Analysetechnieken en cybersecurity

Weblogbericht | 27-11-2023 | NCSC

Bart van den Berg is senior dreigingsanalist bij het NCSC

Cyber Threat Intelligence (CTI) is een nieuw werkveld dat snel in ontwikkeling is. Het Nationaal Detectie Netwerk (NDN), een belangrijk middel van het NCSC om zicht en grip te krijgen op cyberdreigingen, bestaat pas net iets langer dan 10 jaar. En het beroemde APT-1 report waarin Mandiant activiteiten van een Chinese statelijke actor beschrijft stamt slechts uit 2013.

In de afgelopen jaren is CTI gegroeid tot een omvangrijke industrie met veel technische mogelijkheden om digitale dreigingen in kaart te brengen. Via Threat Intelligence Platforms kan snel dreigingsinformatie worden uitgewisseld tussen organisaties. Veel dreigingsinformatie is ook commercieel verkrijgbaar. Organisaties kunnen tegen betaling toegang krijgen tot een enorme hoeveelheid technische informatie over cybersecuritydreigingen zoals Indicators of Compromise (IOCs).

CTI gaat echter over meer dan technische dreigingsinformatie. Het gaat ook over het begrijpen en in context plaatsen van cybersecuritydreigingen. Over welke aanvalstechnieken moeten we ons bijvoorbeeld zorgen maken? Hoe worden deze beïnvloed door opkomende technologieën en geopolitieke escalaties? En welke cybersecurityrisico’s vloeien daaruit voort?

Gestructureerde analysetechnieken zijn veelal afkomstig uit het klassieke inlichtingen- en veiligheidsdomein en ontwikkeld om inzicht te geven op allerlei veiligheidsvraagstukken. En daar liggen kansen, want ze worden nog beperkt gebruikt in de cybersecuritygemeenschap.

Lessen uit een ander vakgebied

Zelf ben ik in aanraking gekomen met gestructureerde analysetechnieken in mijn opleiding tot officier bij Defensie. Deze analysetechnieken staan centraal in de planning van een militaire operatie. De planning wordt stap-voor-stap door een militaire staf uitgevoerd, waarbij tussentijdse resultaten zorgvuldig worden bijgehouden.

Een fout in een tussentijdse analyse, zoals een verkeerde inschatting van de doorwaadbaarheid van een rivier, kan grote gevolgen hebben. Een pantservoertuig kan bijvoorbeeld vast komen te zitten in de rivier vanwege een te slipperige bodem. Dat is geen aangename ervaring, zeker niet als de bemanning van het bergingsvoertuig dat je eruit komt trekken uitgebreid de tijd neemt om je toe te lachen en zich hardop afvraagt je die rivier zo verkeerd had kunnen inschatten.

Het vastlopen van het pantservoertuig had voorkomen kunnen worden door voorafgaand aan de operatie analyses transparant en volgens een herleidbaar proces uit te voeren. Doordat een stap werd vergeten, namelijk de analyse van een specifiek terreindeel, werd een verkeerde actie uitgevoerd. Een devil’s advocate had kunnen doorvragen over gemaakte aannames, bijvoorbeeld of de rivier in kwestie wel daadwerkelijk doorwaadbaar was.

Samen analyses uitvoeren

Binnen het NCSC besteden we veel aandacht aan het ontwikkelen en gebruiken van analysetechnieken om de kwaliteit van onze analyses te vergroten. Dit staat in contrast tot analyses die door een enkele expert worden uitgevoerd en sterk afhankelijk zijn van persoonlijke inschatting en intuïtie. Daarnaast kunnen we, door gebruik te maken van bestaande en beproefde methodiek, analyses ook sneller en in gezamenlijkheid met partnerorganisaties uitvoeren.

Zo is onze publicatie “Vier cybersecuritylessen uit één jaar oorlog in Oekraïne" gebaseerd op de kennis en expertise van cybersecurityexperts van verschillende overheidsorganisaties. Hiervoor hebben we de analysetechniek cluster brainstorming gebruikt. Deelnemende organisaties aan een gezamenlijke analyse beschikken over unieke perspectieven en inzichten ten aanzien van een vraagstuk. Door dit samen te brengen ontstaat een rijkere en betere analyse.

Voorbeelden van analysetechnieken

Afhankelijk van het vraagstuk gebruiken we andere analysetechnieken. In totaal bestaan er honderden technieken die van waarde kunnen zijn in het analyseren van een vraagstuk. Veel van deze technieken zijn beschreven in Engelstalige literatuur. Dit jaar hebben Willemijn Aerdts en Ludo Block van de Universiteit Leiden ook een Nederlandstalig handboek uitgebracht. Een aantal technieken die in deze boeken beschreven staan passen wij toe in het cybersecuritywerkveld, zoals:

• Cluster brainstorming gebruiken we om verschillende facetten van een vraagstuk in kaart te brengen. Dit is een imaginatieve techniek die uiteindelijk bijdraagt aan het verhogen van het bewustzijn over verschillende invalshoeken van een probleem. Deze techniek hebben we bijvoorbeeld toepast om tot de “Vier cybersecuritylessen uit één jaar oorlog in Oekraïne” te komen.
• Door de key assumptions check of devil’s advocacy controleren we of de feiten en aannames die ten grondslag aan de analyse liggen kloppen. We bevragen elkaar dan, voorafgaande aan een publicatie, kritisch of gemaakte aannames kloppen. Zo kan het voorkomen dat we na een devil’s advocacy toch niet zeker zijn over uitspraken van een externe partij over malware. We besluiten dan zelfstandig de malware te onderzoeken om de uitspraken van externe partij te bevestigen of te ontkrachten.
• Via indicators en triggering events krijgen we een beeld hoe dreigingen kunnen veranderen door de tijd. Zo weten we bijvoorbeeld dat toenemende maatschappelijke spanningen een effect hebben op hacktivisme. Door hier vooraf een analyse over uit te voeren krijgen we oorzaak-gevolg relaties inzichtelijk die het dreigingsbeeld beïnvloeden.  
• Door het ontwikkelen van scenario’s kunnen we bij een crisis rekening houden met een complexe en onzekere situatie. Zo hebben we, nog voordat Rusland Oekraïne binnenviel, scenario’s ontwikkeld over hoe een invasie het digitale dreigingslandschap van Nederlandse organisaties beïnvloed. Deze bespreken we in het tweede seizoen van de podcast Enter.
• Door een paired comparison uit te voeren kunnen we een hiërarchie aanbrengen in verschillende cybersecuritydreigingen en risico’s. Dit doen we door een lijst van dreigingen of risico’s onderling met elkaar te vergelijken om zo te bepalen welke relatief het belangrijkste, meest impactvol of waarschijnlijkste is.
• Met een waarschijnlijkheidsinschatting schatten we in hoe waarschijnlijk het is dat een gebeurtenis binnen een bepaalde periode gaat plaatsvinden. Dit is een gestructureerde analysetechniek, waarin verschillende feiten en aannames door meerdere analisten samen worden afgewogen om tot een onderbouwde inschatting te komen.
• Ook kunnen we kijken naar drivers onder verschillende cyberdreigingen. We kijken hierbij bijvoorbeeld naar technologische, sociale of politieke ontwikkelingen die invloed hebben op het dreigingslandschap. Zo kan de quantumcomputer een technologische driver zijn voor veranderingen in het cybersecuritylandschap. Deze ontwikkeling volgen we nauwgezet en op basis daarvan kunnen we verwachtingen uitspreken over een langere periode.
• Sommige analysetechnieken zijn specifiek ontwikkeld voor cybersecurity. Deze genieten meer bekendheid binnen de cybersecuritygemeenschap. In 2021 heeft Noortje Henrichs verschillende CTI-analysemodellen beschreven die veel worden gebruik binnen het NCSC. Dit zijn analysemodellen zoals het Diamond-model, de Cyber Killchain, Pyramid of Pain, het VERIS-framework en het MITRE ATT&CK-framework. 

Vooruitblik op toolbox

Gestructureerde analysetechnieken kunnen helpen om zicht en grip te krijgen op cybersecuritydreigingen en risico’s. Juist in het werkveld van CTI, waar veel data beschikbaar is, zijn er kansen om analyses te verrijken en te sturen met een gestructureerd analyseproces. Daar is geen dure tooling voor nodig, wel kennis van analysetechnieken. Kwalitatieve en kwantitatieve analysetechnieken versterken elkaar. Een geïdentificeerde indicator bij een scenario kan bijvoorbeeld verrijkt worden met actuele data uit sensoren. Hierdoor ontstaat een rijk en actueel beeld dat een organisatie kan helpen geïnformeerde beslissingen te nemen. 

We dragen vanuit het NCSC graag bij aan het verder toepassen van gestructureerde analysetechnieken in cybersecurity. In de komende periode zullen we meer publiceren over onze ervaringen. Wilt u liever niet hierop wachten? De volgende publicaties kunnen u nu al inspireren en helpen bij het toepassen van gestructureerde analysetechnieken binnen uw organisatie:

• “A Tradecraft Primer: Structured Analytic Techniques for Improving Intelligence Analysis”, CIA, 2009
• “Analytic Culture in the U.S. Intelligence Community”, CIA, 2005
• “ATP 2-33.4: Intelligence Analysis”, US Army, 2020
• Willemijn Aerdts en Ludo Block, “Gestructureerde inlichtingenanalyse voor opsporing en ordehandhaving”, Leiden University Press, 2023
• Randolph H. Pherson en Richards J. Heuer Jr., “Structured Analytic Techniques for Intelligence Analysis”, Sage, 2019
• Richards J. Heuer, Jr., “Psychology of Intelligence Analysis”, CIA, 1999

Geschreven door:
Bart van den Berg
Senior Dreigingsanalist