Trusselsanalyser er populære, men der findes mere effektive metoder
Threat Intelligence, eller trusselsanalyser, inden for cybersikkerhed er et populært og stigende fænomen. I stort antal bestræber de it-sikkerhedsansvarlige sig på at indsamle tilpas store mængder data til, at de kan forudsige og modvirke cyberangreb på deres virksomhed.
Disse bestræbelser har ført til, at en helt ny type virksomhed er blomstret op: Virksomheder, der sælger såkaldt trusselsidentifikation, hvor de udfører dataindsamling og -analyser for andre virksomheder.
Analysearbejdet er ret logisk udformet: hvis der fra en IP-adresse registreres mistænkelig adfærd i et netværk, er det sandsynligt, at der fra den samme adresse vil bruges lignende metoder i andre netværk.
Dataanalytikerne studerer adfærd i tre forskellige netværk – det offentlige internet, som de fleste af os bruger, samt ’det dybe web’ og ’det mørke net’, som er der hvor hackerne holder til.
Det er først og fremmest ved at undersøge de to sidstnævnte, at sikkerhedsfirmaerne får et tidligt indblik i mulige trusler.
Ved at dele oplysninger om IP-adressers mistænkelige adfærd med hinanden, kan trusselsanalysefirmaerne forudse angreb, inden de rammer kunderne.
Kræver enorme ressourcer
Problemet er imidlertid, at denne type dataindsamling kræver enorme ressourcer og tager lang tid, mens der ikke er nogen garanti for, at de IP-adresser, man studerer, i virkeligheden udgør en trussel.
Cybersikkerhedsfirmaet SecureData testede for nylig om denne indsats rent faktisk er en effektiv måde at identificere trusler på.
I løbet af en måned blev 118.000 mistænkelige aktiviteter undersøgt på 12.750 forskellige IP-adresser for at se, hvor mange af disse IP-adresser, der blev brugt i kriminelt øjemed.
Undersøgelsen viste, at udbyttet er begrænset.
Af alle IP-adresser, der først blev registreret som værende mistænkelige, viste det sig ved nærmere analyse, at kun 0,01 procent af dem blev brugt med direkte skadelige eller kriminelle bagtanker.
Hvad kan man så lære af det? At trusselsanalyser er unødvendige? Nej, bestemt ikke. En trusselsanalyse kan hjælpe organisationer med at beskytte deres forretning mod den overflod af cybertrusler, der er.
Det springende punkt er, at en virksomhed overvejer, om de vitterligt har de nødvendige ressourcer til at prioritere et sådant arbejde - i betragtning af hvor svært det faktisk er at identificere cybertrusler på denne måde.
Analyser viser, at der findes mere effektive metoder
Ifølge SecureData lader såkaldte honeypots (honningfælder) til at være mere effektive end traditionel trusselsanalyse.
Med honeypots gør man brug af it-systemer, der udelukkende er sat i verden for at tiltrække, forebygge og kortlægge de cyberkriminelle.
Kort fortalt fungerer en honeypot, som en slags lokkedue ved at udgive sig for at være en værdifuld computer på netværket, som hackeren infiltrerer og bruger tid på, alt imens it-afdelingen følger med for at afdække hackerens hensigter.
På den måde køber man sig tid til at identificere, forstå og afværge truslen. Med de rigtige informationer kan man bygge et værn mod fremtidige angreb.
SecureDatas analyse viste, at 37 procent af de IP-adresser, som honningfælderne fangede, også blev fanget i en traditionel trusselsanalyse. Omvendt blev kun 3 procent af de IP-adresser, som trusselsanalysen afdækkede, også opfanget af honeypots. Honeypots viste sig altså at være mere end tre gange så effektive som traditionelle trusselsanalyser.
En nærmere analyse af brugen af honeypots viste, at så meget som 15 procent af de uautoriserede IP-adresser, som interagerede med honningfælderne og blev registreret som potentielt farlige, gik igen i kriminelle aktiviteter i andre honeypots.
En mulig årsag, til at honeypots er mere effektive, er, at de ingen operationel betydning har. Der er altså ingen risiko for at en honeypot fejlregistrerer en IP-adresse som skadelig, fordi ikke-skadelige IP-adresser (false positive) ikke har noget at gøre i en honningfælde. De forekommer altså ikke.
Omvendt med traditionelle trusselsanalyser, der har en god blanding af skadelige og ikke-skadelige IP-adresser med i analysen.
Havde færre falske positive
I sig selv giver honeypots ikke en bedre trusselsvurdering, men de er mere effektive, fordi der ikke er nogen falske-positiver. Det honeypot netværk, som SecureData testede, producerede mindre intelligens end trusselsanalyserne, men havde til gengæld langt færre falske positive.
Denne distinktion er meget vigtig at forstå, når man arbejder med trusselsvurderinger; Efterforskninger koster dyrt i analysetid og måske også responstid.
Fordelen ved honeypots er, at man fokuserer sin cybersikkerhedsindsats på de 15 procent klart identificerede og analyserede angreb fremfor de 100 procent potentielle angreb.
Man går så at sige fra at skyde med spredehagl til at forsvare sig målrettet, hvilket giver virksomheder mulighed for at allokere deres ressourcer mere effektivt.
Når det er sagt, så viser begge metoder svaghedstegn; Når effektiviteten ved at finde de reelle skadelige IP-adresser ligger på 3,5 procent for trusselsanalyser og 15 procent ved brugen af honeypots, så er det ikke optimalt.
Hemmeligheden ved effektiv brug af trusselsintelligens findes ved at:
1) Vælge en leverandør af threat intelligence, som allerede har analyseret og verificeret truslerne.
2) Minimere hvor meget menneskelig indblanding, der er nødvendig for at følge op på de alerts, man får, eventuelt ved at maksimere brugen af orkestrerings- og automatiseringsteknikker.
Vi kender endnu ikke til cybersikkerhedsmetoder, der er optimale for alle virksomheder. Det kan derfor være en god ide for alle virksomheder nøje at overveje, hvilke sikkerhedsløsninger man vælger at implementere, så man udfører det arbejde, der giver de bedste resultater per investeret krone.
Ellers kan cybersikkerhed godt gå hen og blive alt for dyr.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
