TIBER-EU Preparation Phase Framework; case study Nixu: optimizing TIBER-EU engagements

Abstract

TIBER-EU on toimialakohtainen uhkatietoihin perustuva hyökkäävän tietoturvatestauksen toimintamalli eurooppalaisen finanssialan kriittisen infrastruktuurin toimijoille. TIBER-EU -toimintamallin tarkoitus on vakioida ja siten varmistaa laadukas sekä yhdenmukainen tietoturvatestaus. Euroopan keskuspankki on johtanut yhdessä Euroopan Unionin keskuspankkien kanssa TIBER-EU -viitekehyksen kehitystä, joka julkaistiin toukokuussa 2018. TIBER-EU -toimintamallin ollessa suhteellisen uusi, finanssitoimialan yrityksillä ei ole vielä merkittävästi kokemusta TIBER-EU -projekteista ja niiden käynnistämisestä. Vastaavasti, tietoturvatestaus- ja uhkatietopalveluita tarjoavilla yrityksillä on mahdollisuuksia kehittää heidän metodologioitaan suunnitella ja toteuttaa toimeksiantoja. Tutkimus keskittyy määrittämään onko mahdollista tuottaa viitekehitys ja työkalu kehittämään tietoturvayhtiö Nixun TIBER-EU -projektien suunnittelun ja laajuuden määritystä, huomioiden, että asiakasyritys saattaa toimittaa vain rajallisesti tietoa suunnittelun tueksi. Tutkimustyö aloitettiin haastattelemalla Nixun tietoturva-asiantuntijoita. Tarkoituksena oli ymmärtää TIBER-EU -hankkeiden nykytila ja -toimintamalli, sekä kerätä kehitysideoita. Nykytilan ymmärtäminen tuki myös tutkimuksen lopputulosten soveltamista käytäntöön. Kehitystyö tehtiin yhteiskehittämismetodologialla, ja lopputuotokset toteutettiin valittua matalan koodin alustaa hyödyntäen. Tutkimuksen tulokset osoittivat, että TIBER-EU -hankkeiden suunnittelua ja laajuutta voidaan määrittää uhkatietojen, kohdeyrityksen ominaisuuksien, ja tietoturvatestausskenaarioiden rakenteellisella mallilla. Toteutettu työkalu osoitti tämän käytännössä, lisäksi kyselytutkimuksen vastaukset vahvistivat havainnot. Kehitetyn työkalun käyttöönoton havaittiin kuitenkin vaativan organisaation toimintamallien kehitystä, mukaan lukien rakenteellisen mallin vaatiman datan tuottamiseksi.

TIBER-EU is an industry-specific framework for entities part of the European core financial infrastructure to plan and execute threat intelligence-based red teaming exercises. The goal of TIBER-EU is, through a standardized approach, to ensure the quality of the security tests and gain consistent results, improving the cyber resilience of the European financial sector. The development of TIBER-EU was completed by the European Central Bank and European Union national central banks, and the framework was published in May 2018. As TIBER-EU is a relatively new concept, financial institutes lack experience in initiating TIBER-EU projects. Similarly, red teaming and threat intelligence service providers have potential to optimize their methodologies to plan and execute their assignments. The research focused on understanding if it is possible to develop a framework and a tool to enhance the quality of cyber security service provider Nixu’s TIBER-EU project planning and scoping, considering that the information received from the target entity may be limited. To implement a framework that provides value for real-life engagements, the research started with a series of interviews to analyze the current state of the TIBER-EU engagement methodology and to gather improvement requirements. Co-creation methodology was used to design the data models and business logic of the tool implemented using a selected low-code platform. The research outcome was that the scope for a TIBER-EU engagement can be conducted from well-structured threat intelligence, target entity characteristics, and red teaming scenarios. Tool implementation demonstrated this in practice, and the final evaluation survey confirmed the findings. However, deployment of the framework into use was found to require adjustments in how the needed data is generated and managed by the organization.