Övning och Experiment för operativ förmåga i cybermiljön: Slutrapport

Ett cyberförsvar kräver flera olika förmågor. Det tre treåriga forskningsprojektet Övning och experiment för operativ förmåga i cybermiljön har inriktats mot den förmågan att analysera systemloggar för att upptäcka och förstå cyberangrepp. Projektet sökt svar på tre frågor. (1) Hur påverkas logganalysförmåga av olika faktorer? (2) Hur bör logganalysförmåga tränas och utvärderas? (3) Vilka verktyg krävs för experiment och övning av logganalysförmåga? Svaret på den första frågan är att logganalysförmåga på en hög nivå är en funktion av förmågan till informationsinsamling, automatisk analys och manuell analys. Inom var och en av dessa finns flera variabler som har betydelse, men det finns begränsad kunskap om hur viktiga dessa är. Ett antal alternativa övningsupplägg togs fram som svar på den andra frågan och några försök gjordes med dessa. Det är tydligt att övning i kontrollerade cybermiljöer, där det rätta svaret är känt, är fördelaktigt. Svaret på den tredje frågan är att det krävs realistiska och meningsfulla cybermiljöer, verktyg för att simulera händelser i cybermiljön och verktyg som förenklar logginsamling. Projektet har arbetat med att FOI:s test- och övningsanläggning CRATE ska kunna tillgodose dessa behov.