Informationselement i incidentbeskrivningar. Framtagning och utvärdering under övningen iPILOT
Publiceringsdatum: 2018-02-13
Rapportnummer: FOI-R--4501--SE
Sidor: 34
Skriven på: Svenska
Nyckelord:
- cybersäkerhet
- logganalytiker
- logganalys
- informationselement
- incidentbeskrivning.
Sammanfattning
Vid cybersäkerhetsincidenter är en av de viktigaste uppgifterna att dokumentera det inträffade för att i efterhand kunna spåra vad som har hänt. Flera ramverk har utvecklats för att stödja dokumentationsarbetet, alla med sina för- och nackdelar. Som ett första steg i att utveckla en praktiskt användbar incidentbeskrivningsstandard har spårbarhets- och analysbehovet studerats för att identifiera vilken information som är lämplig att rapportera. I denna rapport presenteras ett konkret förslag på 16 informationselement (t.ex. rapportör, angriparens nod och syfte bakom attacken) att inkludera i en incidentbeskrivning. Under en nationell cybersäkerhetsövning utvärderades förslaget avseende: (1) i vilken omfattning föreslagna informationselement nyttjades, (2) om elementen samvarierade med incidentbeskrivningarnas kvalitet och (3) deltagarnas subjektiva upplevelser av att använda elementen. Resultaten visar att vilka informationselement som användes varierar mycket, vilket var förväntat eftersom det t.ex. är betydligt enklare att beskriva vad som observerats och vilken nod som attackerats än att beskriva angriparen. Analysen visade också att incidentbeskrivningar med fler ifyllda informationselement generellt bedömdes ha högre kvalitet. Det fanns en tydlig träningseffekt från dag ett till dag två där poängsättningen ökade markant per inlämnad rapport. Även om den övergripande bedömningen av den framtagna förenklade incidentbeskrivningen är positiv så indikerar deltagarnas subjektiva skattning av om rätt informationselement inkluderades under övningen att frågan bör utredas vidare.