7.2.2021 Tapauksia ja lähteitä

Stuxnet, sabotage

Industroyer (crashoverride), sabotage

Intelligence/Recon

Information operation

7.2.2021 Tapauksen valinnassa tulee käyttää seuraavia kriteerejä

• epäilty sotilasyksikkö (ehdoton)
• yksittäinen operaatio jolla erikoisjoukon käyttötapaus, vaikkakin pitkäkestoinen (ehdoton)
• vähintään kahden eri tahon laatima tekninen raportti (ehdoton)
• tapauksesta löytyy tieteellisiä raportteja (suositus)

Raakadata läheteenä AlienVault OTX

18.1.2020

Soveltuvia caseja:

• Stuxnet hyökkäys
• Industroyer
• Iranin hyökkäykset
• Pohjois-Korean hyökkäykset
• Kiinan APT, mikäli tunnistettavissa operaatioita

joulukuu 2019

Oleellista on tapauksen subjekti ja objektin määrittely, mikä alkaa olla aika selkeää.

• Objekti on kyberhyökkäys
• Subjekti on havaittu APT kyberhyökkäys, ei APT ryhmä. Näin ollen APT1 ryhmää ei jatkossa voida pitää tutkimuksen kannalta oleellisena CASEna.

Tapausten valinnan kriteeristö Vastaavuus

• tapauksesta ylipäätään löytyy lähdemateriaalia
• on todennäköisesti valtiollisen toimijan operaatio
• tavoite on erikousjoukkojen tavoite: sabotaasi, tiedustelu tms.

Luotettavuus

• ei liian poliittinen raportointi
• useita lähteitä

Datan keräys- hyödynnä eri lähteitä

• tieteelliset raportit
• tekniset uhkaraportit
• haittaohjelmanäytteet
• uutisointi

Data-analyysi

• käytä ensimmäisessä vaiheessa muodostettuja malleja