Threat Ontologies for Cyber Security Analytics

Ved sikkerhetshendelser er det ofte mangelfull forståelse av hvem trusselaktøren er, hvorfor de angriper og hvordan de opererer, noe som gjør det vanskelig å ta velinformerte beslutninger om beskyttelse og mottiltak. Vi er bare istand til å oppdage, noen ganger selv ikke det, konsekvensene av angriperens handlinger. Styrket cybersikkerhet trenger digital trusseletteretning, som innebærer strukturert og delvis automatisert analyse og deling av informasjon. Dette Ph.D. Prosjektet tok sikte på å utvikle modeller og verktøy for automatisert eller semi-automatisert klassifisering og oppdagelse av cybertrusler basert på ontologier. Prosjektet foregikk i samarbeid med to relaterte prosjekter på cybersecurity: 1) ACT, et BIA-prosjekt i regi av mnemonic, og 2) Oslo Analytics, et IKTPLUSS-prosjekt i regi av Universitetet i Oslo. Basert på gjennomført litteraturstudium er interessante forskningsutfordringer relatert til bruk av logisk resonnering for analyse og representasjon av tilgjengelig trusseldata. Vi benytter per i dag NLP(natural language processing) for uttrekk av trusseldata fra offentlig tilgjengelige kilder, og bruk av ontologier for resonnering og forbedring av disse dataene gir gode resultater. Videre er det interessant å bruke ontologier for overføring av kunnskap om trusler, ikke kun data og informasjon som foreligger i dagens teknologiske løsninger for utveksling av trusseletterretning. Resultater fra dette prosjektet er de utviklede ontologier og relaterte teknologier for representasjon og strukturering av store og svært varierte utvalg av data som sikkerhetsanalytikere ofte blir konfrontert med. En implementasjon av en ontologi utviklet i prosjektet gir gode muligheter for økt automatisering av arbeidet med sammenstilling og analyse av store mengder etterretning. Platformen som er utviklet har åpen kildekode og er tilgjengelig for enhver som ønsker å benytte den.

The results of this project contributed to the creation of the ACT Platform - an open sources platform for cyber threat intelligence. In addition, we gained a deeper understanding of the field within mnemonic.

Cyberattacks now have the realistic potential of causing serious harm to humans, their assets and business processes, with Cyberweapons of Mass Disruption that can be launched remotely and anonymously. Cybersecurity is aimed at blocking or mitigating such threats, by preventing, detecting and recovering from harmful incidents in cyberspace. The task of implementing adequate cybersecurity is already daunting, and becomes increasingly challenging every day. The threat landscape is continuously changing, it is often difficult to distinguish between friend and foe, and attribution of attacks is often uncertain. This is a situation of moving targets where existing security approaches used by "white hats" quickly become outdated and ineffective against the next generation of attack strategies by "black hats". In the overwhelming majority of identified security incidents there is currently no understanding of who the threat actor is, why they attack or how they operate. The result is a lack of ability to make informed decisions when it comes to protection and countermeasures. The threat actors most often are not identified and made responsible for their actions, resulting in continuous criminal behaviour. We simply do not understand our opponent and can identify - if even that- only the results of the opponent's actions. To improve our situation we need digital threat intelligence - structured and partly automated analysis and sharing of information. This observation provides the motivation for starting a Ph.D project on Threat Ontologies for Cybersecurity Analytics which aims at developing models and tools for automated or semi-automated classification and discovery of cyberthreats based on ontologies.