En guide til Cyber Threat Intelligence

Cyber Threat Intelligence, eller trusselsunderretning, fungerer som din organisations primære forsvar mod trusselsaktører og sikkerhedsrisici.

05-05-2022 - 10 minutters læsning. Under kategorien: cybercrime.

En guide til Cyber Threat Intelligence

Cyber Threat Intelligence, eller trusselsunderretning, fungerer som din organisations primære forsvar mod trusselsaktører og sikkerhedsrisici, der kan være målrettet dine data, infrastruktur, aktiver, ansatte eller stakeholdere. At forstå vigtigheden af disse oplysninger og arbejde på at forbedre kvaliteten af de informationer om potentielle trusler, der indsamles, er afgørende for at maksimere din organisations forsvarskapacitet og sikkerhedsposition.

I dette blogindlæg vil vi:

  • Definere forskellige typer af trusselsunderretninger (Cyber Threat Intelligence)
  • Diskutere de vigtigste koncepter og roller som trusselsunderretninger spiller i din organisations cybersikkerhed
  • Skitsere trinene til at skabe en trusselsunderretning af høj kvalitet der skaber værdi for din organisation og dens sikkerhedsteams

Hvad er trusselsunderretning (Cyber Threat Intelligence)?

Trusselsunderretning refererer til den information, data og kontekst, der bruges til at opdage, vurdere, prioritere og imødegå cybertrusler for at forhindre potentielle angreb mod en organisation.

Udover dette kan trusselsunderretninger også analyseres af virksomheder til at forbedre beslutningsprocessen om, hvordan man opbygger langsigtede planer, der mere effektivt afværger potentielle, fremtidige cyberangreb.

Hvorfor trusselsunderretning er så vigtigt

Efterhånden som trusselsaktører bliver mere avancerede i deres evne til at udnytte angreb mod specifikke virksomheder eller industrier, er det afgørende for organisationer at videreudvikle deres egne kapaciteter inden for trusselsunderretning for at beskytte deres data og infrastruktur. En grundig forståelse af ens virksomheds sikkerhedsrisici er essentielt for at vide, hvilke værktøjer og teknologier der er nødvendige for at identificere, prioritere og bekæmpe risici.

En stor del af trusselsunderretningen er at vide, hvor man skal lede efter information. Dette er blevet mere udfordrende, efterhånden som de kanaler, hvorigennem trusselsaktører opererer, ændrer sig og udvides. Ofte bruges the dark web til at udveksle information eller handle med ulovlige varer, hvilket betyder, at dine sikkerhedsteams skal være fortrolige denne del af internettet.

At vide hvordan din organisation kan blive et mål for cyberkriminelle, er også nødvendigt for proaktivt at afværge angreb. Tusselsaktører kan anvende en række metoder til at udføre deres angreb, f.eks. brute force-angreb og credential stuffing, så det er vigtigt, at dine sikkerhedsteams er forberedte på alle slags angreb.

Fem faser i trusselsunderretning

Selvom trusselsunderretning omfatter hele processen med at håndtere trusler, fra dataindsamling til informationsformidling, kan den opdeles i fem faser, der definerer hvert trin i processen.

  • Planlægning og retning: Afgør omfanget og målene for kerneroller og -processer
  • Indsamling: Implementer dataindsamlings- og behandlingsteknikker
  • Analyse: Oversæt rå data til meningsfuld information
  • Produktion: Vurder informationernes betydning og alvor baseret på forretnings- og miljømæssig kontekst
  • Formidling og feedback: Rapport om den færdige trusselsunderretning

Anvendelser af trusselsunderretningens faser

Stadierne af trusselsunderretningen er en vigtig del af enhver organisation for at få mest muligt ud af sikkerhedsindsatsen. At forstå de typer trusler, du håndterer, giver dig mulighed for mere specifikt at optimere forebyggelsen af de risici, din organisation står over for.

Selvom den generelle proces er den samme, kan det se anderledes ud at anvende den på insidertrusler kontra eksterne sikkerhedstrusler, da disse hver især kræver forskellige overvejelser. En skræddersyet proces er påkrævet for korrekt at vurdere de risici, en organisation står over for og effektivt forebygge dem.

De tre typer trusselsunderretninger

Der er tre typer af trusselsunderretninger, som hver har sin egen funktion til at bekæmpe nye trusler og cyberangreb. Strategisk, operationel og taktisk trusselsunderetning spiller alle komplementære roller i opbygningen af en omfattende cybersikkerhedsplan, der kan håndtere de risici, din organisation står over for.

1) Strategisk trusselsunderretning. Strategisk trusselsunderretning giver et overblik over potentielle trusler på højt niveau og overblik over, hvordan de udvikler sig over tid. Historiske tendenser og kontekstuelle data er begge meget vigtige for strategisk trusselsunderretning, da egenskaber og information forbundet med tidligere trusler ofte har betydning for potentielle fremtidige angreb.

På grund af dens bredere karakter bruges strategisk trusselsunderretning normalt af C-suite-ledere eller andre højtstående personer, som har størst gavn af en opsummering af tendenser inden for sikkerhedstrusler. Man behøver ikke at have en stærk teknisk baggrund for at forstå strategisk trusselsunderretning.

2) Operationel trusselsunderretning. Operationel trusselsunderretning er mere handlekraftig og fokuserer på specifikke angreb, som en organisation kan udsættes for. Den præciserer, hvordan dit sikkerhedsteam skal forstå et sikkerhedsbrud eller angreb, og de processer, der ville være mest effektive til at begrænse eller afværge det. Operationel trusselsunderretning giver mere indsigt i en trusselsaktørs motivationer, evner og timing og anvender samtidig din virksomheds strategiske trusselsunderretning til planlægningen af håndteringen af et angreb.

Operationel trusselsunderretning kræver en stærk teknisk baggrund og bruges oftest af sikkerhedsteams og deres tilknyttede afdelinger. Analytikere, hændelsespersonale og andet personale har stor gavn af operationel trusselsunderretning af høj kvalitet som en måde at kontekstualisere og prioritere risici og forstå deres strategiske implikationer.

3) Taktisk trusselsunderretning. Taktisk trusselsunderretning beskæftiger sig med information om de taktikker, teknikker og procedurer, der er nødvendige for at opbygge en cybersikkerhedsplan.

Det er det mest grundlæggende niveau af trusselsunderretning og er bygget på dokumentationen af tidligere og nuværende trusler og angreb, som derefter omdannes til IOC'er (Indicator Of Compromise), der fungerer som en guide til analytikere, som bedømmer fremtidige eller igangværende hændelser. Taktisk trusselsunderretning kontekstualiserer isolerede begivenheder for at hjælpe sikkerhedsteams med at beslutte, hvor alvorlig en trussel virkelig er.

Tekniske teams er oftest dem, der beskæftiger sig med taktisk trusselsunderretning. Denne form for trusselsunderretning ændrer sig hele tiden og forholder sig forskelligt til hver trussel.

Hvad er trusselssøgning?

Mens indsamling af information relateret til trusler er en kritisk del af din trusselsunderretning, er det muligt at overse nogle af de risici eller trusselsaktører, der truer din organisation. For at minimere denne risiko er det nyttigt at inkludere en aktiv trusselssøgning i trusselsunderretningen.

Trusselssøgning er en mere proaktiv tilgang til dataindsamling, da det er en aktiv søgning efter trusler eller cyberkriminelle, der har tilgået eller kan tilgå din virksomhed. Hvis disse ikke opdages, kan de indsamle fortrolige oplysninger over lang tid og forberede et stort angreb.

Mange organisationer mangler en handlingsplan til at opdage og fjerne trusler fra deres systemer. Trusselssøgning kan fjerne trusler, inden de kan udvikle sig til alvorlige angreb eller databrud.

Brugen af trusselsunderretning

Styrk din organisations sikkerhedsposition

De måder hvorpå trusselsunderretningen kan gavne dit team eller din organisation, afhænger af din rolle og dine mål. Måske vigtigst af alt, så giver en solid trusselsunderretning dig muligheden for at styrke sikkerhedspositionen i hele din organisation. Jo bedre du forstår de potentielle trusler, jo bedre forberedt kan du være på at reagere på truslerne.

Kontekstuel indsigt og analyse

Trusselsunderretningen hjælper også med prioriteringen af trusler og giver værdifuld indsigt i, hvordan en bestemt risiko kan udspille sig for din organisation. Hvis et angreb sker, forbedres analysen af dets status og indvirkning også ved hjælp af den information, dine teams har om hvem, hvad og hvordan i situationen.

Proaktiv trusselssøgning

Brug trusselssøgning til at afsløre tidligere uopdaget databrud eller cyberkriminelle og proaktivt stoppe angreb, der er målrettet dine data og infrastruktur.

Hvad er en trusselsaktør?

I store træk er en trusselsaktør enhver part, der deltager i ulovlige aktiviteter. Fysiske trusselsaktører er dem, der bruger fysiske metoder, såsom et terrorangreb, mens cybertrusselsaktører opererer online og udfører cybertrusler, såsom ransomware-angreb og DDoS-angreb.

Disse trusselsaktørers handlinger afhænger af deres taktik, gruppe, motivation og andre faktorer. Mange er en del af et større ulovligt fællesskab, ofte onlinebaseret, på the dark web. De kan videregive de data eller informationer, de får adgang til, på the dark web, hvilket kan gøre databrud vanskelige at spore og lede til flere cyberangreb.

Ved at forstå trusselsaktører og deres taktikker, teknikker og procedurer kan organisationer, der udnytter trusselsunderretning, træffe mere informerede beslutninger om, hvordan de proaktivt beskytter sig bedst.

Motivation for cyberkriminelle

Mens ransomware-grupper er klare eksempler på trusselsaktører med økonomiske motiver, er det nogle gange mere kompliceret end som så. Motivationer kan generelt deles mellem økonomiske og ideologiske, men underkategorierne af disse er nuancerede.

Motiveret af penge

Finansiel profit er en af de største drivkræfter bag cyberkriminalitet. Fra organiserede ransomware-angreb til insider-trusler, disse angreb udføres ofte med den hensigt at konvertere de stjålne data til noget af pengeværdi, oftest kryptovaluta, så hurtigt som muligt.

Typer af økonomiske trusselsaktører omfatter:

  • Ransomware-aktører: Når de arbejder individuelt eller som en gruppe, udfører ransomware-aktører angreb, der enten krypterer data for at tvinge ofre til at betale for dekrypteringsnøglen eller truer med at frigive følsomme oplysninger, hvis en betydelig løsesum ikke betales.
  • Insidertrusselsaktører: Insidertrusler udgør en betydelig del af alle databrud og involverer medarbejdere i en virksomhed eller organisation, der udnytter fortrolig information eller netværksadgang til at skade en virksomhed for personlig vinding. Dårlig sikkerhedshygiejne kan også føre til utilsigtede brud og tæller også som insidertrusler.
  • Organiserede grupper: Organiserede cyberkriminalitetsgrupper udgør en stor del af de aktører, der står bag cyberkriminalitet. De arbejder i professionelle og strukturerede netværk, der gør dem i stand til at udføre store og avancerede angreb.
  • “Carders”: “Carders” har ofte en lav teknisk viden og stjæler kreditkort, som de efterfølgende kan udnytte eller sælge videre.
  • Svindlere: Svindlere er involveret i forskellige former for svindel, som f.eks. identitetstyveri, online dating-svindel, pyramidespill og phishing.
  • “Script-kiddies”: De er også kendt som "skiddies" og anvender scripts eller programmer, som er designet af andre, til at angribe computersystemer. De er ikke i stand til at udføre avancerede angreb, men kan stadig tvinge sig adgang til fortrolige oplysninger eller systemer.

Motiveret af socio-politiske faktorer

Ideologiske trusselsaktører er drevet af politiske og sociale faktorer, og angreb udføres ofte af en stor gruppe for at fremhæve et større emne eller for at skade en gruppe med en anden ideologi.

Disse angreb har normalt til formål at skabe kaos og skabe opmærksomhed omkring de cyberkriminelle bag dem eller de problemer, de står over for. Dette er meget modsat de finansielt motiverede cyberkriminelle, der ønsker at udføre deres angreb så anonymt som muligt.

Typer af ideologiske trusselsaktører omfatter:

  • APT-grupper: “Advanced Persistent Threat (APT)”-grupper er normalt politisk eller økonomisk motiverede, og deres angreb er rettet mod statsinstitutioner, kritisk infrastruktur og store virksomheder. De benytter sig ofte af spear phishing eller social engineering til at udføre deres angreb. Når de får adgang til et systems infrastruktur, stjæler de fortrolige oplysninger og gemmer dem.
  • Statssponsorerede grupper: Regerings- eller statssponsorerede grupper er trusselsaktører, som er støttet af en nationalstat, enten direkte eller indirekte. Deres mål og taktik svarer normalt til APT-gruppernes mål, og deres regeringsstøtte gør dem i stand til at bruge avancerede ressourcer.
  • Hacktivister: Hacktivister støtter deres egen politiske eller sociale dagsorden, og deres mål er ofte at skade en virksomheds eller myndigheds omdømme og skabe bevidsthed om deres sag.
  • FUD (Fear, Uncertainty, and Doubt): FUD-motiverede trusselsaktører distribuerer falsk eller vildledende information (misformation) og forsøger ofte at påvirke offentlighedens opfattelse af politiske partier, andre nationer eller lign.

Hvad er formålet med en cybertrusselanalytiker?

Ved at bruge de data der er indsamlet under indsamlingsfasen af trusselsunderretningen, er en cybertrusselanalytiker ansvarlig for at identificere og vurdere risici og trusler. Som tovholder for mange forskellige teams, der er afhængige af trusselsunderretningen, skal denne analytiker være i stand til at vurdere forskellige typer information fra en række forskellige kilder, inklusive dem af teknisk karakter, og kommunikere dem til personer, som kommer fra forskellige baggrunde og har forskellige niveauer af teknisk ekspertise.

Cybertrusselanalytikere har generel erfaring med cybersikkerhed og computernetværk og kan tidligere have arbejdet som netværksingeniører. At være på forkant kræver et stærkt kendskab og evne til at følge med i de potentielle trusler, som hele tiden udvikler sig, hvilket betyder, at der er en sammenhæng mellem kvaliteten af din trusselsunderretning og hvor effektiv en analytiker, du har.

Forfatter Sofie Meyer

Sofie Meyer

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Se alle indlæg af Sofie Meyer

Lignende indlæg