Genom åren har jag många gånger fått frågan om hur ett företag kan börja arbeta med Cyber Threat Intelligence (CTI). Frekvensen på frågandet har inte minskat. Och mitt svar har inte förändrats särskilt mycket heller. Idag skriver jag om detta, och försöker ge den nyfikne några konkreta tips och råd på hur, och med vad, de kan börja.
Men det finns inga genvägar. Vi måste alla vandra ungefär samma väg för att nå en effektiv CTI, men vägen dit behöver samtidigt vara okänd bara för att någon ny ska vandra den. Jag vill genom denna kortare artikel erbjuda dig en enklare vägledning som en start på din resa.
Vägen du behöver vandra
Innan du påbörjar en resa behöver du vara någorlunda tydlig med var du är på väg. Egentligen ganska uppenbart, eller hur? Men ändå verkar det vara ganska svårt för många att bestämma målet, slutdestinationen med arbetet.
Allt vi gör med motivet cybersäkerhet handlar om att förhindra cyberangrepp. Oavsett vilket ramverk, vägledning, riktlinje, eller policy du läser, följer, arbetar, eller lutar dig mot så är essensen att de alla vill hjälpa dig att förhindra cyberangrepp. Antingen genom att minska sannolikheten för att du utsätts, eller reducera konsekvensen när du väl drabbas.
Dessvärre verkar det ibland som att essensen fallit i glömska, och målet istället har börjat handla om att efterleva och uppfylla ramverken. Det känns som att vi tappat greppet om “varför”. Se därför detta som en vänlig påminnelse om varför vi jobbar med cybersäkerhet; vi vill förhindra alla former av cyberangrepp.
Oavsett var du befinner dig är detta din främsta uppgift, och oavsett hur du väljer att definiera din roll, eller vad som kommer först (informationssäkerhet, IT-säkerhet, cybersäkerhet osv.) är essensen kvar.
En aktör med statlig härkomst genomför cyberangrepp. En tidigare anställd som kopierar företagshemlig information till en USB-sticka och tar med sig ut vid avslutad anställning; cyberangrepp.
PCI-DSS är ett ramverk för att minska sannolikheten, och konsekvensen, av att en antagonist lyckas genomföra ett cyberangrepp mot de processer och tekniker som hanterar kortbetalningar.
Och så vidare.
Hotunderrättelser - En utgångspunkt
Låt mig nu ge dig en utgångspunkt: hotunderrättelser hjälper dig att förhindra cyberangrepp. De hjälper dig med att fokusera dina begränsade resurser (tid, pengar och personal) och prioritera rätt åtgärder, för rätt problem.
De flesta ramverk, ger dig ingen direkt prioritering utan lämnar det nästan alltid upp till dig att avgöra. CIS8 introducerade Implementation Groups (IG) som ett sätt att försöka hjälpa dig med prioritering, men de är fortfarande alldeles för grova och icke-transparenta. De förklarar inte varför en given prioritering är gjord, få “varför” faktiskt överhuvudtaget. Och ungefär samma sak för ISO27002.
NIST Cyber Security Framework har samma utmaningar, men det är något som de åtminstone försöker adressera. Eller CISA försöker adressera borde jag säga. I deras strategiska cybersäkerhetsplan för 2024-2026 är flera av deras övergripande strategiska inriktningar just på temat “förstå cyberangrepp” och vilka åtgärder som är effektiva.
Hotunderrättelser helt och hållet, det är den saknade pusselbiten för att kunna utnyttja alla ramverk, och prioritera bland alla möjliga åtgärder.
Börja med att förstå cyberangrepp
Ska du förutspå, förhindra, upptäcka eller förebygga cyberangrepp behöver du först och främst förstå dem. Och jag ser inte heller här några genvägar. Du behöver förstå de olika faserna i ett cyberangrepp, och hur de generellt sett fungerar, och det finns några vanligt förekommande beskrivningar som t.ex. Cyber Kill Chain , eller MITRE ATT&CK .
Tyvärr, och alldeles för ofta, fnyser “icke-tekniker” åt en sådan här inställning för att vara… alldeles för teknisk. Men hur du än vänder och vrider på det, behövs grundläggande förståelse för hur angrepp genomförs, och hur de på det stora hela fungerar.
Jag menar inte att expertis behöver uppnås, men att kunna föra sig i ett samtal om cyberangrepp är däremot nödvändigt.
Förstå vad som händer idag
En av de första konkreta aktiviteterna du kan påbörja redan idag, det är att läsa många av de alldeles utmärkta rapporter som finns om hotlandskapet. Bilda dig en övergripande uppfattning om vad det är som sker i vår omvärld, och hur denna omvärld kan komma att påverka just dig, och det företag du försöker skydda.
Varje år släpps det massor av små och stora rapporter, men jag skulle rekommendera dig att börja med de stora rapporterna. Där får du oftast sammanställd information kring vad som hänt. Det är svårt att börja läsa många små enskilda artiklar och försöka sammanfoga dessa till en större helhet, ta det lite senare.
Här kommer två rapporter: Först kan du läsa Truesecs årliga hotrapport, den har ett tungt fokus på norden och tveklöst en av de mer representativa rapporterna om vad som händer i vår närhet.
https://www.truesec.com/hub/report/threat-intelligence-report-2022
Sedan har du t.ex. BlackBerrys rapport. Det som är utmärkande för Black Berry är att de också publicerar två andra associerade tilläggsrapporter som täcker MITRE ATT&CK-tekniker så väl som MITRE D3FEND motåtgärder.
MITRE ATT&CK och MITRE D3FEND https://github.com/blackberry/threat-research-and-intelligence/tree/main/Blogs%20%26%20Reports/Reports/2023%20-%20Q2%20CTI%20Insights%20Report
Även om de senare tilläggsrapporterna känns lite främmande så ger dessa dig en möjlighet att utvärdera existerande skyddsåtgärder, och förstår hur åtminstone BlackBerry menar att du behöver skydda dig från angrepp.
Nästa steg
När du börjar få en mer systematisk uppfattning om hotlandskapet, och producerar dina egna sammanfattningar av omvärlden kan du också ta nästa steg. Och det är att sätta verklighetens angrepp i perspektiv av ditt företags verksamhet. Av alla de metoder angripare använder för att etablera initialt fotfäste, vilka har ni skydd mot? Vilka har ni testat? Vilka behöver uppdateras? Vad händer om någon av skydden missbrukas, eller vänds emot er?
Nästa steg kommer jag också skriva mer om i en framtida artikel. Och som alltid är jag intresserad av att höra ifrån dig. Har du några synpunkter, kommenterar eller skulle vilja diskutera något?