Secify.com

Vad är intelligence management, och varför bör man implementera en strategi för det?

7 augusti, 2024
Uppdaterad: 16 september, 2024
Uppskattad lästid: 2 min

Introduktion

en rejäl strategisk fördel i arbetet med att hantera potentiella hot

Allteftersom cyberhot blir mer sofistikerade och även frekventa, blir det allt viktigare för många typer av organisationer att utnyttja underrättelser för att ligga steget före potentiella attacker. Oavsett bransch kan kontinuerligt underrättelsearbete ge en djupare förståelse för organisationens digitala fotavtryck, och ge en bättre förståelse för hur externa hot kan påverka verksamheten.

Jag tror att många kan uppleva underrättelsearbete som något som är till för myndigheter eller enorma multinationella företag. Med den här artikeln vill jag bryta ner begreppet och förklara varför det går att göra på flera nivåer, och vad organisationer i alla storlekar och branscher kan få ut av det.

Vad är intelligence management?

Intelligence management är strategiskt underrättelsearbete och handlar om att samla in, bearbeta, analysera och presentera information för att bättre förstå den kontexten man verkar inom, och i förlängningen förstå och hantera hot som kan drabba organisationen. Det handlar om att arbeta med metoder för att gallra ut värdefulla insikter från omfattande och kaotisk data. Att hitta kärnan som kan ligga till grund för ett faktabaserat beslut och på sikt leda till en prediktiv riskreducering.

Intelligence management används inom allt cybersäkerhetsvärlden, affärsstrategi och militär underrättelsetjänst.

Här vill jag poängtera att intelligence management som sagt går att göra på alla nivåer. Den som driver en bensinstation och varje fredag kör runt i närområdet för att göra en priskoll hos konkurrenter, och justera sina egna priser därefter – ja den personen sysslar också med systematisk inhämtning av information, och använder den dessutom för att fatta beslut rörande sin verksamhet.

Informationsflöde i en futuristisk miljö

Intelligence management innebär helt enkelt en systematisk omvärldsbevakning med insamling, analys och därefter ett agerande baserat på insikterna. I cybersäkerhetsvärlden är det också viktigt med spridning av insikterna och information om potentiella cyberhot och risker för en organisation. Det är en systematisk process som med fördel inkluderas i befintliga rutiner och processer (i ett ledningssystem om ett sådant finns). Arbetet involverar noggrann insamling och analys, men lika viktigt är en klok och korrekt spridning av viktiga insikter till relevanta medarbetare och andra intressenter, såsom styrelse.

För att effektivisera insamlingen av data utgör en avancerad underrättelseplattform en viktig nyckel. Den tillsammans med experter på inhämtning, och analytiker som kan hantera informationen förenklar arbetet. Tillsammans med integrationen med det övriga säkerhetsarbetet ger man sig själv rätt förutsättningar för att identifiera sårbarheter och har utvecklat säkerhetsåtgärder för att skydda sig mot sofistikerade cyberhot.

Korrekt utfört innebär intelligence management en rejäl strategisk fördel i arbetet med att hantera potentiella hot, och ger framför allt en datadriven lägesbild – något som är viktigt för ett företags ledning för att undvika att fatta beslut baserat på känsla. Istället förvandlar man insikter till handling för att prioritera sitt säkerhetsarbete rätt.

Olika typer av intelligence

Intelligence kan delas in i fyra huvudsakliga kategorier:

  • Strategisk intelligence
    Ger en översikt på hög nivå och längre tidshorisont över hotlandskapet, inklusive framväxande trender, geopolitiska händelser och större hotaktörer. Kunskapen används för strategiska planer och inriktning av säkerhetsarbetet.
  • Taktisk intelligence
    Ger en mer detaljerad översikt på kortare tidshorisont över hotlandskapet. Fokuserar bland annat på de metoder och tekniker som används av hotaktörer här och nu eller inom en snar framtid
  • Operationell intelligence
    Är mer omedelbar och möjlig att agera på, med detaljer om specifika incidenter och kampanjer som pågår här och nu, eller som är nära förestående.
  • Teknisk intelligence
    Inkluderar data om specifika indikatorer på kompromettering (IOCs) som IP-adresser, domännamn, filhashar och malware-signaturer. Fungerar som dataunderlag för de övriga kategorierna.

Vi rekommenderar alltid att kombinera dessa för att nyttja olika typer av underrättelser, om man vill bygga ett intelligent och mångfacetterat försvar.

Komponenterna i en effektiv underrättelse-strategi

En effektiv strategi för underrättelsearbete bygger på datainsamling, sofistikerad analys och omvandling till relevanta insikter. Det här ger ett omfattande angreppssätt som säkerställer att den insamlade informationen är relevant, korrekt och möjlig att agera på.
Nedan listar jag nyckelkomponenterna i underrättelse-processen:

  • Strategisk planering:
    Planeringsfasen är viktig för att skapa samsyn. Här definieras målen, vilket formar riktningen för hela underrättelse-processen och vilken typ av data som ska samlas in, för vilket ändamål och när det ska presenteras.
  • Datainsamling:
    Samla in rådata från olika källor, inklusive nätverksloggar, säkerhetsincidenter och olika externa threat intelligence-flöden.
  • Databearbetning och -analys:
    Bearbeta och analysera den insamlade datan för att identifiera mönster, trender och indikatorer på potentiella hot.
  • Handlingsbara insikter:
    Omvandla den analyserade datan till insikter som kan användas för att minska risker och förbättra säkerhetsåtgärder. Dela den analyserade informationen med relevanta intressenter inom organisationen för att informera säkerhetsbeslut och åtgärder.

Integration av intelligence management i det befintliga säkerhetsarbetet

Integrationen av underrättelsearbete i en organisations pågående säkerhetsarbete tillser att underrättelser inte bara samlas in, utan omvandlas till insikter och aktivt används i det dagliga arbetet för att stärka upp verksamheten.
Säkerhetsåtgärder som har ”dopats” med underrättelser ökar effektiviteten hos säkerhetsåtgärder och gör att du som säkerhetsansvarig kan:

  • Svara på hot snabbare och effektivare
  • Identifiera kritiska larm som annars skulle kunna förbises
  • Minska risken för framgångsrika attacker
  • Att ekonomiskt och praktiskt arbeta förebyggande med säkerhetsarbetet

Användningen av underrättelser sträcker sig bortom incidentrespons; det är avgörande för att underbygga säkerhetsstrategier, identifiera sårbarheter och anpassa säkerhetspolicyer till aktuella hotaktörers TTP:er (taktiker, tekniker och processer).

Damsugare suger upp data i futuristisk miljö

Plattformen vs analytikerna; vilket värde ger resurserna i arbetet?

En robust och avancerad underrättelseplattform är verktygslådan och innebär bl.a. centraliserad insamling av hotdata, en informationskälla vid säkerhetsincidenter, och aggregering och operationalisering av underrättelser.

Plattformen är förstås viktig, men jag skulle vilja påstå att människorna som analyserar, aggregerar och omvandlar datan, är desto mer kritisk.
En duktig analytiker filtrerar bort det irrelevanta och allmänna och letar efter de nålar som i höstacken av information är relevant för just organisationen i fråga. Analytikern tolkar kontexten och förhållandena som ger upphov till hot, och genom att analysera denna data skapas en sammanhängande berättelse som kan och bör användas i sammansättningen av verksamhetsstrategin. För att göra detta framgångsrikt krävs därför såväl omfattande kunskap om hoten och analytiska metoder, men även kunskap om organisationen i fråga och dess kontext.

En rutinerad analytiker bör också anta ett allriskperspektiv; dvs att inte enbart stirra sig blind på tekniska sårbarheter eller hotaktörer, utan ha förmågan att sätta dem i kontext. Vilka geopolitiska faktorer kan spela en roll nu och den närmaste framtiden? Hur ser leverantörskedjan ut och vilka risker innebär den? Finns det övergripande branschtrender som påverkar?

För att ta ett exempel i närtid så skapade en felaktig uppdatering hos cybersäkerhetsföretaget Crowdstrike lika stora konsekvenser som en cyberattack vilken information om enbart hotaktörer inte hade kunnat förhindra. Sett ur en kunds perspektiv hade dock information om ens leveranskedja och dess beroenden proaktivt kunnat mildra konsekvenserna.

Ett professionellt underrättelsearbete innebär att arbeta prediktivt. Det går bortom att enbart identifiera incidenter, och tar sikte på att förutsäga och förhindra hot.

Två knogar möts, en fist bump med futuristisk bakgrund

Värdet av samverkan med underrättelser

Personligen vurmar jag alltid för samverkan – jag tycker att det gör oss starkare, smartare och mer långsiktiga. Att arbeta gemensamt för att motverka cyberhot är enligt mig ett smart som effektivt arbetssätt – men det är också väldigt mycket trevligare.

Genom att dela och ta emot underrättelser inom ett större säkerhetsekosystem ökar verksamheter sin kapacitet för effektiv hotreducering. Samarbete förbättrar dessutom inte bara identifieringen och reduceringen av säkerhetsrisker utan minskar också mänskliga fel – en betydande riskfaktor när det kommer till cybersäkerhet.

Varför är underrättelser viktigt?

Det kommer inte som en överraskning för någon som läser den här artikeln att cyberhoten ökar, och att de dessutom blir alltmer avancerade och sofistikerade. I dessa tider är det dessutom allt troligare att de är kryddade med allt från artificiell intelligens till statligt understöd. Underrättelser kan liknas vid en karta och en ficklampa i den här kontexten. Utan informationen som kommer från det arbetet blir organisationen ineffektiv, famlar i mörkret och bygger murar mot hot som kanske inte finns.

Intelligence management omvandlar rådata till meningsfull information som säkerhetsteam såväl som ledningsgrupper och styrelser kan använda för att fatta välgrundade beslut baserat på aktuell information – snarare än förlegade erfarenheter eller magkänsla.

Genom att förstå sin kontext bättre kan organisationer bättre försvara sig mot potentiella hot. Ett aktivt underrättelsearbete hjälper till att identifiera framväxande hot, prioritera de senaste sårbarheterna och förbättra den övergripande säkerheten.

Frågor och svar

Här finns svar på de vanligaste frågorna kopplat till dataskydd. Har du en fråga som inte finns med? Kontakta oss så hjälper vi dig!

Hur bidrar samarbete och samverkan till bättre underrättelser?2024-08-07T11:25:03+02:00

Att samverka och samarbeta inom ex. en bransch eller ett forum genom att dela information förbättrar en organisations förmåga att mildra hot och minskar risken för att förbise sårbarheter. Att bygga en gemensam kapacitet kan kraftigt stärka en grupp, och på så sätt på lång sikt effektivisera säkerhetsarbetet.

Kan artificiell intelligens (AI) och maskininlärning förbättra underrättelsearbetet?2024-08-07T11:23:27+02:00

Det enkla svaret är ja, då det kan automatisera databehandling, berika larm med intelligence och förbättra beslutsfattandeförmågan. Man ska dock alltid vara medveten om vilken typ av AI man använder, eventuella säkerhetsrisker den medför, hur den är uppsatt, och vilken information man matar modellen med.

Varför är det viktigt att integrera intelligence management i en organisations säkerhetsarbete?2024-08-07T11:23:20+02:00

Att integrera intelligence management som en del av säkerhetsarbetet möjliggör automatiserade åtgärder, bättre anpassning av säkerhetspolicyer mot relevanta och aktuella hot och förbättrad effektivitet i befintliga säkerhetsåtgärder.

Hur hjälper underrättelser under en säkerhetsincident?2024-08-07T11:23:13+02:00

Underrättelser är avgörande under en incident då den ger kritisk information till utredningar, identifierar sårbarheter som utnyttjats av angripare och på det stora hela underlättar en effektiv hantering av incidenten.

Vad är värdet med att arbeta löpande med underrättelser?2024-08-07T11:21:56+02:00

Den primära fördelen är att man stärker en organisations säkerhet genom informerat, datadrivet beslutsfattande och prediktiv riskreducering.

2024-09-16T10:19:33+02:00
Till toppen