Offensiv cybersäkerhet åskådliggör brister i den sedvanliga IT-leveransens förvaltningsmodell...

Chris Robertsson 12 april, 2024
Chri

Cybersäkerhet är i grova drag uppdelade i två olika typer av områden. Offensiv och defensiv cybersäkerhet där den offensiva sidan jobbar med information och svagheter innan någon hinner utnyttja dessa medan den defensiva sidan jobbar med att reagera på något som sker här och nu.

Insidan av en bil, på inredningen står det AIRBAG

Defensiv cybersäkerhet

Defensiv eller reaktiv cybersäkerhet ämnar lösa ett problem när det uppkommer, och jobbar alltså med sådant som reagerar och agerar på att exempelvis en hotaktör har påbörjat försöken att utnyttja sårbarheten, eller hantera resultatet av att hotaktören lyckades utnyttja sårbarheten och således tog sig in i IT-systemen. Rent allmänt så har man viss bredd på kunskap om den defensiva sidan då det pratas mycket om skyddsteknologier och tjänster som managrar dessa. De sedvanliga benämningarna som rör sig i omvärlden just nu är SOC och MDR, kort beskrivna nedan.

  • SOC, Security Operations Centre, är att likställa med en Service Desk, men för enkom säkerhet. Det är ett antal personer som jobbar med att implementera, upprätthålla och agera mot pågående hot genom tekniska tjänster.
  • MDR, Managed Detection and Response, är ett samlingsbegrepp som används för att beskriva tekniska tjänster som är managerade. Det är alltså verktygen som ett Security Operations Centre (SOC) använder för att kunna se och respondera på saker som sker i IT-miljön.

Under paraplyet MDR pratas det mycket om EDR eller XRD, NDR, SIEM, Sårbarhetsscanner med många flera, vilka alla är olika skyddsteknologier, men det blir för långt att förklara alla dessa här, så backa tillbaka och läs mina övriga LinkedIn artiklar om detta är av intresse. Det man kan påpeka är dock att i dagens världsläge så räcker det inte att bara implementera skyddsteknologier utan man måste ha expertis som står bakom tjänsterna och ser till att dom är rätt konfigurerade och fungerande över tid, samt att samma expertis agerar då skyddsteknologierna själva inte räcker till, exempelvis via en extern SOC med ett antal MDR-tjänster.

Eftersom den defensiva cybersäkerheten ämnar stoppa något som sker här och nu så är den absolut mest kritiska faktorn ”Time To Discovery” (TTD) eller ”tid till upptäckt” på svenska. Tid till upptäckt alltså hur lång tid det tar från att ett hot infinner sig, till dess att något, eller någon, reagerar på hotet och påbörjar arbetet med att stoppa detta hot avgör hur starkt fotfäste en hotaktör kan förskaffa sig, och till exempel hur mycket data denna hinner exportera innan någon kommer på att detta sker. Den defensiva typen av säkerhet är alltså ytterst beroende av att det finns skyddsteknik implementerad som möjliggör att man kan detektera och reagera på hotet med ytterst korta ledtider.

När Secify exempelvis säkerhetstestar en organisation och dess motståndskraft för Phishing-attacker så tar det Secifys säkerhetstekniker under tre minuter i snitt från det att experterna har lurat av en användare sina inloggningsuppgifter till dess att dom har loggat in i kundens miljö trots att användaren har 2FA/MFA aktiverat. Om förmågan att detektera en felaktig inloggning då är 24 timmar, så har Secify’s Red Team alltså 23 timmar och 57 minuter på sig att få ytterligare fotfäste i miljön, exportera ut känsliga data, analysera hur den komprometterade inloggningen skulle kunna nyttjas för att lura ytterligare individer i eller utanför den egna organisationen, samt icke att förglömma med tanke på senare händelser inom svenska vårdsektorn, plantera och aktivera utpressningskod (Ransomware).

Dessutom ska man då tänka på att vi pratar tid till upptäckt, sen måste man jobba med att få ut hotaktören, och det är än mer komplext och kan ta väldigt lång tid. För vissa organisationer kan hela kedjan, alltså från upptäckt till att få ut hotaktören ta över 300 dagar. Så om det låter mycket med att det ska ta en dag att detektera en felaktig inloggning så skulle jag nog vilja påstå att det är ytterst kort tid om man ser till genomsnittet inom svenska organisationer där många troligen behöver veckor till månader i tid till upptäckt. Därav är det kritiskt att ha en förmåga att identifiera ett pågående hot då det står i direkt relation till hur mycket utrymme hotaktören ges att effektuera sin strategi för att komma över det denna anser vara sitt mål.

En person inspekterar insidan av en bil

Offensiv cybersäkerhet

Hur skiljer sig då offensiv cybersäkerhet och hur jobbar offensiv cybersäkerhet för att lösa problem innan de blir ett problem?

Offensiv eller proaktiv cybersäkerhet strävar efter att lösa ett problem innan de blir ett problem, man jobbar alltså med att finna och rätta till exempelvis sårbarheter innan en hotaktör hittar sårbarheten och hinner utnyttja denna. Delar av detta kan i sin enklaste form exempelvis ske via penetrationstester eller säkerhetsgranskningar där man finner sårbarheter innan någon har hunnit utnyttja dessa. Nackdelarna med tjänster likt dessa är att dom utgår från ett nu-läge och tar inte förändring över tid i beaktande då det ligger i dessa tjänsters natur att dom inte kan det. Man testar en punkt i tiden och säger att om denna punkt kvarstår eller formas om till en målbild så är ni säkra givet kända variabler. Kan man då räkna en engångsinsats som offensiv, eller proaktiv? Ja, det kan man, men det räcker inte riktigt med det för att säga att man jobbar offensivt med cybersäkerhet.

För att en offensiv cybersäkerhetstjänst ska fungera tillfredställande så måste denna vara dynamisk och förändras över tid. Den måste ta ändringar inom organisationen såväl som omvärlden i beaktning, dygnet runt årets alla dagar. Tjänsten måste också ha tillgång till den information som behövs för att kunna identifiera samtliga hot som organisationen kan stå inför och denna information behöver tjänsten få tillgång till i princip i realtid. Annars kommer tjänsten inte kunna effektuera ett motmedel förrän attacken är ett faktum och således landar på de defensiva tjänsterna att ta hand om.

Offensiv cybersäkerhet är alltså i stort underrättelseverksamhet som stödjer sig på teknik för inhämtning av information, en modell som inte kan anpassa sig efter den sedvanliga IT-leveransen som i absolut största grad är reaktiv.

Strategisk, Taktisk och Operativ förvaltningsmodell

En stor faktor som skiljer cybersäkerhet från en vanlig IT-leverans är att en traditionell IT-leverans ämnar lösa ett uppkommet problem genom att leverera en stödfunktion och positiv upplevelse för användaren. Exempelvis skall användarnära tjänster som användarens dator och dess mjukvaror vara smidiga och snabba att jobba med. Om inte så kommer användaren ha en dålig upplevelse och känna att denna inte har tillräckliga möjligheter att utföra sitt jobb på ett tillbörligt sätt, man har helt enkelt inte stödsystemen för att utföra sina uppgifter på ett optimalt vis. Detta har sporrat en förvaltningsmodell som utgår från att man jobbar Strategiskt, Taktiskt och Operativt. Nära nog samtliga IT-beställare i Sverige känner igen denna och i princip var enda sourcingleverantör nyttjar modellen, och begår då samma misstag som alla andra leverantörer… för cybersäkerhet är INTE en upplevelsetjänst.

Cybersäkerhet har mycket starkare kopplingar till krigsföring än det har till en IT-upplevelseleverans där Nöjd Kund Index/KundNöjdhets Index (NKI/KNI) och Service Level Agreement (SLA) är de viktigaste mätetalen för om leveransen fungerar tillfredställande eller ej. SLA berättar hur ofta eller sällan ett system är åtkomstbart och NKI/KNI berättar hur nöjda användarna av systemen är med dessa. Alltså en upplevelseleverans baserad på samverkansmodellen med strategisk, taktisk och operativ nivå som reagerar på om SLA eller KNI/NKI går under ett visst värde.

Att jobba Taktiskt, Strategiskt och Operativt är en nyckelfaktor för att förstå hur cyberskydd blir mest effektiva.

En cybersäkerhetsinstans ska tillse att en hotaktör kan stoppas från att åsamka skada. En militärinstans ska tillse att en hotaktör kan stoppas från att åsamka skada. Detta är något nästan alla företag missar och iögonfallande nog även många cybersäkerhetsföretag. För att effektivt kunna avvärja ett hot så måste man sätta Taktiken för sin organisation och exempelvis dess agerande på olika typer av händelser. Dessa effektueras sedan genom att applicera en Strategi baserat på händelsens art som därigenom verkställs genom en Operationell insats. Att jobba Taktiskt, Strategiskt och Operativt är en nyckelfaktor för att förstå hur cyberskydd blir mest effektiva.

Om Försvarsmakten jobbade enligt den sedvanliga förvaltningsmodellen inom IT så hade man behövt reagera först när en hotaktör landsätter på svensk mark eller inträder svenskt luftrum. Hade det varit ”good enough” för dig som medborgare? Eller hade du velat att försvaret kan påtala att en invasion är på väg att ske och att samtliga medborgare behöver förbereda sig? En tidig varning som ger beslutsfattare såväl som expertmyndigheter tid att agera, och i bästa fall motverka attackens utförande, men i det minsta mitigera (mildra) attacken.

Man kan inte sätta en strategi för en okänd händelse då denna händelse kan utspela sig i ett nästan oändligt antal former, men man kan sätta taktik baserat på möjliga händelser och reagera med en strategi, speciellt om man knyter ihop detta med underrättelse då underrättelseinformationen möjliggör en selektion av möjliga händelser som sedan omsätts i en operativ insats.

Om vi tar ett målande exempel i ”canary in a coal mine” som går ut på att gruvarbetarna tog med sig en kanariefågel ner i gruvan med vetskapen att den lilla kanariefågeln skulle dö på grund av koldioxidförgiftning långt innan den mycket större människan och således ge en möjlighet till tidig varning, så att gruvarbetarna hade tid att agera och undkomma gasen. I detta scenario är Taktiken att ta med en fågel ner i gruvan med vetskapen om att en koldioxidförhöjning skulle påvisas i och med fågelns död. Strategin var att ha kunskapen om utgångar som var markerade och varierande beroende på vart i gruvan arbetarna befann sig. Den Operativa aktiviteten var att ta sig till utgången som gav den strategiskt mest säkra utkomsten för överlevnad. Hade vi i detta scenario nyttjat den sedvanliga modellen för IT-förvaltning så hade vi börjat få problem med gruvarbetarna som upplevde symptom av något, varpå en fågel hade sänts ner i gruvan för att bekräfta eller dementera att det var en gas som var problemet, varpå fågelns död hade aktiverat den operationella insatsen i att evakuera gruvan.

Att reagera på en ett hot när det effektueras är alltid en nödåtgärd kontra att navigera runt och helt undvika ett hot som inte har hunnit effektueras eller i sämsta fall, vara förberedd och kunna absorbera hotet.

Detta hade kunnat fungera eller sluta i total katastrof beroende på hur stor mängd gas som fanns i gruvan och hur effektivt man kunde aktivera taktiken. Desamma gäller cybersäkerhet. Det finns ingen typ av statistisk på att det mest effektiva sättet att stoppa ett hot är att ha en reaktiv tjänst som detekterar något som sker nu och då agera. Att reagera på en ett hot när det effektueras är alltid en nödåtgärd kontra att navigera runt och helt undvika ett hot som inte har hunnit effektueras eller i sämsta fall, vara förberedd och kunna absorbera hotet.

Likt kanariefågeln så handlar offensiv säkerhet om att dynamiskt förskaffa sig information om händelser innan dessa utgör ett reellt hot, men vad är då ett hot? Är det den unga killen i en hoodie som sitter framför fem bildskärmar fyllda med rullande kod? Ja och nej, den individen, om än medialt uppdiktad, är ett hot – men ett hot kan vara i princip allt som har möjlighet att påverka din organisation på ett negativt vis. Detta kan vara krav inom en förordning, exempelvis GDPR, och att dessa inte levs upp till för att processer och rutiner brister. Det kan också vara risker inom ett geopolitiskt klimat i en region där det finns underleverantörer eller andra aktörer som organisationens operationella förmåga är beroende av eller helt enkelt en automatiserad eller manuell cyberattack.

Kan man ha den ena utan den andra? Nja… Att jobba endast med defensiv eller offensiv cybersäkerhet kommer att ställa ett antal saker på sin spets och exponera svagheter som en hotaktör kan dra nytta av. Offensiv cybersäkerhet kan inte garantera att dom kan avvärja varje hot, så om en hotaktör bestämmer sig för att utföra en riktad och väl planerad attack är det inte 100% säkert att den offensiva cybersäkerheten kommer veta om detta, och om organisationen då saknar defensiv kapacitet så kommer man inte kunna mitigera attacken när den träffar organisationen. Har organisationen bara en defensiv förmåga så kommer man troligt att utsättas för fler attacker och ställer därför högre krav på den reaktiva förmågan med sin tid till upptäckt samt förmågan att kunna ”sparka ut” hotaktören, i min mening ett ytterst vågat risktagande, och tyvärr ett risktagande som de flesta organisationer omedvetet har tagit då marknadens generella inställning är att cybersäkerhet och försvarsförmågan dikteras av ett antal aktiva tekniska cyberskydd.

Security is never a checkbox, it’s a bunch of them…