Cyber Threat Intelligence - Impact and Utility
Abstract
Dagens cybertrussellandskap kjennetegnes av et enormt volum, entropi og opportunistiske aktører, som tvinger forsvarere til å prioritere begrensede ressurser. For dette formålet er Cyber Threat Intelligence (CTI) en stadig mer populær funksjon, hvis mål er å redusere kunnskapsasymmetri, veilede forsvarstiltak og forbedre beslutningstaking.
Med noen få unntak har eksisterende forskning primært fokusert på ulike kvalitetsaspekter, uten å utforske den reelle innvirkningen og nytteverdien. Denne masteravhandlingen satt som mål å tette dette gapet ved å undersøke hvorledes CTI gir nytte for brukerorganisasjoner. Problemstillingen blir besvart ved å betrakte CTIs innvirkning på beslutningsprosesser og på sikkerheten totalt, samt ved å undersøke CTIs kvalitetsfaktorer og organisasjoners evne til å utnytte CTIs potensiale. En kvalitativ forskningsmetode ble valgt for å få innsikt i årsakssammenhenger og resultater av CTI i reelle private og offentlige virksomheter.
Studien indikerer at CTI har en generelt positiv innvirkning, primært gjennom tidlig varsling som fører til mer proaktive og effektive forsvarstiltak. Strategiske vurderinger kan understøtte investeringsbeslutninger og risikovurderinger. Likevel sliter mange med å begrunne denne innvirkningen og tilskrive spesifikke sikkerhetsforbedringer eller beslutninger utelukkende til CTI. Selv der klare årsakssammenhenger mellom CTI og beslutninger eksisterer, er det utfordrende å vurdere reelle resultater av beslutningene.
Den viktigste kvalitetsfaktoren er relevans, forstått i denne sammenheng som merverdi i form av analyse eller unik innhenting. Analytisk håndverk er også en definerende egenskap ved CTI. Noen tjenester som selges som CTI mangler denne egenskapen, hvilket risikerer å utvanne CTI som disiplin. I denne sammenhengen risikerer også dårlig profesjonalitet og unøyaktighet i CTI-bransjen å undergrave tillit, en annen nøkkelfaktor.
Til slutt er det en betydelig forskjell i sluttbrukernes evne til å utnytte CTI. Organisasjoner med modne cybersikkerhetsprogrammer er bedre i stand til å styre og spesifisere krav, og er mer bevisste på hvordan og hvor det har effekt og hva som kreves for å oppnå netto nytteverdi av tjenestene.
Studien antyder at CTI innehar potensial som en strategisk rssurs. Men å realisere dette potensialet krever at organisatorisk satsing, et modent cybersikkerhetsprogram, og god forståelse for CTIs evner og begrensninger så vel som forståelse for deres egne behov. Today's cyber threat landscape is characterized by immense volume, entropy, and opportunistic actors, forcing defenders to prioritize finite resources. For this purpose, Cyber Threat Intelligence (CTI) is an increasingly popular cybersecurity function, which aim to reduce knowledge asymmetry, guide defensive efforts, and improve decision making.
With a few exceptions, existing research have mostly focused on various quality factors, without exploring its real impact and utility. This thesis aimed to bridge that gap, by investigating how CTI provides utility for organizations. The problem statement is answered by looking at CTI's effect on security posture and on decision making processes, as well as by examining CTI utility factors and organizations' ability to exploit CTI's potential.A qualitative research design was selected to gain insight into the causal processes and outcomes of CTI in real private and public sector organizations.
The research suggests CTI has an overall positive impact, primarily through early warning leading to more proactive and efficient defense operations. Moreover, strategic level insights inform investment decisions and complement risk assessments. Yet on both accounts, many struggle with substantiating this impact and attributing specific security improvements or decisions solely to CTI. Even where clear causal links between CTI and decisions exist, assessing actual outcomes remains challenging.
The most important utility factor was found to be relevance, understood in this context as added value in the shape of analytical output or unique collection. Analytical tradecraft is also a defining feature of CTI. Arguably, some services being sold as CTI lack this property, which risks diluting CTI as a discipline. In this context, poor professionalism and accuracy in the CTI industry also risk undermining trust, another key utility factor.
Lastly, there is a significant disparity among end users' ability to exploit CTI. Organizations with mature cybersecurity programs are better able to direct and specify requirements, and are more aware of how and where it has effect and what is required to extract net value.
The findings of this study suggests that CTI indeed holds potential as a strategic asset. But realizing this potential requires organizational commitment, a mature cybersecurity program, and a refined understanding of CTI’s capabilities and limitations as well as of their own requirements.