Genomförd försöksverksamhet inom logganalys för cybersäkerhet

Författare:

  • Patrik Lif
  • Hannes Holm
  • Teodor Sommestad
  • Magdalena Granåsen
  • Erik Westring

Publiceringsdatum: 2016-12-08

Rapportnummer: FOI-R--4328--SE

Sidor: 48

Skriven på: Svenska

Nyckelord:

  • Logganalys
  • cyber situationsmedvetande
  • CRATE

Sammanfattning

Rapporten beskriver en studie inom cybersäkerhet med fokus på logganalys. Deltagarna tränade logganalys i rollerna chef, spanare och analytiker, både enskilt och i grupp. Studien nyttjades även för att studera cybersituationsmedvetande (CSA) och lärandeeffekter av återkoppling. Studien utfördes i FOI:s cyber range CRATE och innehöll webb-, e-post- och filservrar, nätverksutrustning och drygt 200 kontorsdatorer där även användaraktivitet simulerades. Deltagarnas uppgift var att med stöd av tillgänglig övervakningsutrustning upptäcka och analysera olika attacker. Första dagen arbetade deltagarna i grupp. Datainsamling genomfördes i syfte att studera arbetsmetoder samt värdera mätmetodik för CSA som utvecklades utifrån en litteraturstudie och intervjuer med logganalytiker inför försöket. Datainsamlingen inkluderade även prestationsmätning, kommunikationsanalys, hierarkisk uppgiftsanalys och subjektiva skattningar av lärandeeffekt, nytta och svårighetsgrad. Resultaten kring arbetsmetoder gav bra input till den deltagande organisationen avseende rollfördelning och arbetsbelastning. CSA-formuläret mottogs positivt och enbart mindre modifieringar har gjorts inför framtida studier. Andra dagen arbetade deltagarna enskilt med fyra uppgifter där hälften av deltagarna fick återkoppling. Datainsamlingen bestod av prestationsmätning och subjektiva skattningar, och syftade främst till att undersöka den eventuella nyttan med återkoppling. Resultaten indikerar att återkoppling har en betydelse för prestationen på efterföljande uppgift, men visade golveffekt till följd av uppgifternas svårighetsgrad och att de tillgängliga logganalysverktygen inte var optimalt konfigurerade. Tredje dagen bestod av utvärdering som visade att försöksupplägget och datainsamlingsverktygen i stort fungerar väl. Huvudsakliga åtgärder för kommande försök omfattar att förenkla komplexiteten i miljön och se över konfiguration av logganalysverktygen. Deltagarna visade stor uppskattning avseende genomförandet av de tre dagarna och det finns en bra grund att stå på inför kommande verksamhet.