Trusselsintelligens

Trusselsintelligens (Threat Intelligence) er indsamling, analyse og anvendelse af data om aktuelle og potentielle cybertrusler. Det giver organisationer mulighed for at træffe informerede sikkerhedsbeslutninger og tilpasse forsvaret til det aktuelle trusselsbillede.

Tilbage til ordbog

Hvad er trusselsintelligens?

Trusselsintelligens handler om at forstå, hvem der angriber dig, hvordan de gør det, og hvad du kan gøre for at beskytte dig. Det er ikke bare data om trusler. Det er analyseret, kontekstualiseret viden, der fører til handling.

Uden trusselsintelligens reagerer organisationer blindt. De ved ikke, hvilke trusler der er mest relevante for deres branche, hvilke angrebsmetoder der bruges, eller hvilke sårbarheder der aktivt udnyttes. Med trusselsintelligens kan forsvaret prioriteres baseret på reelle risici.

Trusselsintelligens integreres med SIEM-systemer for at forbedre detektion, med firewalls og DNS-sikkerhed for at blokere kendte trusler, og med hændelsesrespons for at forstå angribernes taktikker.

Niveauer af trusselsintelligens

Trusselsintelligens opererer på tre niveauer:

Strategisk: Højniveau-trusselsvurderinger for ledelsen. Handler om trends, geopolitiske risici og branchespecifikke trusler. Eksempel: "Ransomware-angreb mod sundhedssektoren steg 40% i 2025."
Taktisk: Angrebsmetoder og -teknikker (TTP'er) for sikkerhedsteamet. Bruges til at forbedre detektionsregler og forsvarsstrategier. MITRE ATT&CK er en standard referenceramme. Relaterer til sårbarhedsscanning og patchstyring.
Operationel: Specifikke tekniske indikatorer (IoC'er) til direkte brug i sikkerhedssystemer. IP-adresser, domæner, filhashes og URL'er, der kan blokeres i firewalls, endpoint-sikkerhed og webfiltre.

Alle tre niveauer er vigtige. Strategisk intelligence informerer budgetter og prioriteter. Taktisk intelligence forbedrer forsvaret. Operationel intelligence stopper konkrete angreb.

Anvendelse i praksis

Trusselsintelligens kan anvendes på flere måder:

SIEM-berigelse: Feed IoC'er ind i SIEM-systemet for at opdage kommunikation med kendte ondsindede IP'er og domæner. Korrelér med interne logdata for at identificere kompromitterede systemer.

Proaktiv blokering: Opdatér firewall-regler, DNS-blocklists og webfiltre med kendte trusler, inden de rammer organisationen.

Sårbarhedsprioritering: Brug trusselsintelligens til at prioritere patching. En sårbarhed, der aktivt udnyttes af trusselsaktører i din branche, bør patches før en med højere CVSS-score, der ikke udnyttes.

Hændelsesrespons: Under en sikkerhedshændelse hjælper trusselsintelligens med at forstå angribernes taktikker og forudsige næste trin. Det accelererer hændelsesrespons.

Sikkerhedsbevidsthed: Del relevante trusselvurderinger med medarbejdere for at styrke sikkerhedsbevidsthed. Konkrete eksempler på angreb mod lignende organisationer er mere overbevisende end generelle advarsler.

Kilder inkluderer kommercielle feeds, open source-feeds (OTX, abuse.ch), CERT-organisationer, branchespecifikke ISAC'er og leverandørrapporter.

Regulativer og standarder

NIS2 kræver, at organisationer deler trusselsintelligens med myndigheder og andre berørte parter. Det er en central del af NIS2's fokus på kollektivt forsvar.

ISO 27001 og Annex A inkluderer kontrol A.5.7 om trusselsintelligens, der kræver, at organisationer indsamler og analyserer trusselsdata. Et ISMS bør definere processer for trusselsintelligens.

DORA kræver, at finansielle institutioner indsamler og deler trusselsintelligens. CIS 18 anbefaler brug af trusselsintelligens til at informere sikkerhedsbeslutninger. Under GDPR hjælper trusselsintelligens med at opfylde kravet om passende tekniske foranstaltninger baseret på aktuelle risici.

Ofte stillede spørgsmål om trusselsintelligens

Hvad er forskellen på data, information og intelligence?

Data er rå fakta (en IP-adresse). Information er data med kontekst (IP-adressen er knyttet til en malware-kampagne). Intelligence er analyseret information med anbefaling (bloker denne IP, fordi den bruges af en aktiv ransomware-gruppe, der målretter din branche).

Hvad er IoC (Indicators of Compromise)?

IoC'er er tekniske indikatorer, der viser, at et system kan være kompromitteret. Eksempler: ondsindede IP-adresser, domænenavne, filhash-værdier, URL'er og e-mailadresser. De bruges til at opdage og blokere kendte trusler.

Har små organisationer brug for trusselsintelligens?

Ja, men omfanget kan tilpasses. Gratis feeds fra CERT-organisationer, leverandørers trusselsrapporter og branchespecifikke delingsgrupper (ISAC) giver værdi uden store investeringer. Mange sikkerhedsprodukter integrerer automatisk trusselsintelligens.