Vad är intelligence management, och varför bör man implementera en strategi för det?

7 augusti, 2024

Uppdaterad: 9 augusti, 2024

Uppskattad lästid: 2 min

Introduktion

en rejäl strategisk fördel i arbetet med att hantera potentiella hot

Allteftersom cyberhot blir mer sofistikerade och även frekventa, blir det allt viktigare för många typer av organisationer att utnyttja underrättelser för att ligga steget före potentiella attacker. Oavsett bransch kan kontinuerligt underrättelsearbete ge en djupare förståelse för organisationens digitala fotavtryck, och ge en bättre förståelse för hur externa hot kan påverka verksamheten.

Jag tror att många kan uppleva underrättelsearbete som något som är till för myndigheter eller enorma multinationella företag. Med den här artikeln vill jag bryta ner begreppet och förklara varför det går att göra på flera nivåer, och vad organisationer i alla storlekar och branscher kan få ut av det.

Vad är intelligence management?

Intelligence management är strategiskt underrättelsearbete och handlar om att samla in, bearbeta, analysera och presentera information för att bättre förstå den kontexten man verkar inom, och i förlängningen förstå och hantera hot som kan drabba organisationen. Det handlar om att arbeta med metoder för att gallra ut värdefulla insikter från omfattande och kaotisk data. Att hitta kärnan som kan ligga till grund för ett faktabaserat beslut och på sikt leda till en prediktiv riskreducering.

Intelligence management används inom allt cybersäkerhetsvärlden, affärsstrategi och militär underrättelsetjänst.

Här vill jag poängtera att intelligence management som sagt går att göra på alla nivåer. Den som driver en bensinstation och varje fredag kör runt i närområdet för att göra en priskoll hos konkurrenter, och justera sina egna priser därefter – ja den personen sysslar också med systematisk inhämtning av information, och använder den dessutom för att fatta beslut rörande sin verksamhet.

Informationsflöde i en futuristisk miljö

Intelligence management innebär helt enkelt en systematisk omvärldsbevakning med insamling, analys och därefter ett agerande baserat på insikterna. I cybersäkerhetsvärlden är det också viktigt med spridning av insikterna och information om potentiella cyberhot och risker för en organisation. Det är en systematisk process som med fördel inkluderas i befintliga rutiner och processer (i ett ledningssystem om ett sådant finns). Arbetet involverar noggrann insamling och analys, men lika viktigt är en klok och korrekt spridning av viktiga insikter till relevanta medarbetare och andra intressenter, såsom styrelse.

För att effektivisera insamlingen av data utgör en avancerad underrättelseplattform en viktig nyckel. Den tillsammans med experter på inhämtning, och analytiker som kan hantera informationen förenklar arbetet. Tillsammans med integrationen med det övriga säkerhetsarbetet ger man sig själv rätt förutsättningar för att identifiera sårbarheter och har utvecklat säkerhetsåtgärder för att skydda sig mot sofistikerade cyberhot.

Korrekt utfört innebär intelligence management en rejäl strategisk fördel i arbetet med att hantera potentiella hot, och ger framför allt en datadriven lägesbild – något som är viktigt för ett företags ledning för att undvika att fatta beslut baserat på känsla. Istället förvandlar man insikter till handling för att prioritera sitt säkerhetsarbete rätt.

Olika typer av intelligence

Intelligence kan delas in i fyra huvudsakliga kategorier:

Strategisk intelligence
Ger en översikt på hög nivå och längre tidshorisont över hotlandskapet, inklusive framväxande trender, geopolitiska händelser och större hotaktörer. Kunskapen används för strategiska planer och inriktning av säkerhetsarbetet.
Taktisk intelligence
Ger en mer detaljerad översikt på kortare tidshorisont över hotlandskapet. Fokuserar bland annat på de metoder och tekniker som används av hotaktörer här och nu eller inom en snar framtid
Operationell intelligence
Är mer omedelbar och möjlig att agera på, med detaljer om specifika incidenter och kampanjer som pågår här och nu, eller som är nära förestående.
Teknisk intelligence
Inkluderar data om specifika indikatorer på kompromettering (IOCs) som IP-adresser, domännamn, filhashar och malware-signaturer. Fungerar som dataunderlag för de övriga kategorierna.

Vi rekommenderar alltid att kombinera dessa för att nyttja olika typer av underrättelser, om man vill bygga ett intelligent och mångfacetterat försvar.

Komponenterna i en effektiv underrättelse-strategi

En effektiv strategi för underrättelsearbete bygger på datainsamling, sofistikerad analys och omvandling till relevanta insikter. Det här ger ett omfattande angreppssätt som säkerställer att den insamlade informationen är relevant, korrekt och möjlig att agera på.
Nedan listar jag nyckelkomponenterna i underrättelse-processen:

Strategisk planering:
Planeringsfasen är viktig för att skapa samsyn. Här definieras målen, vilket formar riktningen för hela underrättelse-processen och vilken typ av data som ska samlas in, för vilket ändamål och när det ska presenteras.
Datainsamling:
Samla in rådata från olika källor, inklusive nätverksloggar, säkerhetsincidenter och olika externa threat intelligence-flöden.
Databearbetning och -analys:
Bearbeta och analysera den insamlade datan för att identifiera mönster, trender och indikatorer på potentiella hot.
Handlingsbara insikter:
Omvandla den analyserade datan till insikter som kan användas för att minska risker och förbättra säkerhetsåtgärder. Dela den analyserade informationen med relevanta intressenter inom organisationen för att informera säkerhetsbeslut och åtgärder.

Integration av intelligence management i det befintliga säkerhetsarbetet

Integrationen av underrättelsearbete i en organisations pågående säkerhetsarbete tillser att underrättelser inte bara samlas in, utan omvandlas till insikter och aktivt används i det dagliga arbetet för att stärka upp verksamheten.
Säkerhetsåtgärder som har ”dopats” med underrättelser ökar effektiviteten hos säkerhetsåtgärder och gör att du som säkerhetsansvarig kan:

Svara på hot snabbare och effektivare
Identifiera kritiska larm som annars skulle kunna förbises
Minska risken för framgångsrika attacker
Att ekonomiskt och praktiskt arbeta förebyggande med säkerhetsarbetet

Användningen av underrättelser sträcker sig bortom incidentrespons; det är avgörande för att underbygga säkerhetsstrategier, identifiera sårbarheter och anpassa säkerhetspolicyer till aktuella hotaktörers TTP:er (taktiker, tekniker och processer).

Damsugare suger upp data i futuristisk miljö

Plattformen vs analytikerna; vilket värde ger resurserna i arbetet?

En robust och avancerad underrättelseplattform är verktygslådan och innebär bl.a. centraliserad insamling av hotdata, en informationskälla vid säkerhetsincidenter, och aggregering och operationalisering av underrättelser.

Plattformen är förstås viktig, men jag skulle vilja påstå att människorna som analyserar, aggregerar och omvandlar datan, är desto mer kritisk.
En duktig analytiker filtrerar bort det irrelevanta och allmänna och letar efter de nålar som i höstacken av information är relevant för just organisationen i fråga. Analytikern tolkar kontexten och förhållandena som ger upphov till hot, och genom att analysera denna data skapas en sammanhängande berättelse som kan och bör användas i sammansättningen av verksamhetsstrategin. För att göra detta framgångsrikt krävs därför såväl omfattande kunskap om hoten och analytiska metoder, men även kunskap om organisationen i fråga och dess kontext.

En rutinerad analytiker bör också anta ett allriskperspektiv; dvs att inte enbart stirra sig blind på tekniska sårbarheter eller hotaktörer, utan ha förmågan att sätta dem i kontext. Vilka geopolitiska faktorer kan spela en roll nu och den närmaste framtiden? Hur ser leverantörskedjan ut och vilka risker innebär den? Finns det övergripande branschtrender som påverkar?

För att ta ett exempel i närtid så skapade en felaktig uppdatering hos cybersäkerhetsföretaget Crowdstrike lika stora konsekvenser som en cyberattack vilken information om enbart hotaktörer inte hade kunnat förhindra. Sett ur en kunds perspektiv hade dock information om ens leveranskedja och dess beroenden proaktivt kunnat mildra konsekvenserna.

Ett professionellt underrättelsearbete innebär att arbeta prediktivt. Det går bortom att enbart identifiera incidenter, och tar sikte på att förutsäga och förhindra hot.

Två knogar möts, en fist bump med futuristisk bakgrund

Värdet av samverkan med underrättelser

Personligen vurmar jag alltid för samverkan – jag tycker att det gör oss starkare, smartare och mer långsiktiga. Att arbeta gemensamt för att motverka cyberhot är enligt mig ett smart som effektivt arbetssätt – men det är också väldigt mycket trevligare.

Genom att dela och ta emot underrättelser inom ett större säkerhetsekosystem ökar verksamheter sin kapacitet för effektiv hotreducering. Samarbete förbättrar dessutom inte bara identifieringen och reduceringen av säkerhetsrisker utan minskar också mänskliga fel – en betydande riskfaktor när det kommer till cybersäkerhet.

Varför är underrättelser viktigt?

Det kommer inte som en överraskning för någon som läser den här artikeln att cyberhoten ökar, och att de dessutom blir alltmer avancerade och sofistikerade. I dessa tider är det dessutom allt troligare att de är kryddade med allt från artificiell intelligens till statligt understöd. Underrättelser kan liknas vid en karta och en ficklampa i den här kontexten. Utan informationen som kommer från det arbetet blir organisationen ineffektiv, famlar i mörkret och bygger murar mot hot som kanske inte finns.

Intelligence management omvandlar rådata till meningsfull information som säkerhetsteam såväl som ledningsgrupper och styrelser kan använda för att fatta välgrundade beslut baserat på aktuell information – snarare än förlegade erfarenheter eller magkänsla.

Genom att förstå sin kontext bättre kan organisationer bättre försvara sig mot potentiella hot. Ett aktivt underrättelsearbete hjälper till att identifiera framväxande hot, prioritera de senaste sårbarheterna och förbättra den övergripande säkerheten.

Frågor och svar

Här finns svar på de vanligaste frågorna kopplat till dataskydd. Har du en fråga som inte finns med? Kontakta oss så hjälper vi dig!

Hur bidrar samarbete och samverkan till bättre underrättelser?Henrik Petterson2024-08-07T11:25:03+02:00

Hur bidrar samarbete och samverkan till bättre underrättelser?

Att samverka och samarbeta inom ex. en bransch eller ett forum genom att dela information förbättrar en organisations förmåga att mildra hot och minskar risken för att förbise sårbarheter. Att bygga en gemensam kapacitet kan kraftigt stärka en grupp, och på så sätt på lång sikt effektivisera säkerhetsarbetet.

Kan artificiell intelligens (AI) och maskininlärning förbättra underrättelsearbetet?Henrik Petterson2024-08-07T11:23:27+02:00

Kan artificiell intelligens (AI) och maskininlärning förbättra underrättelsearbetet?

Det enkla svaret är ja, då det kan automatisera databehandling, berika larm med intelligence och förbättra beslutsfattandeförmågan. Man ska dock alltid vara medveten om vilken typ av AI man använder, eventuella säkerhetsrisker den medför, hur den är uppsatt, och vilken information man matar modellen med.

Varför är det viktigt att integrera intelligence management i en organisations säkerhetsarbete?Henrik Petterson2024-08-07T11:23:20+02:00

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.