Hva er egenlig cyber situasjonsforståelse, og hvordan oppnår vi det?
Situasjonsforståelse kan deles inn i tre nivåer:
1. Å oppfatte at en hendelse har funnet sted i tid og rom.
2. Å forstå hva det betyr at hendelsen har funnet sted
3. Å forutse hva hendelsen vil kunne føre til
La oss se på et eksempel:
1. Sikkerhetsovervåking avslører at store mengder data sendes fra en av virksomhetens datamaskiner til en IP-adresse i et annet land. Analytikeren oppfatter at dette skjer.
2. Analysene avslører at dataene er innholdet i en database som brukes av utviklingsavdelingen, og at de sendes til en nasjon der myndighetene er kjent for å bruke cyber-virkemidler for å støtte opp om sin nasjonale industri. Analytikeren forstår hva det er som har skjedd og iverksetter umiddelbart tiltak som forhindrer videre tap av informasjon.
3. Virksomheten analyserer situasjonen og kommer til at en konkurrent trolig står bak, og at han trolig vil bruke informasjonen til å vinne fremtidige kontraktsforhandlinger. Virksomheten forutser hva hendelsen kan føre til, og kan med bakgrunn i dette gjøre strategiske valg.
Enkelt? Overhodet ikke!
Det finnes mange forslag til hva et cyber situasjonsbilde skal være. Sjefen/styret ønsker et overordnet bilde, gjerne med noen farger som indikerer om alt er ok. Analytikeren setter gjerne opp sine egne triggere i alle mulige systemer for å raskest mulig fange opp hendelser. Mitt fokus er på ledelsen av enheten som skal håndtere hendelsen. Denne står midt mellom analytikeren og virksomhetens ledelse, og må innhente informasjon fra begge leire.
Fallgruver
Jeg har sette flere forsøk på å etablere løsninger for cyber situasjonsforståelse, og noen av dem har feilet ganske kraftig. En fellesnevner er at man ikke har tatt seg tid til å vurdere hvilken informasjon det er behov for, men brettet opp ermene og laget en eller annen teknisk løsning. For deretter å finne ut at det ikke var noen som trengte det. Noen eksempler:
1. Dyre SIM/SIEM løsninger. Etter at løsningene er implementert oppdager du at de IKKE kan ta i mot noen logg-kilder som faktisk er helt kritiske. Korreleringen mot sårbarhetsundersøkelsene fungerer dårlig i praksis fordi du ikke klarer å måle systemene ofte nok. Løsningene forteller lite om virksomheten, altså hvilken kontekst hendelsene skal vurderes i. Resultatet er at en ikke vet om en gitt hendelse er alvorlig, og risk-score systemet er nærmest ubrukelig.
2. Enkle PowerPoint/SharePoint dashboards. Disse ser flotte ut. Kanskje noen i ledelsen så et slikt dashboard et sted, og nå skal det innføres i din virksomhet også. Energien legges i utformingen av dashboardet, og ikke så mye i arbeidet med å innhente og analysere informasjonen som skal presenteres. Resultatet er at det "dør på rot".
3. Egenutviklede løsninger. Disse er gjerne bedre tilpasset de behovene og systemene som virksomheten har, men med mindre en har en egen utviklingsavdeling er det stor fare for at løsningen ikke blir oppdatert eller holdt ved like.
The good way to do it
I stedet bør man starte med å analysere hvilken informasjon som er nødvendig for å kunne ta gode beslutninger. Hvis en tar seg tid til å løfte blikket og se hvilken informasjon analytikere og ledelse har behov for, ender du kanskje opp med et informasjonsbehov som er annerledes enn det du først trodde.
 |
| Dataklassene som inngår i cyber situasjonsforståelse |
Cyber events
Dette er alle hendelser som er relevante i analysearbeidet. Det inkluderer naturligvis informasjon fra inntrengningssystemene, men også alle andre logg-kilder som må samles inn for å kunne fastslå et hendelsesforløp.
Key Cyber Terrain
For å forstå en hendelse, eller for å forstå hvilke mottiltak som er mest hensiktsmessig, må en forstå cyberlandskapet. Store virksomheter kan ha store og komplekse IT-løsninger, spredt utover mange funksjonsområder og geografiske avstander. I en gitt situasjon er imidlertid ikke alle deler av nettverket like viktig. "Key cyber terrain" kan feks være avgrenset til internett-portalen, ordresystemet eller serverne som kjører en spesifikk versjon av operativsystemet. For å forstå hva som er viktig, må dette avklares sammen med den eller de som driver virksomheten.
Ongoing operations
For store virksomheter, som Forsvaret hvor jeg har min bakgrunn, kan det være flere pågående operasjoner samtidig. Håndteringen av flere samtidige hendelser må koordineres med tanke på tid, rom, ressurser osv. I tillegg må de kunne presenteres samlet for ledelsen.
Cyber readiness
Hvilke cyberkapasiteter har virksomheten? Hva er status for utstyret? Er treningsnivået tilstrekkelig? Er bemanningen god nok? Er de ute på oppdrag, eller er de disponible? Når en leder hendelseshåndtering, må en vite hvilke ressurser som er tilgjengelig. Å legge planer for ressurser du ikke har er en dårlig idé.
Cyber vulnerabilities
Hvilke sårbarheter har du i ditt "Key cyber terrain"? Er det oppdatert? Er det minimert? Har du tilstrekkelig konfigurasjonskontroll og en oppdatert oversikt over hvilke sårbarheter som finnes i de mest kritiske delene av ditt cyberlandskap.
Threat Landscape
Hvilke trusler står virksomheten over for? Hva vet du om truslene? Hvilke intensjoner driver dem til å angripe akkurat din virksomhet? Hvilke teknikker og metoder bruker de? Hvordan kan du oppdage om de har angrepet virksomheten? Hvordan kan du forberede deg på å avskjære angrepene? Har du sårbarheter i ditt key terrain som truslene som er mest relevante for deg kan utnytte? Trusselbildet er dynamisk og i konstant endring.
Først når du har vurdert disse dataklassene nøye og funnet ut hvor informasjonen oppstår, hvordan du skal samle den inn og vurdere den, først da kan du utvikle en løsning for hvordan den skal presenteres. En til tilnærming vil også skape den nødvendige forankringen både oppover og nedover i organisasjonen, og sørge for at alle forstår hvilken rolle de spiller i etableringen av situasjonsforståelsen.
Først da kan du si at det er en felles situasjonsforståelse.
(1) Operational Data Classes for Establishing Situational Awareness in Cyberspace
Ingen kommentarer:
Legg inn en kommentar