Blogg
11.06.2025
min tid å lese

Kritisk tenkning i sikkerhetsanalyse: Redusere subjektiv tolkning

Lær hvordan kritisk tenkning i sikkerhetsanalyse reduserer feilaktige konklusjoner og cognitive bias, ved å evaluere flere hypoteser i stedet for å fokusere på første inntrykk 
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Kritisk tenkning i sikkerhetsanalyse: Redusere subjektiv tolkning</span>

Når du får din neste sikkerhetshendelse foran deg, hva gjør du?

De fleste danner seg raskt en teori om hva som har skjedd, og begynner så å lete etter bevis som støtter denne teorien. Dette er menneskelig - og det er derfor det kan føre til feilaktige konklusjoner som kan koste dyrt.

Problemet er ikke at vi mangler kompetanse eller verktøy. Problemet er at hjernen vår arbeider mot oss når vi skal analysere komplekse problemer. Vi tar mentale snarveier som kan lede oss på villspor, og vi ser det vi forventer å se.

Hvorfor tradisjonell analyse ikke er nok lenger

I dagens sikkerhetsmiljø møter SOC-analytikere hendelser som kan ha flere mulige forklaringer. En mistenkelig nettverksaktivitet kan enten være et målrettet angrep, en intern trussel, systemfeil, eller en kombinasjon av faktorer. Når vi analyserer basert på første inntrykk og bekreftelsesbias, risikerer vi å overse kritiske aspekter og ta et forhastet valg.

Tradisjonell hendelsesanalyse følger ofte dette mønsteret: finn den mest åpenbare forklaringen, samle bevis som støtter denne, og konkluder. Men denne tilnærmingen har flere svakheter som blir kritiske når vi håndterer sikkerhetshendelser av høy kritikalitet.

Vi havner ofte i disse tre fallgruvene:

  • «Confirmation bias», får oss til å lete etter informasjon som bekrefter våre antagelser, mens vi ignorerer motstridende bevis. 
  • «Anchoring bias», gjør at vi blir for påvirket av den første informasjonen vi mottar. 
  • «Availability heuristic», fører til at vi baserer vurderinger på det vi lett husker fra lignende hendelser.

thhviq0en0po7t0jsdup

Vi må ta i bruk disse evnen hjernen har for å ta et raskt og godt valg. Så jeg sier ikke at vi skal slutte å bruke vår erfarne hjerne. Derimot så bør vi være klar over de snarveiene vi tar når det gjelder å resonere.

ACH-metodikk: En systematisk tilnærming

Analysis of Competing Hypotheses (ACH) ble utviklet av CIA-analytiker Richard Heuer på 1970-tallet for å bekjempe akkurat disse utfordringene. Metodikken har siden blitt adoptert i sikkerhetsmiljøer fordi den tvinger frem kritisk tenkning og reduserer ubevist subjektiv tolkning.

ACH fungerer ved å snu om på den tradisjonelle hendelsesanalysen. I stedet for å fokusere på en hypotese, prøver vi å se på flere mulige hypoteser mot beviser som enten er motstridene eller støttende.

ach_matrix_steps_norsk_transparent

Praktisk implementering i SOC-miljø

Det er en ting å forstå ACH-metodikk i teorien, men noe helt annet å implementere den.

SOC-miljøer opererer jo veldig forskjellig. I noen miljøerer må SOC-analytiker håndtere hundrevis av alarmer om dagen. Og i andre mer optimaliserte miljøer håndterer en SOC-analytiker maks 10 hendelser.

Det er veldig vanskelig å overlesse den stakkars SOC-analytikeren, som håndterer hundrevis av alarmer, med en prosess som kommer til å kreve enda mer. Det vil også ikke være mulig å håndtere alle alarmene med denne metoden før de renner over.

Les også: SOC-as-a-Service: Dilemma

I et miljø som har godt implementerte “støy”-filtre og automatikk, er det mulig heve standarden på analysen. Og da er team-samarbeid avgjørende for effektiv ACH-implementering. Ulike perspektiver - teknisk, forretning, og sikkerhet - bidrar til bedre og mer ulike hypoteser. En analytiker med nettverksbakgrunn vil se andre muligheter og synsvinkler enn en med malware-ekspertise.

Man kan starte med en enkel 15-minutters brainstorming-økt for å identifisere hypoteser. Og denne korte investeringen kan avdekke alternative forklaringer du ellers ville oversett. Etter hvert som man blir mer rutinert på dette går prosessen raskere.

ACH-matrise i praksis

For å illustrere hvordan ACH-metodikk fungerer i praksis, kan vi se på følgende eksempel som demonstrerer det grunnleggende prinsippet om å prøve å motbevise hypoteser.

ach_matrix_norsk

Matrisen her er et eksempel som demonstrerer hvordan ACH kan avsløre at det som først virker som et cyberangrep faktisk kan være en dårlig dokumentert men legitim operasjon.

Disse prinsippene blir ivaretatt med ACH-matrisen:

Transparent metodikk: Evalueringen forteller på en systematisk måte motstridende og støttende bevis for hver hypotese. Dette gjør analysen etterprøvbar og viser tydelig hvordan konklusjonen har blitt produsert.

Fokus på motbevisning: I stedet for å lete etter bevis som støtter den første teorien, evaluerer matrisen hvor sterkt hvert bevis motstrider hver hypotese. Hypotesen med færrest og svakeste motbevis blir da mest sannsynlig.

Praktisk anvendelse: Matrisen demonstrerer hvordan ACH hindrer «confirmation bias» som kunne fått analytiker til å fokusere på dataeksfiltrering og filkryptering, og dermed konkludert med APT-angrep. De ville da oversett mangelen på løsepengekrav, og brukt mye tid på bevise sin egen teori og muligens respondert med feil grunnlag.

Matrisen viser at ransomware-infeksjon faktisk har mest motstridende beviser.

Konklusjon: Investering i bedre beslutninger

Start med å stille deg selv ett enkelt spørsmål når neste sikkerhetshendelse dukker opp: «Hvilke andre forklaringer kan det være?»

Den korte pausen det tar å identifisere alternative hypoteser kan være forskjellen mellom riktig respons og kostbar feiltolkning.

I en verden hvor cybertrusler er i stadig endring og blir mer sofistikerte, kan vi ikke lenger stole på intuisjon og mental autopilot når vi analyserer sikkerhetshendelser. ACH-metodikk gir oss et rammeverk for å tenke systematisk og kritisk, selv under press.

ACH-metodikk handler ikke om å komplisere analysearbeidet - det handler om å gjøre det mer presist. Det bidrar til å bygge en mer robust sikkerhetskultur hvor beslutninger tas på grunnlag av bevis, ikke antagelser.

Ja, det krever investering i opplæring og endrede arbeidsprosesser. Men kostnadene ved feilaktige sikkerhetsanalyser - både i ressurser, omdømme og faktisk sikkerhet - gjør denne investeringen verdt det.

Fremtidens cybersikkerhet krever ikke bare smartere og bedre teknologi, men smartere og justert tenkning.


Kilder:

Discovering Cognitive Biases in Cyber Attackers’ Network Exploitation Activities: A Case Study

Analysis of Competing Hypotheses using Subjective Logic

The Tricky Mind Games of Cognitive Biases in Information Security

Bli med på gratis webinar: Når alarmen går – hva skjer egentlig?

Få innblikk i hvordan moderne Security Operations Center (SOC) gir kontroll, rask respons og bedre risikostyring.
Les mer og meld deg på

Les mer

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit
Blogg

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Sikkerhetstrening for ansatte: Slik bygger du bevissthet
Blogg

Sikkerhetstrening for ansatte: Slik bygger du bevissthet

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?
Blogg

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?

Fagblogg
Cybersikkerhet
10 sikkerhetstiltak virksomheten bør ha på plass før ferien
Blogg

10 sikkerhetstiltak virksomheten bør ha på plass før ferien

Fagblogg
Cybersikkerhet

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488