Cyber Threat Intelligence Management in Technical Cybersecurity Operations

Abstract

Kyberrikolliset sekä muut tietojärjestelmiä hyväksikäyttävät tahot ovat viimeisten vuosien aikana jatkuvasti kehittäneet kyvykkyyksiään murtautuakseen organisaatioiden järjestelmiin ja saadakseen pääsyn luotta muksellisiin tietoihin. Uhkatiedon käytännöllisyys esiintyy sillä, että näiden tietojen pohjalta uhkatapahtu mia pystytään ennakoimaan ja mukauttaa organisaation tietoturvakyvykkyyksiä hyökkäysten estämiseksi. Uhkatiedon määrän jatkuva lisääntyminen on johtanut siihen, että sen onnistunut hyödyntäminen vaatii johdonmukaisuutta ja rakenteellisuutta. Hyödyllisen uhkatiedon hallinnan mallin kehittämiselle ei ole yhtä oikeaa menetelmää, vaan se on määriteltävä vastaamaan liiketoiminnan tietoturvan tarpeita. Tämän saa vuttamiseksi organisaatiolta vaaditaan riittävää kypsyyttä sekä tahtotilaa. Tutkimuksen tuloksena kehitettiin uhkatiedon hallinnan malli hyödyntäen työkaluja, viitekehystä sekä pro sesseja. Konseptin testaamiseksi ja arvioimiseksi suoritettiin uhkahypoteesi, johon liitettiin organisaation olemassa olevia prosesseja ja työkaluja. Konsepti antaa teknisille tietoturvatoiminteille pohjan uhkatiedon käsittelemiselle sekä uhkatiedon hallinnan jatkuvalle kehittämiselle. Konseptin sopivuutta toimeksi anta vaan organisaatioon arviointiin sidosryhmän haastattelun avulla.

Over the past years, cybercriminals and other adversaries exploiting information systems have continuously developed their capabilities to breach systems in an attempt to gain access to the confidential information of organizations. The practicality of threat intelligence is that, based on this information, threat events can be predicted, and the organization's information security capabilities can be adapted to prevent such at tacks. The continuous increase in the amount of threat information has led to a situation where successful utiliza tion of threat intelligence requires consistency and structure. There is no single correct method for devel oping a successful threat intelligence management model. A threat intelligence program should support the organizations business requirement for it to be useful. In order to achieve this, sufficient maturity and will ingness are required from the organization. As a result of the research, a threat intelligence management model was developed utilizing tools, frame work and processes. In order to test and evaluate the concept, a threat hypothesis was carried out, com bined with existing processes and tools of the organization. The concept provides a basis for technical cy bersecurity functions for processing threat intelligence and for the continuous development of threat intelligence management. Interview with the stakeholders of the commissioning organization was utilized in assessing the suitability of the concept.