Analysis of Competing Hypotheses (ACH)

Analysis of Competing Hypotheses gebruik je om hypotheses te evalueren,  bewijs tegen te zoeken en alle mogelijke verklaringen af te wegen. Dit ondersteunt je om tot een onderbouwde keuze te komen en voorkomen van groepsdruk en vooroordelen. 

Tegen welk probleem loop je aan?

Informatie in het werkveld van digitale veiligheid is vaak onduidelijk, open voor interpretatie en soms regelrecht misleidend van aard. Daarom is het menseigen om op zoek te gaan naar bevestiging van een bekend beeld. Daardoor kun je de eerste verklaring voor een nieuw fenomeen voor waar aannemen, waardoor je op zoek gaat naar bewijs voor die verklaring. Dit leidt mogelijk tot verkeerde conclusies. Daardoor maken cyberexperts keuzes gebaseerd op onjuiste of onvolledige aannames.

Een voorbeeld hiervan is een situatie waarbij er een cyberaanval plaatsvindt op het netwerk van jouw organisatie. De eerste forensische sporen wijzen op een insider. Dit past bij het beeld van de SOC-manager, die in het verleden ook te maken heeft gehad met een insider. Daardoor richt de forensische analyse zich op deze actor en plaatsen experts bewijspunten in die context. Hierdoor maakt het management risicobeheersingskeuzes op basis van deze hypothese.

Hoe helpt deze analysetool jou?

Analysis of Competing Hypotheses (ACH) is een analysemethode die als doel heeft om (1) verschillende hypotheses te evalueren, (2) bewijs te zoeken die aangeeft dat een van de hypotheses niet klopt en (3) systematisch informatie te evalueren in het licht van alle mogelijke verklaringen. Daarom helpt deze methode je bij het tegengaan van vooroordelen en (groeps)druk, en zorgt het voor een onderbouwde keuze. Je kijkt naar meerdere mogelijke oorzaken en zoekt naar informatie die elk idee kan tegenspreken. Dit helpt jou om betere beslissingen te nemen, omdat het laat zien waarom sommige verklaringen minder sterk zijn.

Dit leidt tot een overzicht waarin je verschillende verklaringen/hypotheses met elkaar hebt vergeleken. Door de systematische evaluatie hou je uiteindelijk één of twee hypotheses over die het beste passen.

Wie moet deze analysetool gebruiken?

Dreigings- en risicoanalisten gebruiken deze methode omdat daar vrijwel continu sprake is van onduidelijke, onvolledige of potentieel misleidende informatie. In bredere context kan deze methode door elke cyberexpert gebruikt worden als er sprake is van een situatie waarbij je meerdere verklaringen kan opstellen voor één probleem of casus.

Stel je voor, je bent een analist in een incidentresponsteam. De SOC-manager vraagt je om te bepalen wie verantwoordelijk is voor een cyberaanval op het netwerk. Met ACH kom je op de drie best onderbouwde hypotheses: een statelijke actor, een criminele groep en een interne medewerker. Je past ACH toe omdat het een onzekere situatie is met hoge druk. Je vergelijk je samen met je team systematisch het beschikbare bewijs met elk van de drie mogelijke actoren. Doordat je informatie overweegt met het perspectief welke verklaring het zou ontkrachten, volg je wetenschappelijke best practices om tot de juiste conclusies te komen.

Wanneer gebruik je deze analysetool?

ACH biedt de meeste toegevoegde waarde in de beginfase van een cyberanalyse. Informatie is dan vaak schaars, onduidelijk vooroordelen liggen op de loer. ACH biedt nog meer toegevoegde waarde als je gevraagd wordt om een duidelijk besluit te nemen, of om besluitvorming te faciliteren. Doordat je systematisch bewijs overweegt, heb je een duidelijke logging van de uitgevoerde acties waardoor je in evaluaties of audits hierop terug kan vallen.

In het eerdere voorbeeld, ben je als analist bezig met de incidentresponscasus. Nadat je de eerste bewijspunten bekeken hebt, stel je mogelijke verklaringen op voor de actor. Door vanaf dat punt consistent volgens de ACH-methode te werken, bouw je zekerheid in dat je nieuwe informatie consistent en evenwichtig beoordeelt.

Met welke randvoorwaarden moet je rekening houden?

  • Meerdere duidelijke verklaringen (hypotheses). Voor ACH heb je minstens drie mogelijke verklaringen nodig. Deze verklaringen mogen niet tegelijk waar kunnen zijn.
  • Scheid feiten en aannames. Je moet in staat zijn om een waardeoordeel te geven over de betrouwbaarheid van informatie. Zodat je feiten en aannames van elkaar kunt scheiden.
  • Een veilige groep om vrij te denken. ACH draait om het zoeken naar tegenbewijs. De werksfeer moet daarom ook open genoeg zijn om afwijkende meningen, tegenargumenten en twijfel serieus te nemen – zonder sociale druk of angst.
  • Mensen met verschillende achtergronden in de groep. Om de eerder genoemde biases te beperken is het belangrijk dat je deelnemers hebt met verschillende perspectieven, achtergronden en expertises. Dat helpt om fouten of blinde vlekken te voorkomen.
  • [Optioneel] Een goede begeleider die het proces leidt. De begeleider zorgt ervoor dat het onderstaande ACH stappenplan goed wordt gevolgd. Diegene let erop dat niemand te veel invloed heeft en dat er eerlijk naar alle ideeën wordt gekeken.

Hoe gebruik je deze analysetool?

Je probeert rekening te houden met de bovenstaande randvoorwaardes. Je begint vervolgens met je team met het formuleren van meerdere hypotheses. Daarna bekijkt de groep bij elk stuk bewijs hoe consistent of inconsistent deze informatie is met elke hypothese. De verklaring die het beste past bij het bewijs, en die dus het minst wordt tegengesproken, is waarschijnlijk de juiste.

Operationeel stappenplan

Voorbeeldcasus

Stel je voor, je bent een analist in een incidentresponsteam. De SOC-manager vraagt je om te bepalen wie verantwoordelijk is voor een cyberaanval op het netwerk. Doordat je ACH gebruikt, kom je uit op drie hypotheses: een statelijke actor, een criminele groep en een interne medewerker. Je past ACH toe omdat het een onzekere situatie is met hoge druk.