In any security practice, the availability of meaningful threat intelligence information is crucial. Threat intelligence information is available from various sources in various forms and in order for it to be efficiently used in defending against cyberthreats, the information requires continuous monitoring and analysis. Prioritization is also important when consuming this information from various sources as not everything can be analyzed.
We explore four types of CTI and ways to represent that information by looking at different ontologies that have been developed for structurally representing cyber threat intelligence. We employ the latest version of a threat ontology, STIX version 2 in our solution. We determine that this data is best suitable for deploying in a graph database.
In this work, we introduce a tool for prioritizing and analyzing cyber threat intelligence data. We introduce our implementation of triage, which aims to prioritize new information by enabling an analyst to perform an initial assessment of the risk that is implied in the newly discovered information. We design a graphical tool, which aims to help analysis by allowing an analyst to see related information and process further intelligence. We also employ knowledge management techniques to try to motivate all kinds of users to participate in the process of sharing information. We also deployed our solution to be used by test users to try to understand how well our solution is able to motivate users in knowledge sharing.
We evaluated our solution as a case study as well as analyzed how our solution was used in practice by users. We found that our solution was mostly usable in its intended use and answered to our original research questions. We conclude that we were not able to sufficiently test our motivational component. We also conclude with proposing future work to make our solution more user-friendly, as well as facilitating depicting more information than defined in current STIX specificationsTietoturvatiedustelutiedon saatavuus on erittäin tärkeää missä tahansa tietoturvapraktiikassa. Tietoa on saatavilla monesta lähteestä ja jotta se saadaan tehokkaasti hyödynnettyä erilaisten uhkien torjuntaan, tietoa on jatkuvasti seurattava ja analysoitava. Tiedon priorisointi on myös tärkeää tiedon hyödyntämisen yhteydessä, sillä kaikkea saatavilla olevaa tietoa ei ole mahdollista analysoida.
Tässä työssä tarkastelemme neljää kybertiedustelutiedon kategoriaa. Tarkastelemme, minkälaisia ontologioita on kehitetty tällaisen tiedon kuvaamiseksi. Toteamme uusimman STIX -version olevan soveltuvin tarkoitukseemme ja toteamme tämän strukturoidun tiedon olevan tarkoituksenmukaista tallentaa graafi-tietokantaan.
Työssämme esittelemme työkalun kybertiedustelutiedot priorisointiin ja analysointiin. Esittelemme toteutuksemme työkalusta, joka auttaa tiedustelutiedon analyytikkoa suorittamaan ensiarvion löydetystä uudesta informaatiosta ja mahdollistaa riskiarvion suorittamisen. Suunnittelemme graafisen työkalun, joka auttaa analyytikkoa löytämään aiheeseen liittyvää tietoa ja siten koostamaan tiedustelutietoa eri lähteistä. Käytämme hyväksemme myös tietojohtamisen tekniikoita tarkoituksenamme motivoida järjestelmän käyttäjiä osallistumaan tiedon jakamiseen. Otimme järjestelmän käyttöön testikäyttäjille ymmärtääksemme, miten hyvin käyttäjien motivointia voidaan tarkastella käytännössä.
Arvioimme ratkaisumme käytännön toteutusta tapaustutkimuksella ja arvioimme, miten järjestelmää käytettiin käytännössä testijakson aikana. Totesimme, että järjestelmä oli suurimmalta osin tarkoituksenmukainen ja vastasi alkuperäisiin tutkimuskysymyksiin. Lopuksi toteamme, ettei työn metodit olleet riittäviä arvioimaan käyttäjien motivoinnin onnistumista. Ehdotamme, että tulevissa töissä järjestelmää voitaisiin parantaa kehittämällä sen käytettävyyttä, sekä tiedon tallennuksen kannalta oleellisten parannusten tekemistä, jotta se mahdollistaa rikkaamman tiedon tallentamisen, kuin mitä STIX-formaatissa on kuvattu.
