Gå till huvudinnehållet

De flesta organisationer låter fortfarande självsäkra när de talar om sin cyberberedskap. Riktlinjer har godkänts, verktyg har införts och årliga simuleringar ger intryck av samordning. Men när samma team sätts på prov i realistiska övningar sjunker beslutsfattandets träffsäkerhet kraftigt och insatserna för att begränsa skadan drar ofta ut på flera dagar, inte bara timmar

För IT-chefer och SOC-ansvariga utgör just denna klyfta mellan förväntningar och verklighet den verkliga risken. Problemet är enkelt: simuleringsövningar (TTX) och tekniska tester (genomgång av TTP, purple teaming, red teaming) genomförs oftast parallellt, med olika ansvariga, olika mål och utan gemensamma underlag. Detta leder till att alla måste förlita sig på antaganden när incidenter måste hanteras inom de strikta tidsfrister som ställs i NIS2, GDPR, avtal och av kunderna

Damovos rådgivningsgrupp för offensiv cybersäkerhet (Lares) har utvecklat en sexstegsmetodik för adversarial integration som medvetet kombinerar TTX och återuppspelning av TTP-scenarier i realtid till en enda sluten process. Målet är tydligt: att ersätta antagandet ”vi tror att vi skulle upptäcka det” med bevis som visar hur er organisation faktiskt upptäcker, eskalerar och rapporterar kritiska attacker.

Förberedelseklyftan: när antaganden möter verkligheten

På papperet tror de flesta organisationer att de kan upptäcka, begränsa och återhämta sig från allvarliga incidenter. I oberoende jämförelser visar det sig dock att beslutsfattarnas träffsäkerhet i realistiska övningar sjunker till en bråkdel av vad ledningen förväntar sig, och den genomsnittliga tiden för att begränsa incidenten överstiger ofta 24 timmar. Detta är ett allvarligt problem i en europeisk kontext där tidsräkningen för incidentrapportering numera börjar inom några timmar, inte dagar.

Klassiska simuleringar är en del av problemet. De blottlägger brister i personal och processer – otydliga eskaleringsvägar, oklart ansvar, saknade säkerhetsåtgärder – men bygger på tekniska antaganden som aldrig verifieras. Deltagarna hävdar med övertygelse att ”brandväggen kommer att blockera det”, ”EDR kommer garanterat att larma” eller ”SOC skulle upptäcka detta inom tio minuter”, och övningen fortsätter.

Å andra sidan fokuserar många purple team detekteringsprogram fortfarande på att täcka in ramverkets alla delar. Teamen spelar ”MITRE ATT&CK-bingo” och går igenom så många tekniker som möjligt utan att koppla dem till specifika affärsrisker, beslutspunkter eller rapporteringskrav.

Resultatet blir en skenbar beredskap där ingen av dessa strategier ger svar på den enda fråga som verkligen spelar roll för IT- och SOC-chefer: ”Kan vi, när det gäller just den här attacken i just den här miljön, upptäcka den, vidta åtgärder och visa att vi gjorde rätt i rätt tid?”

Varför TTX i sig inte räcker för IT- och SOC-chefer

Ur ett operativt perspektiv har traditionella bordbaserade program tre stora brister.

  • Ingen telemetri: Tabletops genererar anteckningar och åtgärdspunkter, inte loggfiler, varningar eller tidsdata som kan användas i detekteringsarbetet.
  • Obevisade antaganden: Ingenjörer tvingas gissa hur EDR, SIEM, identitets-, OT- och molnkontroller skulle fungera eftersom ingen faktiskt utför attacken.
  • Ingen koppling till verktygsplanen: Utan konkreta bevis är det svårt att prioritera loggningsändringar, regeljusteringar eller arkitekturarbete som väsentligt skulle förbättra responsen.

Detta förvärras ytterligare av de tidsfrister som föreskrivs i lagstiftningen. Enligt NIS2 kan incidentrapportering kräva tidiga varningar inom 24 timmar och mer detaljerade uppdateringar inom 72 timmar, medan GDPR ställer egna krav på anmälan inom 72 timmar vid personuppgiftsincidenter. Om TTX-resultaten inte är kopplade till vad era verktyg faktiskt kan upptäcka och hur snabbt de upptäcker det, riskerar ledningen i praktiken att missa dessa tidsfrister.

Vi presenterar Damovos 6-stegsmetod för adversarial integration

För att överbrygga denna klyfta använder Damovos rådgivningsgrupp för offensiv cybersäkerhet (Lares) en sexstegsmetod för simulering av fiendens verksamhet, som utgår från ett enda realistiskt hotbildsscenario och följer processen hela vägen från teoretiska diskussioner till praktiska övningar där fiendens taktik, teknik och procedurer (TTP) återskapas och testas på nytt.

I stora drag är de sex stegen följande:

  1. Börja med ett hot som ditt företag verkligen bryr sig om.
  2.  Skapa en översikt som sammanfattar alla antaganden – och alla tidsramar.
  3. Omvandla berättelsen till en handbok för motståndsstrategier.
  4. Testa TTP:erna i din miljö.
  5. Jämför telemetridata med teoretiska antaganden.
  6. Åtgärda, finjustera och verifiera förbättringen.

Varje steg är utformat så att IT-chefer, SOC-chefer samt personal inom riskhantering, juridik och kommunikation alla utgår från samma bakgrund och samma underlag, istället för att arbeta med separata uppgifter och presentationsmaterial.

Steg 1: Börja med ett hot som ditt företag verkligen bryr sig om

Allt börjar med ett trovärdigt scenario som verkligen skulle kunna orsaka störningar i din organisation – inte bara en abstrakt ”ransomware någonstans i nätverket”. Scenariot bygger på:

  • Intern information om cyberhot och historik över incidenter.
  • Branschspecifik informationsutbyte (till exempel ISAC) och aktuella hotrapporter.
  • Synpunkter från juridik-, risk- och inköpsavdelningarna om kritiska leverantörer och exponering gentemot tredje part.

 

Exempel på detta är intrång hos en viktig SaaS-leverantör som leder till utökade behörigheter i molnet inom en affärsenhet som är avgörande för intäkterna, riktad nätfiske som leder till identitetsintrång i både din hybrid-AD och dina molnkonton, eller datastöld via godkända samarbetsverktyg som används av kundorienterade team.

Om dina egna tekniska chefer eller applikationsansvariga inte tror att scenariot kan inträffa kommer de att tappa intresset; detta första steg säkerställer att de ser sina egna system och ansvarsområden i berättelsen.

Steg 2: Genomför en simulering som tar hänsyn till alla antaganden

När scenariot är klart är nästa steg en målinriktad simulering för IT, säkerhet, drift, juridik och kommunikation. Syftet är att utsätta organisationen för påfrestningar samtidigt som flera tidsfrister enligt lagstiftning och avtal löper parallellt, inte bara att gå igenom en allmän handlingsplan.

Detta omfattar tidsfristerna för tidig varning och anmälan enligt NIS2, kravet på anmälan av dataintrång inom 72 timmar enligt GDPR samt eventuella branschspecifika eller avtalsenliga anmälningsklausuler. Facilitatorerna fäster dessa på scenariot och frågar i varje steg vem som ansvarar för klassificeringen, vem som ska kontakta vem och när anmälningarna ska påbörjas, även om den bakomliggande orsaken fortfarande är oklar.

Det viktigaste för IT- och SOC-chefer är att varje teknisk utsaga blir ett uttryckligt antagande: ”vi skulle få reda på det inom en timme”, ”SIEM-systemet skulle korrelera dessa händelser”, ”IAM-analyserna skulle flagga beteendet” eller ”vi skulle kunna isolera de drabbade systemen innan vi underrättar myndigheterna”. Dessa antaganden dokumenteras med tidsangivelser och blir till hypoteser som ska prövas i steg 3 och steg 4.

Steg 3: Omvandla berättelsen till en handbok för motståndarnas taktik, teknik och procedurer

När grundarbetet är klart omvandlar Damovos offensiva ingenjörer berättelsen till en konkret, praktisk handbok med taktiska tillvägagångssätt. Innehållet är noggrant anpassat till scenariot, istället för att försöka öva på varje enskild teknik inom ett ramverk.

I ett scenario där en molnbaserad identitet äventyras kan handlingsplanen till exempel innehålla följande:

  • Specifika metoder för stöld av inloggningsuppgifter och återanvändning av autentiseringstoken riktade mot din molnbaserade identitetsleverantör eller SaaS-plattform.
  • Metoder för att ”klara sig på det som finns tillgängligt” genom att utnyttja befintliga administrationsverktyg, skriptfunktioner och godkända tjänster.
  • Vägar för dataexfiltrering via era godkända molnlagringstjänster, e-postsystem eller samarbetsappar.

 

Under hela detta steg är IT-arkitektur- och SOC-teamen delaktiga, så att handboken speglar de faktiska kontrollåtgärderna, loggningsfunktionerna och begränsningarna inom förändringshanteringen. Detta förhindrar att testerna fokuserar på attacker som er miljö inte utsätts för, eller på kontrollåtgärder som ni inte faktiskt använder i produktionsmiljön.

Steg 4: Återuppspela TTP:erna i din miljö

Därefter följer en kontrollerad purple team där den utformade strategin tillämpas i er produktionsmiljö eller en produktionsliknande miljö. Här ersätts antagandena från teorin med observerbart beteende från era verktyg och team.

Under detta steg samarbetar Damovos rådgivningsgrupp för offensiv cybersäkerhet (Lares) med ert SOC- och IT-team för att ta fram tre viktiga resultat:

  • Genomförandets verklighet: vilka attacksteg som lyckades, vilka som blockerades och vilka som endast delvis upptäcktes.
  • Telemetrifält: händelser och varningar från EDR/XDR, SIEM, identitetsplattformar, molnloggar och nätverkskontroller, samt synlighetsluckor där förväntade data saknas eller är försenade.
  • Tidsvärden: faktisk genomsnittlig tid till upptäckt (MTTD) och genomsnittlig tid till åtgärd (MTTR) över team och nivåer.

 

Lares beskriver detta som ett test av organisationens nervsystem: allt som ligger mellan angriparens tangenttryckningar och era kontrollpaneler. För SOC-chefer är detta det ögonblick då detekteringsregler och handlingsplaner äntligen sätts på prov mot just de beteenden som verksamheten diskuterade i steg 2.

Steg 5: Jämför telemetridata med teoretiska antaganden

I det femte steget avslöjar metoden den faktiska bristen i beredskapen. Tidsplanen och besluten från övningen jämförs med resultaten från TTP-uppspelningen.

Typiska fynd är bland annat:

  • Ledningen utgick från att ”vi kommer att upptäcka detta inom 30 minuter”; telemetridata visar att den första meningsfulla varningen kom först efter 90 minuter eftersom molnloggarna var fördröjda eller ofullständiga.
  • I översikten stod det att ”SIEM-systemet kommer att korrelera dessa händelser”; i själva verket fanns enskilda loggposter, men korrelationsreglerna aktiverades aldrig, vilket gjorde att aktiviteten försvann i bakgrundsbruset.
  • Enligt planen skulle IAM eller UEBA ha uppmärksammat onormalt tokenanvändande; i återuppspelningen genererades dock ingen varning eftersom analysfunktionen inte var aktiverad för den leverantören eller den kunden.

 

Med hjälp av detta kan Damovo kvantifiera nyckeltal som antagandens träffsäkerhet (hur stor andel av TTX:s tekniska antaganden som visade sig stämma), detekteringsnoggrannhet (signal-brusförhållandet för de testade beteendena) och validering av åtgärder (hur många identifierade brister som lyckats åtgärdas vid omtestning). Dessa nyckeltal ger IT-chefer och SOC-ansvariga något betydligt mer konkret att rapportera än generella ”mognadsbetyg”.

Steg 6: Åtgärda, finjustera och verifiera förbättringen

Det sista steget omvandlar alla dessa insikter till mätbara framsteg. Damovo samarbetar med era team för att prioritera åtgärder utifrån risk, regleringsmässig exponering och implementeringsinsats, och validerar sedan förändringarna genom riktade omtestningar.

Vanliga förbättringar är bland annat:

  • Att fylla luckor i loggningen och standardisera telemetrin mellan moln-, SaaS-, nätverks- och identitetsplattformar.
  • Justering eller skapande av SIEM-korrelationsregler, EDR/XDR-policyer och IAM-analyser som specifikt upptäcker upprepade beteenden.
  • Anpassa rutiner för incidentklassificering, eskalering och kommunikation för att undanröja de flaskhalsar som upptäcktes under övningen.

 

Därefter körs relevanta delar av TTP-handboken igen för att kontrollera att MTTD och MTTR har förbättrats och att aktivitet som tidigare förbisågs nu upptäcks på ett tillförlitligt sätt. För IT-ledningen ger detta en före-och-efter-bild för varje scenario: här är vad vi antog, vad vi observerade, vad vi ändrade och hur mycket snabbare och mer tillförlitligt vi nu kan reagera.

Så här ser det ut i praktiken: intrång i molnbaserade identiteter

Tänk dig ett scenario som många organisationer nu oroar sig för: att en kritisk SaaS-leverantör utsätts för intrång, vilket leder till utökade behörigheter i molnet.

  • Steg 1: Hotinformationen visar på en aktiv risk i leverantörskedjan som riktar sig mot din identitetsleverantör.
  • I steg 2 utgår man från att IAM-analyssystemet kommer att upptäcka avvikande tokenanvändning och att SOC kommer att identifiera den berörda identiteten inom femton minuter, samtidigt som tidsfristerna för NIS2:s tidiga varningar och GDPR-rapportering redan har börjat löpa.
  • I steg 3 tar ingenjörerna fram en TTP-handbok som fokuserar på stöld av inloggningsuppgifter i molnet och vägar för återanvändning av token som är anpassade efter just er miljö.
  • Steg 4: Det purple team stölden av token. EDR upptäcker aldrig överföringen som sker enbart i molnet, och SIEM-reglerna aktiveras inte eftersom molnloggarna är felkonfigurerade.
  • I steg 5 blir det tydligt att antagandet om en inneslutningstid på femton minuter var helt orealistiskt med tanke på den befintliga telemetrin; det genererades inte någon larmsignal alls.
  • I steg 6 korrigeras loggningen, IAM-korrelationssökningar tas i bruk och scenariot körs igen. Den här gången upptäcker och isolerar SOC identiteten på tolv minuter, vilket förvandlar en antagande till en bevisad förmåga.

Det är just den här typen av konkret och evidensbaserad redogörelse som gör det lättare att motivera arbetet med detekteringsteknik, investeringar i loggning och processförändringar, både för interna intressenter och tillsynsmyndigheter.

Hur Damovo kan hjälpa till

Genom Damovo Security Services, som drivs av Lares, kan organisationer implementera denna 6-stegsmetod för adversarial integration i sina egna miljöer som en del av ett fortlöpande valideringsprogram, inte bara som ett engångsuppdrag.

I samarbete med era IT- och SOC-team kan Damovo hjälpa er att:

  • Utforma realistiska scenarier som bygger på kända hot och som speglar er verksamhetsmiljö och era regulatoriska risker.
  • Genomför testscenarier som genererar testbara hypoteser och beslutsloggar istället för generella åtgärdslistor.
  • Genomför en riktad återuppspelning av TTP:er för att verifiera detektering och respons i dessa scenarier.
  • Mät bristen på beredskap med hjälp av nyckeltal som styrelser, revisorer och tillsynsmyndigheter kan förstå.

Skapa en återkommande cykel av korrigeringar och nya tester som förbättrar prestandan över tid.

Låt ditt nästa bord bli ett bevis

Om du planerar din nästa skrivbordsövning är det här rätt tillfälle att göra den till något mer än bara en workshop. Genom att kombinera skrivbordsövningen med en genomgång av taktiska tillvägagångssätt i en strukturerad, sexstegscykel kan du gå från antaganden och presentationsmaterial till mätdata, tidsmätningar och bevisade förbättringar.

Nästa steg: prata med ditt Damovo-kontoteam eller kontakta Lares-teamet direkt för att se hur vi kan hjälpa dig att implementera den 6-stegsmetoden för adversarial integration i din organisation.

prata med våra experter
Gå med i Damovos e-postlista med över 10 000 medlemmar för att få de senaste insikterna och exklusivt innehåll.
Prenumerera nu