Projekt: Applikation och system för arbete med underrättelser i cyberdomänen

Tuesday, June 25, 2019

UnderrättelserIdéProjekt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

För några veckor sedan skrev jag om automatisk klassificering av artiklar från öppna källor. Detta började som ett experiment och en önskan om att i högre takt och större utsträckning kunna bearbeta artiklar från öppna källor. Tänkte att det vore på sin plats med en kortare uppdatering kring projektet och vad jag håller på med… och varför det varit någon form av radiotystnad från min sida.

Arbetsnamn: CORS Prospicio

Idag är min verklighet ganska knölig. Det är många olika verktyg som tjänar olika syften. En insamlingsdatabas, ett bearbetningsverktyg, diverse småverktyg för att behandla och bearbeta insamlade dokument och så applikationer för att producera rapporter och slutprodukter.

Det är en ganska rörig process som hänger ihop men inte inte är särskilt effektiv och ändamålsenlig, ett hophack så att säga. Än mindre en tydlighet i hur resonemang är förankrade i observationer, eller “fakta”. Transparensen i en slutsats är … inte särskilt transparent och det vill jag givetvis försöka ändra på.

Syftet (och förhoppningen) med systemet är att ge mig ett integrerat verktyg som följer hela underrättelsekedjan från start till slut, från inriktning till återkoppling från beställare/konsument.

I skrivande stund finns det funktioner för att låta systemet inhämta (steg 2) information från utpekade URL:er, genomföra viss bearbetning (steg 3) av inhämtat material vilket gör att materialet i analysen (steg 4) blir enklare att hantera. För tillfället lägger jag mycket tid och energi på att lära mig React för att få ihop något slags någorlunda vettigt grafiskt interface. Helt klart mer respekt för grafiska formgivare, det är inte särskilt enkelt att göra det bra.

I backend (Python och MongoDB) har jag implementerat ett REST-api för att ge mig själv lite utrymme att vara flexibel i framtiden med hur jag väljer att interagerar mot tjänsten. Jag har t.ex. utvecklat en enklare CLI-klient som jag kan använda för att lägga till och ta bort artiklar osv.

Verktyget… en liten del av det…

Lite underrättelseteori

Jag har lite sporadiskt skrivit om underrättelser men tänkte att jag kanske borde skriva lite mer. Det här får bli en mycket kort mjukstart.

Allt börjar med underrättelseinriktningen som ska vara just det, inriktande. Den pekar ut var kunskapsbristerna och behovet är som störst och var underrättelser ger mest värde för en beställare/konsument. Planerings och inriktnings-arbetet syftar till att, bland annat, identifiera prioriterade underrättelsekrav. Exempelvis skulle ett sådant krav kunna vara något i stil med följande:

  • Vilka aktörer är verksamma i vår bransch och vilka metoder använder de vid angrepp?

Detta behöver sedan omsättas till informationskrav (eller senare insamlingskrav). Vilken information behöver vi inhämta för att kunna besvara denna fråga? Exempelvis:

  • Finns det några öppna källor som rapporterar angrepp mot vår bransch? Stängda källor?
  • Används vissa angreppsmetoder endast mot vår bransch?

Dessa informationskrav använder vi sedan för bedöma vilka insamlingskrav som gäller och är aktuella. Insamling från öppna källor kommer givetvis vara framträdande, men även inhämtning från interna/stängda källor som t.ex. incidentrapportering eller kanske från externa parter i samma bransch.

Bearbetning (steg 3) kan vara delvis automatiserad och skulle exempelvis kunna avse översättning, automatisk taggning (eller åtminstone förslag på taggning). Det är exempelvis i det här steget jag avser tillämpa lite enklare ML för att automatiskt föreslå relevanta taggar för innehållet.

Avslutande ord

Det jag arbetar på nu är att få upp någon slags version av en minimal produkt, men som fortfarande är värdefull och kan användas. Jag har stora ambitioner, men vad verkligheten tillåter mig att genomföra återstår att se. Det kvarstår mycket arbete med applikationen. Datamodellen förändras mer eller mindre varje dag!

Tycker du detta verkar intressant? Hör av dig så berättar jag gärna mer! Eller vad som är på gång.

UnderrättelserIdéProjekt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

CIS Controls version 7 - Åtgärd 12 - Perimeterskydd - (12/20)

CIS Controls Version 7 - Åtgärd 11 - Säker konfiguration för nätverksenheter