Underrättelseanalys är ett omfattande område. Det finns en uppsjö av böcker på ämnet som avhandlar diverse analysmetoder och tekniker. Men sällan är de praktiskt upplagda eller särskilt illustrativa om hur det skulle se ut i verkligheten. Jag är av den uppfattningen att teori måste blandas med praktik för att synliggöra vad som faktiskt fungerar och vilka utmaningarna är.
I den här artikeln är målsättningen att visa lite mer hands-on hur jag gör mina analyser. Specifikt kommer du få läsa om den kvalitativa analysen och hur jag använder mig utav taggning (eng. coding) för att driva analysen framåt.
Analysprocessen
De första minutrarna
Allting börjar med ett källdokument, utgångspunkten för analysen. I det här fallet håller jag på att läsa rapporten från Kaspersky om Olympic Destroyer. Jag har laddat in dokumentet i en programvara som heter ATLAS.ti .
ATLAS.ti - En programvara för kvalitativ analys
Efter att dokument laddats in i programmet börjar arbetet med att tagga upp delar av dokumentets text. Och här uppstår den första frågan, vilka taggar ska jag använda? Detta beror i stor utsträckning på syftet med varför dokumentet överhuvudtaget analyseras. I mitt fall handlar det om följande:
- Förståelse för omvärldens utveckling så som den förhåller sig till cyberangreppen.
- Förståelse för vilka metoder och tekniker angripare använder samt vilka sektorer som påverkas.
Detta innebär att jag från början har ett antal “taggar” som hjälper mig bygga upp den här förståelsen. Exempelvis har jag bland andra följande taggar: Adversary, Attribution, Victim, Capability, Infrastructure, Obfuscation, Process Injection osv. En del taggar är överordnade andra. Exempelvis är Process Injection något jag klassificerar som en del av Capability. För den observante läsaren kanske ni ser att jag använder mig utav Diamond Modellens olika element (Adversary, Victim, Capability och Infrastructure). Dessa fyra element är dock inte tillräckligt för att kunna göra en djupare analys utan behöver sedan brytas ner i fler underordnade taggar.
Rundor av taggning
Taggarna som jag använder bygger jag på allteftersom dokumentet analyseras och ibland kanske jag behöver byta namn på taggarna. Från början kan det vara ganska övergripande taggningar, kanske ett helt stycke som beskriver ett övergripande fenomen. Ungefär så här:
Bilden till ovan illustrerar en citering filtrerad på en specifik taggning som i det här fallet visar alla citat med taggningen Attribution. Men säg att jag tycker taggningen Attribution är lite för brett för det aktuella citatet, jag vill tagga med vilken TYP av attribution det handlar om. I det här fallet kanske jag skulle vilja säga att det handlar om språklig attribution, så vi lägger till en ny tag på den givna citeringen, taggen Language kanske känns lämplig.
Notera att en taggning kanske visar sig vara meningslös, den tillför inget analytisk värde och kanske senare faller bort. Men så här fortsätter det. Alla citeringar genomgår ett flertal vändor av taggning. Och det fortsätter sedan genom att exempelvis ett citat motsäger ett annat, eller styrker ett annat. Detta blir särskilt värdefullt när jag genom fler än ett dokument vill försöka avfärda en hypotes eller styrka ett påstående.
Nästa steg - Fler källor
Och så här fortsätter det tills vi når ett givet “stopp”, kanske ett datum i tiden, begränsningar i inhämtat material osv. I det här fallet för att jag inte vill skriva mer. I nästa del tänkte jag beskriva lite mer om hur vi utvinner eventuella slutsatser med hjälp av graf-diagram, relationer mellan taggningar och citeringar.
Hoppas den här artikeln givit en viss känsla för vad jag gör med inhämtat material för att kunna utvinna kunskap och producera underrättelser.