Tilbake til søkeresultatene

BIA-Brukerstyrt innovasjonsarena

Delautomatisering av digital trusseletterretning

Alternativ tittel: Semi-automated cyber threat intelligence

Tildelt: kr 12,1 mill.

ACT-prosjektet utvikler en plattform for digital trusseletterretning som skal avdekke digitale angrep, spionasje og sabotasje. Prosjektet utvikler nye metoder for databerikelse og analyse for å identifisere trusselagenter, deres motiver, ressurser og angrepsmetodologier. Videre vil prosjektet utvikle nye metoder, prosesser og mekanismer for å produsere og distribuere trusseletterretning og mottiltak mot pågående og fremtidige angrep. Gartner definerer trusseletterretning slik: "Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard." - Gartner (2013) Kort fortalt er trusseletterretning kunnskap om trusler. Kunnskapen må være basert på bevis, og den må gi beslutningsstøtte. En trusselagent er et individ eller en gruppe som utgjør en trussel mot et offer. Trusselagenten kan beskrives med evne, vilje, og en historikk av tidligere angrepsaktivitet. Analyse av denne historikken gir oss kunnskap om trusselagenten, og denne kunnskapen kan brukes til å avdekke og forhindre fremtidige angrep. Hovedmotivene bak ACT-prosjektet er å gi analytikere en arbeidsflate med full oversikt, automatisere rutinearbeid, tilrettelegge for avanserte maskinelle analysemetoder, forbedre vår kunnskap om trusselagenter, tilrettelegge for effektiv og presis manuell analyse, automatisere deling av trusselinformasjon og mottiltak, og automatisere håndtering av ustrukturerte data. Analytikere bruker mange forskjellige systemer i sitt daglige arbeid. De klipper og limer informasjon på tvers av systemer, og prøver å manuelt sette sammen et helhetsbilde. ACT-plattformen skal automatisere slikt rutinearbeid, gi et helhetsbilde av all tilgjengelig informasjon, og ta vare på denne informasjonen for fremtidig bruk. Prosjektet vil tilrettelegge for avansert berikelse av data og anvendelse av teknikker fra kunstig intelligens for analyse av data og informasjon. Disse to forskningsområdene er hovedansvaret til de to universitetene som deltar i prosjektet. Automatisk utveksling av trusselinformasjon og mottiltak kan i stor grad bidra til evnen til å avdekke og forhindre angrep. Vi har kartlagt eksisterende standarder og protokoller for informasjonsdeling og mottiltak. Vi følger også med på relevante standarder som er under utvikling. Store mengder relevante data er tilgjengelig i ustrukturert form, for eksempel i rapporter, akademiske artikler, nyhetsartikler, blogger og e-postlister. Prosjektet utvikler og tester prototyper basert på teknikker fra språkteknologi for å håndtere dette. I løpet av de foregående to månedene har vi implementert og testet informasjonsdeling mellom ACT-plattformer. Vi har flere prosjektsider på Github [1], hvor vi har publisert all dokumentasjon og kode, lisensiert som åpen kildekode. Resultatene fra ACT-prosjektet førte til at mnemonic ble med som partner i et Horizon 2020-prosjekt, SOCCRATES [2]. Dette prosjektet startet 1. september 2019, og plattformen vi har utviklet i ACT-prosjektet er en viktig komponent i SOCCRATES. Vi har presentert prosjektet i en lang rekke relevante fora, inkludert FIRST-konferansen 2017 [3] og FIRST-konferansen 2018 [4]. I juni holdt vi en heldags opplæring i bruk av plattformen på FIRST-konferansen 2019 [5], og i august presenterte vi plattformen på Black Hat USA Arsenal 2019 [6]. [1] https://github.com/mnemonic-no/ [2] https://soccrates.eu [3] https://www.first.org/conference/2017/program#pthreat-ontologies-for-cyber-security-analytics [4] https://www.first.org/conference/2018/program#psemi-automated-cyber-threat-intelligence-act [5] https://www.first.org/conference/2019/additional-programming/#pACT-Threat-Intelligence-Platform-Full-Day [6] https://www.blackhat.com/us-19/arsenal/schedule/index.html#act-semi-automated-cyber-threat-intelligence-15988

Virkninger: Prosjektet har levert en trusseletterretningsplattform som åpen kildekode, tilgjengelig for hele sikkerhetsmiljøet. Plattformen muliggjør automatisering og analyse som ikke tidligere var støttet. I tillegg har prosjektet bidratt til større bevissthet rundt automatisering i fagmiljøet, og satt fokus på utfordringene med og begrensningene i eksisterende løsninger. Effekter: Plattformen som er utviklet i prosjektet har allerede bidratt til en bedre forståelse av digitale trusler, som igjen bidrar til et mer effektivt forsvar mot truslene. Vi håper at plattformen vil tas i bruk av andre brukeraktører, og vi vil fortsette arbeidet med videreutvikling av plattformen også etter at prosjektslutt.

Digitale angrep mot norske interesser blir stadig mer avanserte og vanskeligere å oppdage, og eksisterende måter for å oppdage og avdekke angrep begynner å bli utilstrekkelige. Det er en kontinuerlig utfordring å avdekke hvordan angrep skjer, hvordan de skjules og hvordan de skal forhindres. Det skal vi gjennom prosjektet sikre at skjer i mye større grad enn i dag. Prosjektet skal resultere i produkter og tjenester for digital trusseletterretning som ikke eksisterer på det internasjonale markedet i dag. For bedrifter og offentlig sektor skal disse tjenestene gi bedre beskyttelse gjennom flere detekterte angrep og raskere tiltak mot både pågående og fremtidige trusler og angrep. Prosjektresultatet skal også muliggjøre utveksling av etterretningsinformasjon med offentlige og private virksomheter.

Publikasjoner hentet fra Cristin

Ingen publikasjoner funnet

Ingen publikasjoner funnet

Ingen publikasjoner funnet

Ingen publikasjoner funnet

Budsjettformål:

BIA-Brukerstyrt innovasjonsarena