar, tjänster och protokoll - (9/20)