Offensive intelligence-led cyber defense

Tre nya linjer till ett offensivare försvar

Ägnar med stor fascination mycket tid åt frågor som rör smartare skydd mot kriminella och vandaler i vårt digitala landskap. Slås av hur ofullständigt uppdaterade många av oss är i frågorna (privat såväl som professionellt). Många organisationer som aktivt har jobbat med cybersäkerhetsfrågorna genom åren har en god grund att stå på. Främst i fråga om medvetenheten om frågan, men även när det gäller effektivt försvar mot olika former av intrång eller försök att stoppa verksamheten. Modellen att jobba med säkerhet på djupet (defense in depth) har blivit ett väletablerat begrepp. Nu sker även en förskjutning mot mera policybaserat säkerhetsskydd på djupet.

Slide2

Bild 1. Säkerhet på djupet – Ett ramverk mot kända it-angrepp.

Som min grovt förenklade bild visar är en etablerad modell med säkerhet på djupet ett adekvat försvar mot kända brottsförsök. Välj vilken organisation som helst av idag och de som arbetar med cybersäkerhetsfrågorna kan vittna om ett otal försök till illegala aktiviteter varje dag. Lyckligtvis stoppas den absoluta majoriteten genom de skydd och förmågor som finns enligt modellen. De som kommer igenom hanteras av den del i organisationen som har till uppgift att reducera skador av inträffade incidenter.

Utmaningen ligger i att hantera det som inte är känt och som ingen har utvecklat någon form av signaturer eller skydd mot. Men, det kan hanteras genom effektiv beredskap mot det okända.

Att titta mot molnen

Molnet har varit på mångas läppar genom de senaste 6 – 7 åren. Utifrån ett verksamhetsperspektiv kan molntjänster vara en enorm konkurrensfördel för att snabbt göra något på marknaden. Just ”TTM”, Time To Market, är en av USP:arna för molnleverantörer och affärsområdeschefer gillar snabbrörlighet. Många som jobbar med cyberförsvar har stora utmaningar i att få till nuvarande karta att passa in i modellen med säkerhet på djupet.

Slide3

Bild 2. Molnformationer ingår inte fullt ut i modellen.

Det finns ett antal goda hjälpmedel att gratis ta hjälp av, exempelvis de guider som Cloud Security Alliance Sverige tillhandahåller. Men, molntillväxten är en rejäl utmaning för cybersäkerheten. För, i ärlighetens namn är det inte bara ljusa, fina och fluffiga moln som växer.

Slide4

Bild 3. Svarta moln finns där – även om de inte syns.

Darknet kallas även för the deep web eller dark web. Namnen är ett begrepp för hemliga nätverk som har någon form av kryptering som skyddar mot insyn från det öppna Internet. Det mest uppmärksammade sådana nätverket idag är Tor (The Onion Router). För den som vill starta en kriminell bana i cyberrymden finns välsorterade marknadsplatser att besöka för att förse sig med rätt verktyg.

Effektivare offensivt försvar

Som rubriken för det här inlägget lyder är det tre nya linjer i ett offensivt försvar som jag har tittat på. Illustrerar först med en bild och förklarar därefter kort vad jag menar.

Slide5

Bild 4. Tre nya offensiva försvarslinjer.

Den första linjen som symboliseras av ett förstoringsglas handlar om att skaffa dig intelligens genom inhämtning och analyser av det mörka Internet. Att förstå vad som är på gång innan det finns färdiga skyddsmekanismer gör att en organisation kan förebygga lyckade attacker genom olika former av manövrer.

Den andra linjen är det jag beskrev i mitt tidigare inlägg om intelligence-led cybersecurity. Det handlar om att föra in matematiska algoritmer som hittar abnormalt beteende. Resultaten kommer med största sannolikhet att initiera mera specifika kartläggningar av det mörka Internet för att förstå hoten i detalj. Den här offensiva försvarslinjen skulle slarvigt kunna kallas för att ”förstå det okända”.

Den tredje linjen är en direkt fortsättning från mitt förra inlägg om Illusive Networks och idén med honungsfällor. För att köpa dig tid att hitta rätt manövrer och/eller permanent skydd mot okända hot ser jag den här formen av förmåga som viktig. Tekniken handlar i korthet om att jobba med desinformation och illusioner. Banditen som angriper dig vill efter lyckat inbrott i din digitala milö kartlägga alla dina tillgångar. Något som honungsfällan aktivt tillåter genom att skapa nya tekniska miljöer vartefter som kartläggningen pågår. För att skapa hög trovärdighet kan även mängder av falska person-, kontokorts- och transaktionsuppgifter laddas i falska databaser. Givetvis är det nonsensdata, men det vet förhoppningsvis inte brottslingen i andra änden. På så vis skapas tids- och manöverutrymme för att säkra tillgångarna.

Avslutar med att föreslå ett begrepp för de tre nya linjerna: ”Offensive intelligence-led cyber security”.

Uppdatering: Tack till mina otroligt duktiga kollegor Peter Reuterås och Andreas Pardeike för upplyftande diskussioner.

Annonser

Honungsfällor på tapeten

Det israeliska företaget Illusive Networks har dammat av det förmodat förlegade konceptet med honungsfällor och skapat ett nygammalt koncept för skydd mot cyberkriminella. De har skapat en del intresse för sin teknik och sitt koncept. Givetvis blir jag nyfiken på vad det här innebär för ett effektivt skydd mot vandaler. Därför gör jag nu en liten kortfattad research för att ta reda på mer detaljer. Uppdatering följer inom kort.

illusive

Cybersäkerhet en integrerad del av digitaliseringen

Traditionellt it-säkerhetsarbete handlar om att bygga lager på lager med säkerhetsskydd i kombination med ett informationssäkerhetstänkande med utbildningsinsatser och ledningssystem för informationssäkerhet. Men, tänk om det är onödigt arbete och bortkastade pengar? Enligt artikeln ”The No. 1 problem with computer security” är det precis så som det förhåller sig.

Personligen vill jag inte skriva under på de starka påståenden som artikelförfattaren kommer med. Jag har sett, och ser, många exempel på gott förhållningssätt till cybersäkerhetsfrågorna här hemma. Men, generellt saknas en dimension: Tidsenliga underrättelser om faktiska hot och vilka reella risker för den aktuella organisationen de faktiska hoten gör. Just när det kommer till den aspekten skriver jag under till fullo på artikelförfattarens slutsatser.

Innan jag ger mig i kast med uppgiften vill jag först göra en självdeklaration. Min ståndpunkt när jag skriver om cybersäkerhet utgår ifrån åskådningen att informationssäkerhet vs it-säkerhet har spelat ut sin roll. Jag respekterar de som vill ha akademiska övningar om definitioner, men tar ett holistiskt grepp kring cybersäkerheten som en vital del i digitaliseringen som pågår.

Evolutionen har hänt

Vi har med stormsteg gått från paradigmet med fortifiering och in i en öppen/komplext sammankopplad värld.

Slide05

Paradigmskifte i hotens karaktär/syfte

De senaste 5 åren har paradigmet för hotbilden ändras på ett radikalt sätt. Från akademiska syften, script kiddies och nyfikna busar har hoten blivit reella och motiverade av specifika syften. Till detta kommer helt nya former av uppkopplade saker som hanterar information i våra globala nät. Bilden nedan försöker på ett högst övergripande plan åskådliggöra hoten och tiden vi har på oss att agera.

Slide06

För att ta steget in i den digitala tidsåldern behöver cybersäkerhetsfrågorna adresseras med hjälp av modeller för cyber intelligence. Dessutom behövs tätare sammanfogning av säkerhetsarbete mellan it-funktionerna och verksamhetssidan så att organisationen jobbar orkestrerat.

Som framgår av bilden har hotaktörernas motiveringar av att utföra attacker skiftat radikalt. Från nyfikenhet/bus till organiserade kriminella organisationer som bygger brottssyndikat baserat på digitala intrång. Borta är tiderna när medierna rapporterade om virusangrepp i stor skala. Dagens kriminella jobbar systematiskt för att tjäna maximalt med pengar och samtidigt undvika rubriker i medierna. Det finns tydliga mål och syften med attackerna för att tjäna maximalt med pengar, samtidigt som den potentiella skadan för målen är oskattbar.

Som om inte det vore nog otäckt pågår statligt finansierade initiativ för att muta in sin del av informationsherraväldet på internet.

”Big Data” behöver hitta in i cybersäkerhetskvarteren

Samhällsvetare gör det, underrättelsetjänsterna gör det, börsmäklarna gör det, medicinföretagen gör det och snart gör varje affärsutvecklare med självaktning det. Jag talar förstås om formuleringen av relevanta knäckfrågor och analyser av rätt data (kallas populistiskt för ”Big Data”) för att komma till de mest tillförlitliga svaren. Med de hypoteserna görs sedan beslut och investeringar. Inom cybersäkerhetsområdet har det varit si och så med den varan. Ett skifte anas från min horisont. Och då gäller det

inte analyser av historiska data (loggar, baselineavvikelser, penetrationstester eller något liknande). Istället ser jag svarta lådor med smarta algoritmer som i realtid rapporterar faktiska avvikelser när de inträffar.

För, hur goda tekniska säkerhetsskydden än är och hur väletablerade operativa säkerhetscentra (SOC) som är på plats handlar det om reaktivitet. Genom att koppla in realtidsanalyser kring hotutveckling skapas plattformen för att agera aktivt och ligga steg i steg med de faktiska hoten. Med faktiska hot menar jag de hot som på något vis skapar skada för ens organisation. Skadan kan handla om:

  • Stöld av intellektuell egendom, forskningsdata, finansiella data, personuppgifter eller liknande
  • Förvanskning av företagets informationstillgångar
  • Inlåsning av känslig information i syfte att utpressa organisationen på tillgångar
  • Spionage i ”stealth mode” med syften att gynna andra parter
  • Misskreditering av organisationen genom att bryta ner operativa processer eller genom att förvanska tjänster till organisationens kunder/medborgare/intressenter

Mitt förslag att förstärka cybersäkerhetsområdet är en modell enligt följande:

Slide07

Modellen handlar om att bygga in intelligens genom algoritmer som upptäcker hot innan de kan ställa till skada. Dessutom handlar det om att kunna härleda hoten för att skapa förståelse för vilka intressen som finns där ute och vad deras motivation består i. Lärdomar som förenklar vidareutvecklingen av intelligensen så att rätt investeringar i säkerhetsskydd kan göras. Det vill säga investeringar mot faktiska risker mot just din organisation.

Ser att vi rör oss åt det hållet och gör därför min nyorientering mot cybersäkerhetsfrågorna. Den här resan kommer bli för intressant för att inte delta mera aktivt. Framförallt ser jag framför mig missionen att få våra ledande befattningshavare i svenska organisationer förstå att det nya hotlandskapet till stor del styrs av brottssyndikat. Ett risk- och intelligensbaserat cyberförsvar är därför av vital betydelse för fortsatt prosperitet.

Reinvent 2015 – nyorientering mot cybersäkerhet

När jag startade bloggen it-strategen för snart fyra år sedan var tanken att servera matnyttiga strategiska tankar om it och verksamhetsnytta. Jag tog avstamp från ett holistiskt/funktionalistiskt tankesätt där varje enskild komponent påverkar helheten. Lite som kaosteorierna om fjärilseffekten. Under 2015 har jag ägnat massor av tanketid åt livet, digitaliseringen, verksamhets-/samhällsutvecklingen och kunskap/förmågor i omvälvningen som pågår med hyperfart.

Idag är tiden mogen att göra något konkret inom ramen för ”Reinvent 2015”. En sådan konkret handling är att orientera om ”it-strategen” mot området cybersäkerhet. Jag klär nu på mig mina tidigare chefssäkerhetsrådgivarkläder med tillbehör och gör strategiska resor genom de digitala autostradorna. Synliga, såväl som mera dolda på djupet.

Orsak – verkan

Under projektet med min senaste bok, ”Svenska IT-säkerhetshandboken 1.0”, hade jag den stora förmånen att umgås med planetens skarpaste hjärnor inom sina specifika kunskapsområden. Efter bokens lansering har helt nya former av hot mot samhället sett dagens ljus:

  • Statsfinansierade trojaner som ger sig på fabriker för anrikning av uran
  • Attacker mot myndigheter och regeringar från aktivister som sympatiserar med någon de anser vara orättvist behandlad
  • Massavlyssning av data- och telefontrafik
  • Stöld av intellektuell egendom
  • Och en hel del annat…

Vi befinner oss vid en brytpunkt där begreppet cyberbrottslighet behöver pensioneras och det gamla hederliga begreppet ”brottslighet” ta dess plats. Jag ser att det pågår arbete i den riktningen, men det kan vara för sent om det arbetet inte tar fart på allvar.

Som effekt av allt detta väljer jag nu att fokusera på frågor som rör cybersäkerhet och då utifrån ett intelligensbaserat perspektiv. Säkerhet på djupet, lager-på-lager-säkerhet, multi-perimeter-säkerhet och all annan form av teknisk säkerhet hjälper lite om det inte finns ett ramverk som bygger på datainsamling, analys och intelligenta beslut.

Måndag den 5 oktober kommer jag att publicera min första artikel som tittar just på en övergång mot intelligence-led cybersecurity. Till dess önskar jag trevlig helg.

Länkar

FBI – Cyber Crime

Polismyndighetens arbete mot it-brott

Department of Homeland Security

National Cybercrime Unit

Internetsweden