[KRÖNIKA] Hotanalys, så kallad Threat Intelligence, har blivit ett allt populärare fenomen inom cybersäkerhet.
Allt fler IT-säkerhetsansvariga strävar efter att samla in tillräckligt med data för att kunna försöka förutspå och motverka cyberattacker mot just deras företag.
Denna strävan har lett till att en helt ny typ av affärsverksamhet börjar uppstå i allt fler skepnader; företag som säljer så kallad hotidentifiering – alltså gör datainsamlingen och analyserandet åt företagen.
Analysarbetet är tämligen logiskt utformat: om en IP-adress visar tecken på ett misstänksamt beteende i ett nätverk så är det troligt att samma adress kommer att agera i andra nätverk, med liknande metoder.
De internetbaserade källorna man studerar kan brytas ned i tre huvudgrupper: det allmänna nätet – som de flesta används av oss använder, samt ”the deep web” och ”the dark web” – där hackers huserar. Det är framför allt genom att studera de senare, mer ljusskygga miljöerna, som säkerhetsföretag får insyn i hot på ett tidigt stadium. Genom att dela information om IP-adressers avvikande beteende med varandra så kan hotanalysföretagen sedan förutse attacker innan de drabbar just deras kunder.
Problemet är dock att denna typ av datainsamling kräver enorma resurser och tar enormt mycket tid – och det finns inga garantier att just de IP-adresser man studerar verkligen utgör något hot.
Säkerhetsföretaget SecureLink genomförde nyligen en undersökning där man studerade huruvida dessa typer av insatser verkligen utgör ett effektivt sätt att identifiera hot. Under en månads tid studerade man 118 000 misstänkta aktiviteter, hos 12 750 olika IP-adresser, för att se hur stor del av dessa IP-adresser som uppvisade ett upprepat misstänkt beteende – det vill säga, hur många av dem som verkligen hade kriminella avsikter.
Resultaten visade att effekten av dessa analyser är tämligen begränsad. Av alla de IP-adresser man först registrerat som misstänkta visade enbart 0,01 procent av dem upp ett direkt skadligt eller kriminellt beteende vid en närmare analys.
Vad kan man då dra för slutsatser av detta? Är hotanalys onödigt? Nej. En hotanalys kan självklart hjälpa många organisationer att skydda verksamheten mot dagens uppsjö av cyberhot.
Man kan dock konstatera att det är viktigt att man som företag tar sig en funderare om man verkligen har resurserna som krävs för att prioritera ett sådant arbete – givet hur svårt det faktiskt är att identifiera cyberhot med denna metod.
SecureLinks forskning visar att det finns effektivare metoder.
Och den allra effektivaste metoden verkar vara att använda honungsfällor: IT-system som riggas upp enbart för att locka till sig, hindra och kartlägga cyberkriminella. När man studerade effekterna av denna metod såg man att hela 15 procent av de aktiviteter som först registrerades som potentiellt farliga i honungsfällorna, också stod för kriminella aktiviteter i andra sammanhang.
Vi känner ännu inte till några cybersäkerhetsmetoder som är optimala för alla verksamheter. Men vi vet att många av Sveriges små- och medelstora företag tampas med bristande resurser. Och i en stundande lågkonjunktur kan tiderna komma att bli ännu tuffare för många av dem.
Det kan således vara en bra idé för alla företagsledare att fundera en extra gång på vilka säkerhetslösningar man väljer att implementera – för att säkerställa att man bedriver det arbete som ger bäst resultat per investerad krona.
Annars kan cybersäkerheten stå en dyrt.
Nicolas Drogou
Säkerhetsexpert Orange