Eksamensprojekt: Threat Intelligence & Vulnerability

> Kategori: Threat Intel & OSINT > Oprettet: 23. februar 2026

Eksamensprojekt: Threat Intelligence & Vulnerability Management

Som en del af mit semesterprojekt har jeg udarbejdet en grundig analyse af det aktuelle trusselslandskab, og undersøgt de mange kilder, modeller og databaser, som sikkerhedsprofessionelle bruger til at navigere i dagens IT-krigszone.

Forståelse for “Threat Intelligence” (trusselsindsamling) og “Vulnerability Management” (sårbarhedshåndtering) er fundamentalt for at flytte en organisation fra ren reaktiv brandslukning til et mere proaktivt forsvar. Herunder er en gennemgang af de mest centrale rammeværker og databaser, jeg har arbejdet med og analyseret i løbet af semesteret.

Modeller til at Forstå og Nedbryde Angreb

For at kunne forsvare mod et angreb, må man først forstå angriberens metoder. Her anvendes anerkendte modeller, som dekonstruerer cyberangreb til mere simple og systematiske faser.

1. Cyber Kill Chain (Lockheed Martin)

Cyber Kill Chain-modellen identificerer de typiske syv faser, som en angriber skal igennem for med succes at kompromittere et netværk – fra rekognoscering til exfiltration af data. Filosofien er, at forsvarerne kan stoppe et igangværende angreb fuldstændig, hvis bare de formår at afbryde (kill) én af faserne i kæden. Modellen giver ledelsen og sikkerhedsoperatører et letforståeligt sprog til at vurdere, hvor fremskreden en trussel er.

2. MITRE ATT&CK Framework

Hvor Kill Chain primært handler om de overordnede faser, går MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) spadestikket dybere og skitserer hvordan cyberangreb helt specifikt udføres. Det er i praksis en global, levende matrix over hackeres taktikker (hvad de vil opnå) og de teknikker, de benytter for at nå i mål (f.eks. “Pass the Hash” i stedet for bare “Credential Access”). Sikkerhedsteams benytter kontinuerligt ATT&CK til at mappe deres forsvar og simulere APT-gruppers præcise fremgangsmåder, hvorved de kan identificere blinde vinkler i den egne overvågning (SIEM).

Databaser for Sårbarheder

For at holde sine egne systemer sikre, er et patch-management program uundværligt. Det baserer sig normalt på et sæt af internationale lister og databaser.

3. CVE (Common Vulnerabilities and Exposures)

CVE er nærmest “nummerpladen” for sårbarheder. Det er en global og offentligt tilgængelig liste over offentliggjorte sikkerhedsfejl opdaget i udbredt software – for eksempel CVE-2021-44228 (også kendt som Log4j sårbarheden). Standardiseringen hjælper antivirusprogrammer, scannere og firewalls til at tale det samme sprog på tværs af leverandører.

4. NVD (National Vulnerability Database)

Mens CVE-listen kun tildeler numre og en meget kort beskrivelse, tager den amerikanske regering’s NVD teten derfra. Databasen uddyber disse CVE’er med afgørende tekniske detaljer, løsningsforslag (patch-links) og, vigtigst af alt: risikovurderinger. Hver sårbarhed tildeles en CVSS-score (Common Vulnerability Scoring System) fra 0-10 baseret på bl.a., om udnyttelsen kræver fysisk adgang, om der kræves brugerinteraktion, og om sårbarheden giver root-adgang til hele udstyret. NVD er maskinrummet bag stort set ethvert automatiseret autoscanning-værktøj på markedet i dag.

5. CWE (Common Weakness Enumeration)

Forskellen på CWE og CVE er, at hvor CVE gælder specifikke fejl fundet i faktiske/eksisterende produkter, beskriver CWE selve den kodemæssige eller arkitektoniske årsag til fejlen. CWE-89 beskriver eksempelvis “SQL Injection” overordnet set som et fænomen. En CVE vil være “Der er SQL injection i WordPress plugin version 1.5”, mens CWE er årsagen bag.

Ekstern Sikkerhed og Applikationer

6. OWASP (Open Web Application Security Project)

OWASP er ikke en database pr. automatik, men en NGO, som specialiserer sig specifikt indenfor applikations- og websikkerhed. Deres mest berømte leverance er OWASP Top 10 – en rangeret liste over de allermest udbredte web-vulnerabilities (eksempelvis Broken Access Control eller Cryptographic Failures). Projektet anvendes primært af softwareudviklere som et opslagsværk; et minimumskrav (best-practice) til at sikre udviklingen fra “design” og frem under kodningen (SecDevOps).

Varslinger, Intelligence og Myndigheder

Sikerhedsscannere hjælper, når problemet ankommer. Cyber Threat Intelligence handler om at kende til stormen, inden den rammer land. Her bruges viden fra en række nationale som internationale autoriteter.

7. CERT-organisationer (Computer Emergency Response Teams)

Et CERT er oftest nedsat af staten eller tværgående industrierelationer og har til formål direkte at overvåge og rykke ud i forbindelse med store sikkerhedshændelser globalt og regionalt. Deres udgivelser af Advisories (advarsler) fungerer som den ultimative varslingsmekanisme over for virksomheder, f.eks. når en stor kinesisk trusselsaktør aktivt udnytter et “0-day exploit” mod bestemte routere. De publicerer også såkaldte Indicators of Compromise (IoC) (f.eks. ondsindede IP-adresser eller file-hashes), som firewall-administratorer omgående kan sortliste direkte i deres netværksudstyr.

8. ENISA (Det Europæiske Agentur for Cybersikkerhed)

ENISA laver dybe trussels- og risikovurderinger (Threat Landscapes) for hele Europa. De bistår primært EUs medlemslande i at harmonisere deres cyberlovgivning og i at håndtere grænseoverskridende sikkerhedskriser ved at tilbyde overordnede analyser om statssponseret spionage og udbredte Ransomware as a Service (RaaS) grupperinger.

9. Cyber- og Informationssikkerhed på nationalt niveau (SFS, FE og CFCS)

I Danmark leveres national Threat Intelligence af Forsvarets Efterretningstjeneste (FE) via Center for Cybersikkerhed (CFCS) sammen med organer som Beredskabsstyrelsen/SFS (Styrelsen for Samfundssikkerhed og Beredskab - formerly). CFCS har ansvaret for at overvåge og afværge trusler især rettet mod det offentlige Danmark, transport, energisektoren, telekom og andre kritiske infrastrukturer. Deres analyser – der ofte omhandler trusselsniveauer fra lande som Rusland, Kina eller Iran – er kritiske komponenter for CISO’er og sikkerhedsledere (Governance) ved budgettering og fastsættelse af interne trusselsniveauer i alle store danske virksomheder.

Praktisk Anvendelse: Hvordan styres processerne?

Når disse databaser og lister kobles sammen, kan sikkerhedsafdelingen strukturere en holistisk sikkerhedsproces.

  1. Intelligence (CFCS & CERTs): Vi modtager information om nye APT-gruppers angreb i vores sektor, og opdaterer firewalls med IoC’er.
  2. Forståelse (MITRE & Kill Chain): Vi researcher de taktikker, gruppen benytter sig af via MITRE, f.eks “Spearphishing Attachment”.
  3. Opdagelse (CVE/NVD): Vores sikkerhedsscanner opdaterer sine definitioner med lister fra NVD for at tjekke, om de programmer gruppen benytter til indbrud er sårbare inde i vores netværk.
  4. Lukning: Vi patcher de kritiske systemer med en “CVSS-score på over 9” med det samme.
  5. Kvalitet (OWASP & CWE): Vores in-house kodede applikationer valideres mod OWASP top 10 for at sikre, at kilden til sårbarheden (CWE) aldrig opstår til at starte med!