Del 1: Vår introduktion till CTI
Erik Van Dijk
Product Manager Orange Cyberdefense
”Hej Erik, arbetar Orange Cyberdefense verkligen med cyberhotinformation? Det visste jag inte!”
Ja, det gör vi absolut.
Men innan vi dyker in i vad vi gör vill vi ta ett steg tillbaka och prata om varför vi gör det. För utan att förstå grunderna fastnar inte resten.
I den här bloggserien går vi igenom hur vi ser på hotinformation hos Orange Cyberdefense. Steg för steg går vi från varför till hur – och slutligen till vad.
Vårt mål? Att visa dig exakt varför hotinformation från Orange Cyberdefense är viktigt.
Cyberhotinformation – låter avancerat, eller hur?
Men fråga tio personer vad det betyder, och du får svar som sträcker sig från ”supertekniska hackargrejer” till ”någon instrumentpanel som jag aldrig öppnar”.
Sanningen? CTI kan vara komplicerat (eller så gör vi det komplicerat) – definitionerna varierar från A till Ö, från Paris till Tokyo. Men i grund och botten handlar det om en sak: att fatta smartare beslut inför digitala hot för att minska osäkerheten.
I den här bloggserien ska vi reda ut begreppen. Vi ska utforska varför och vad cyberhotinformation är – och bryta ner det till något konkret, användbart och kanske till och med lite spännande.
När du har läst klart kommer du att veta vad CTI kan göra för dig och varför du kanske vill ha det på din sida.
Låt oss dyka in.
Cyberhotinformation i sin kärna
Vad är egentligen cyberhotinformation?
CTI diskuteras ofta i modeord eller göms i presentationer fyllda med indikatorer och flöden. Men låt oss förenkla det:
I grund och botten handlar CTI om att hjälpa rätt personer att fatta bättre beslut när de står inför cyberhot.
Det är inte magi. Det är inte oändliga dataströmmar. Det är relevanta, aktuella och användbara insikter – precis vad du behöver för att ligga steget före.
Grunden: planering och inriktning
CTI handlar inte om att samla in ”allt”. Det börjar med en grundläggande fråga:
Vad behöver vi veta för att vara säkra, trygga och förberedda?
Det är här Priority Intelligence Requirements (PIR) kommer in i bilden. PIR definierar vad som är viktigast – det styr ditt fokus och anpassar dina insatser efter dina affärsmål eller uppdrag.
Tänk på PIR som din CTI-kompass. Utan dem riskerar du att drunkna i brus.
Här är två snabba exempel:
- Bra PIR:
- Säljs eller delas stulna användarnamn och lösenord från vår organisation på den mörka webben?
- Dålig PIR:
- Vilka cyberhot finns det och vad händer globalt?
- Vi kommer att fördjupa oss i PIR i ett kommande inlägg – håll utkik!
Leverera värde: aktuell, relevant och åtgärdsbar
Effektiv CTI träffar mitt i prick:
- Aktuell – levereras innan det är för sent att agera.
- Relevant – anpassad efter din miljö, dina tillgångar och dina risker.
- Handlingsbara – leder till beslut eller åtgärder.
Om det inte hjälper någon att fatta beslut, agera eller förbereda sig är det i princip inte information.
CTI är en process, inte en produkt
CTI är mer än hotflöden och IOC. Det är en kontinuerlig cykel som är utformad för att minska osäkerheten:
- Planering och inriktning – fastställ dina PIR
- Insamling – samla in rätt data
- Bearbetning – rensa och organisera data
- Analys – hitta betydelsen
- Spridning – förmedla till rätt personer
- Feedback – justera utifrån vad som fungerar
Denna cykel gör att dina underrättelseinsatser förblir fokuserade och anpassningsbara.
Vem har nytta av CTI?
Cyberhotinformation är inte bara för säkerhetsteam eller CISO:er. När den är välriktad ger den alla – från säkerhetsexperter till beslutsfattare på hög nivå – den insikt som behövs för att ligga steget före hoten.
I nästa inlägg kommer vi att utforska det viktiga ämnet informationsposition – och varför det kan vara avgörande för kontroll eller kaos att vara först, veta mer eller veta tidigare.