Läs mer

Genomförd försöksverksamhet inom logganalys för cybersäkerhet

Beställ tryckt exemplar Lägg till i kundvagn
Författare: Patrik Lif, Hannes Holm, Teodor Sommestad, Magdalena Granåsen, Erik Westring
Ort: Linköping
Sidor: 48
Utgivningsår: 2016
Publiceringsdatum: 2016-12-08
Rapportnummer: FOI-R--4328--SE
Nyckelord: Logganalys, cyber situationsmedvetande, CRATE
Keywords: Log analysts, cyber situation awareness, CRATE
Sammanfattning: Rapporten beskriver en studie inom cybersäkerhet med fokus på logganalys. Deltagarna tränade logganalys i rollerna chef, spanare och analytiker, både enskilt och i grupp. Studien nyttjades även för att studera cybersituationsmedvetande (CSA) och lärandeeffekter av återkoppling. Studien utfördes i FOI:s cyber range CRATE och innehöll webb-, e-post- och filservrar, nätverksutrustning och drygt 200 kontorsdatorer där även användaraktivitet simulerades. Deltagarnas uppgift var att med stöd av tillgänglig övervakningsutrustning upptäcka och analysera olika attacker. Första dagen arbetade deltagarna i grupp. Datainsamling genomfördes i syfte att studera arbetsmetoder samt värdera mätmetodik för CSA som utvecklades utifrån en litteraturstudie och intervjuer med logganalytiker inför försöket. Datainsamlingen inkluderade även prestationsmätning, kommunikationsanalys, hierarkisk uppgiftsanalys och subjektiva skattningar av lärandeeffekt, nytta och svårighetsgrad. Resultaten kring arbetsmetoder gav bra input till den deltagande organisationen avseende rollfördelning och arbetsbelastning. CSA-formuläret mottogs positivt och enbart mindre modifieringar har gjorts inför framtida studier. Andra dagen arbetade deltagarna enskilt med fyra uppgifter där hälften av deltagarna fick återkoppling. Datainsamlingen bestod av prestationsmätning och subjektiva skattningar, och syftade främst till att undersöka den eventuella nyttan med återkoppling. Resultaten indikerar att återkoppling har en betydelse för prestationen på efterföljande uppgift, men visade golveffekt till följd av uppgifternas svårighetsgrad och att de tillgängliga logganalysverktygen inte var optimalt konfigurerade. Tredje dagen bestod av utvärdering som visade att försöksupplägget och datainsamlingsverktygen i stort fungerar väl. Huvudsakliga åtgärder för kommande försök omfattar att förenkla komplexiteten i miljön och se över konfiguration av logganalysverktygen. Deltagarna visade stor uppskattning avseende genomförandet av de tre dagarna och det finns en bra grund att stå på inför kommande verksamhet.
Abstract: The current report describes a cyber security log analysis exercise. The participants practiced log analysis in the roles of manager, scout and analyst, and practice individually as well as in teams. Furthermore, the exercise studied cyber situation awareness (CSA) and effects of receiving feedback. The exercise was conducted in FOI:s cyber range CRATE with web-, email-, and file servers, network equipment and more than 200 computer clients. The participants' task was to identify and analyze various attacks, including network scans from inside and outside the network, password guesses on network services, infected USB sticks and overload attacks. The first day of the exercise, the participants worked as a team and data was collected in order to study working methods and validate a measurement technique for CSA. The measurement instrument was developed by literature analysis as well as interviews with log analysts before the exercise. Also, data collection included performance measures, communication analysis, hierarchical task analysis and subjective assessments of learning effects, usefulness and complexity of the given tasks. The results concerning working methods gave a good input to the participating organization regarding division of labor and workload. The CSA instrument was well received and only minor changes are needed for future studies. During the second day, the participants worked individually, solving three different tasks. After each task, half of the participants received oral feedback. The data collection aimed to study the possible benefits of feedback. The results indicate that feedback had a positive effect on the accomplishment of the subsequent task but a drawback was a floor effect was obtained due to the level of difficulty of the tasks and that the available monitoring tools were not optimally configured for the tasks. Overall, the exercise setup and data collection tools proved successful. For future exercises, the complexity in the exercise environment should be reduced and configuration of monitoring tools revised. The exercise was very appreciated by the participants and forms a good basis for future project activities.