Trusselsefterretning er processen, der identificerer og analyserer cybertrusler. Udtrykket ”trusselsefterretning” refererer ofte til de data, der indsamlets om en potentiel trussel eller processen med at indsamle, behandle og analysere disse data for at forstå truslerne bedre. Trusselsefterretning indebærer at gennemsøge data, undersøge dem kontekstuelt for at spotte problemer og implementere løsninger, der er specifikke ift. det fundne problem.
Takket være den digitale teknologi er vores verden blevet mere forbundet, end nogensinde før. Men den øgede forbundethed har også medført større risiko for cyberangreb, som fx sikkerhedsbrud, datatyveri og malware. Et centralt del af af cybersikkerheden er trusselsefterretningen. Læs mere om, hvad trusselsefterretningen består af, hvorfor det er vigtigt, og hvordan man anvender det.
Hvad er trusselsefterretninger?
Definitionen på trusselsefterretninger forveksles nogle gange med andre cybersikkerhedsudtryk. Oftest forveksler folk ”trusselsdata” med ”trusselsefterretninger” – men de er ikke ens:
- Trusselsdata er en liste med mulige trusler.
- Trusselsefterretningen ser på det større billede – ved at gennemgå data og den bredere kontekst for at konstruere en fortælling, der kan informere beslutningstagerne.
I bund og grund gør trusselsefterretninger organisationer i stand til at træffe hurtigere og bedre informerede sikkerhedsbeslutninger. Det tilskynder til proaktiv, snarere end reaktiv, adfærd i kampen mod cyberangreb.
Hvorfor er trusselsefterretninger vigtige?
Trusselsefterretninger er en afgørende del af enhver cybersikkerheds økosystem. Et efterretningsprogram til cybertrusler, nogle gange kaldet CTI, kan:
- Forebygge datatab: Med et velstruktureret CTI-program, kan organisationerne lettere finde cybertrusler og forhindre databrud i at overføre følsomme oplysninger.
- Vejlede om sikkerhedsforanstaltninger: Ved at identificere og analysere trusler, finder CTI’en mønstre, som hackere bruger, og hjælper organisationerne med at integrere sikkerhedsforanstaltninger, der beskytter mod fremtidige angreb.
- Informere andre: Hackerne bliver konstant klogere. For at følge med, deler cybersikkerhedseksperterne det taktikker, de finder, med kolleger og konkurrenter, for at skabe en kollektiv videnbase, der bekæmper cyberkriminalitet.
Typer af trusselsefterretning
Efterretninger om cybersikkerhedstrusler fordeles ofte i tre kategorier – strategiske, taktiske og operationelle. Lad os se på dem enkeltvis:
Strategisk trusselsefterretning:
Det er typisk en avanceret analyse, som er designet til ikke-tekniske målgrupper – som fx bestyrelsen i en virksomhed eller organisation. Den dækker de cybersikkerhedsemner, der kan påvirke de bredere forretningsbeslutninger, og ser på overordnede tendenser og motivationer. Strategisk trusselsefterretning bygger ofte på åbne kilder – som betyder, at alle kan tilgå dem – som medierapporter, hvidbøger og forskning.
Taktisk trusselsefterretning:
Det fokuserer på den umiddelbare fremtid og er designet til et mere teknisk publikum. Den identificerer simple kompromis-indikatorer (IOC’er), som lader IT-teams finde og fjerne specifikke trusler, inde i et netværk. IOC’er inkluderer elementer, som fx dårlige IP-adresser, kendte og ondsindede domænenavne, usædvanlig trafik, faresignaler ved logins eller en stigning i fil-/downloadanmodninger. Taktisk intelligens er den simpleste form for intelligens, man kan generere, og er normalt automatiseret. Den har ofte en kort levetid, da mange IOC’er hurtigt forældes.
Operationelle trusselsefterretninger:
Bag hvert cyberangreb, står der et ”hvem”, ”hvorfor” og ”hvordan”. Operationelle trusselsefterretninger er designet til at svare på de spørgsmål, ved at studere gamle cyberangreb og træffe konklusioner om hensigt, timing og sofistikering. Operationelle trusselsefterretninger kræver flere ressourcer end taktiske efterretninger, men har en længere levetid. Det skyldes, at cyberangribere har sværere ved at ændre deres taktikker, teknikker og procedurer (kaldet TTP’er), end bare at skifte deres værktøjer – som fx en specifik type malware.
Livscyklus for cybermæssige trusselsefterretninger
Cybersikkerhedseksperter bruger livscyklussens koncept, når det gælder trusselsefterretninger. Et typisk eksempel på en cybertrussels livscyklus involverer stadierne: retning, indsamling, behandling, analyse, formidling og feedback.
Fase 1: Retning
Fasen fokuserer på at sætte mål for trusselsefterretningsprogrammet. Det kan fx omfatte:
- Forståelsen af de dele af organisationen, der skal beskyttes, og evt. skabe en prioriteret rækkefølge.
- Identifikation af hvilken trusselsefterretning, som organisationen skal bruge for at beskytte aktiverne og reagere på trusler.
- Forstå af den organisatoriske effekt af et cyberbrud.
Fase 2: Indsamling
Fasen handler om at indsamle data, der understøtter de mål og målsætninger, man satte i fase 1. Dataenes kvantitet og -kvalitet er afgørende for at undgå at overse alvorlige trusselshændelser eller blive vildledt af falske positive. I denne fase, skal organisationerne identificere deres datakilder – som kan omfatte:
- Metadata fra interne netværk og sikkerhedsenheder
- Feeds med trusselsdata, fra troværdige cybersikkerhedsorganisationer
- Interviews med informerede interessenter
- Open source nyhedssider og blogs
Fase 3: Bearbejdning
Alle de data, der er indsamlet, skal forvandles til et format, som organisationen kan bruge. Forskellige dataindsamlingsmetoder kræver forskellige behandlingsmetoder. Det kan fx være nødvendigt at faktatjekke data fra menneskelige interviews og krydstjekke dem mod andre data.
Fase 4: Analyse
Når dataene er forvandlet til et brugbart format, skal de analyseres. Analysen omdanner informationer til efterretninger, der kan guide de organisatoriske beslutninger. Beslutningerne omhandler fx, om man skal øge investeringerne i sikkerhedsressourcerne, om man skal undersøge en bestemt trussel eller sæt af trusler, hvilke handlinger, der skal træffes for at stoppe en aktuel trussel, hvilke trusselsefterretningsværktøjer der er nødvendige, og så videre.
Fase 5: Formidling
Når analysen er gennemført, skal de vigtigste anbefalinger og konklusioner formidler til organisationens relevante interessenter. Organisationens forskellige teams har forskellige behov. For at formidle efterretningerne effektivt, bør man undersøge, hvilken intelligens, som hvert målgruppe skal bruge, i hvilket format og hvor ofte.
Fase 6: Feedback
Feedback fra interessenterne hjælper med at forbedre trusselsefterretningsprogrammet og sikrer, at det afspejler hver målgruppes krav og mål.
Udtrykket ”livscyklus” understreger det faktum, at trusselsefterretninger ikke er en lineær engangsproces. Det er en cirkulær og iterativ proces, som organisationer bruger til løbende forbedringer.
Hvem har gavn af trusselsefterretninger?
Alle, der har en interesse i sikkerhed, har gavn af trusselsefterretninger. Især, når du driver en virksomhed, er fordelene:
Reducerede risici
Hackerne leder altid efter nye måder at trænge ind i virksomhedens netværk på. Cybermæssige trusselsefterretninger giver virksomhederne mulighed for at registrere nye sårbarheder, efterhånden som de dukker op, hvilket reducerer risikoen for tab af data eller forstyrrelser af den daglige drift.
Undgå databrud
Et omfattende efterretningssystem mht. cybertrusler hjælper med at undgå databrud. Det gør det ved at overvåge mistænkelige domæner eller IP-adresser, der forsøger at kommunikere med organisationens systemer. Et godt CTI-system blokerer mistænkelige IP-adresser – som ellers kan stjæle dine data – fra netværket. Uden et aktivt CTI-system, kan hackerne oversvømme netværket med falsk trafik og udføre et DDoS-angreb (Distributed Denial of Service).
Færre omkostninger
Databrud er dyre. I 2021, udgjorde de globale, gennemsnitlige omkostninger ved et databrud 4,24 mio. dollar (selvom det varierer fra sektor til sektor – hvor den dyreste er sundhedssektoren). Omkostningerne dækker ting, som advokatsalærer og bøder, plus omkostninger til retablering, efter hændelsen. Eftersom de reducerer risikoen for databrud, hjælper efterretninger om cybertrusler til at spare penge.
Grundlæggende, hjælper trusselsefterretninger organisationer med at forstå diverse cyberrisici, og de skridt, der er nødvendige for at afbøde disse risici.
Hvad skal man kigge efter i et trusselsefterretningsprogram
Trusselshåndteringen kræver et komplet overblik over alle aktiverne. Man skal bruge et program, der overvåger aktivitet, identificerer problemer og leverer de data, man skal bruge, for til at træffe informerede beslutninger, der beskytter organisationen. Her er det, man skal kigge efter i et efterretningsprogram mod cybertrusler:
Skræddersyet trusselshåndtering
Du ønsker en virksomhed, der tilgår systemet, finder evt. svagheder, foreslår sikkerhedsforanstaltninger og overvåger alting 24/7. Mange cybersikkerhedssystemer siger, at de gør det. Du bør dog kigge efter nogen, der kan skræddersy en løsning til dine specifikke behov. Når det gælder cybersikkerhedm findes der ikke én løsning, der passer til alt og alle! Lad dig ikke nøje med nogen, der vil sælger dig det.
Datafeeds om trusler
Du har brug for et opdateret feed, med hjemmesider, der står på en afvisningsliste, plus de ondsindede aktører, du skal holde øje med.
Adgang til undersøgelser
Du skal bruge en virksomhed, der giver adgang til sine seneste undersøgelser! Der forklarer, hvordan hackerne skaffer sig adgang, hvad de søger, og hvordan de får det. Når virksomheden har alle de oplysninger, kan den træffe langt bedre og mere informerede beslutninger.
Reelle løsninger
Et efterretningsprogram mod cybertrusler hjælper virksomheden med at registrere angreb og reducere risici. Programmet skal være omfattende – du ønsker næppe et program, der bare identificerer potentielle problemer og ikke tilbyder løsninger.
I det stadigt voksende trusselslandskab, kan cybertrusler få alvorlige konsekvenser for din organisation. Men, med robuste efterretninger om cybertrusler, kan du reducere de risici, der kan forårsage skader på omdømmet og økonomien. For at være på forkant med mulige cyberangreb, bør du anmode om demoadgang til Kasperskys Threat Intelligence-portal og begynde at udforske de fordele, den giver din organisation.
Anbefalede produkter:
Kaspersky Enterprise Security Solutions and Services
Læs mere:
Evaluering af trusselsefterretnings-løsninger: Fire punkter, du bør overveje