DNS-Tunnel och Försvarsmakten: Hur funkar det och vad innebär det?
2023 (Swedish)Independent thesis Basic level (professional degree), 10 credits / 15 HE credits
Student thesisAlternative title
DNS-Tunneling and the Swedish armed forces : Process and implications of its usage (English)
Abstract [sv]
Det säkerhetspolitiska läget i norra europa har stadigt försämrats sedan den ryska occupationen av Krim år 2014. Som ett resultat av detta ökar cyberattacker mot Sverige och resterande EU både i omfattning och frekvens. En av de största hoten är de cyberattacker som genomförs av aktörer som APT 28 och APT29 som har främmande staters stöd. Syftet med cyberattacker varierar stort dock är en av dessa åtkomsten till data/information. För att kunna uppnå det här målet måste aktören ha förmåga till att exfltrera data ur ett system eller nätverk. Det fnns fertalet metoder för att åstadkomma detta där en av metoderna är att exfltrera data över ett alternativt protokoll så som DNS-tunnling. Försvarsmakten nyttjar en rad olika system i syfte att uppnå sina mål och har särskilt utbildade enheter för att försvara dessa. Då varje användare indirekt bidrar till systemet och nätverkets säkerhet/skydd behöver samtliga användare ha en förståelse för hur deras användande påverkar systemet/nätverket. Skapandet av en DNS-tunnel ger användaren möjlighet att skicka ett protokolls (I det här fallet IPv4) data genom ett annat genom en process som heter inkapsling av data. Detta gör det svårare för system att automatiskt detektera illasinnad exfltration och således svårare att blokera trafken. Försvarsmakten bör regelbundet öva underrättelsefunktionerna i nyttjandet av STRIX och TAXII för att hantera hot i cyberdomänen och sprida dessa till övriga organisation. Detta skulle således möjliggöra för Cyberförsvaret att orientera resterande Försvarsmakt mer regelbundet och på så sätt även kunna anpassa de automatiska detektionsmetoder över tid för att bättre kunna fånga upp illasinnad exfltrering av data. Försvarsmakten bör utveckla underrättelsefunktionen så att den kan agera som en tolk mellan Cyberförsvaret och resterande Försvarsmakt.
Abstract [en]
The security in northern Europe has steadily become worse since the Russian occupation of Crimea in 2014. As a result of this the frequency and magnitude of hostile cyberoperations targeting Sweden and the EU has increased. One of the biggest threats are the cyberoperations that are carried out by state sponsored actors such as APT28 and APT29. The Cyberattacks can have a wide range of objectives, one of them being the acquisition of data/information. In order to accomplish that objective an adversary would require a method to exfltrate the data from the system or network. There are however multiple different methods that can be used, one being exfltration through an alternate protocol such as DNS-tunneling. The Swedish armed forces use a variety of different systems in order to accomplish its missions/tasks. In order to be able to defend the systems from any malicious activity the Swedish armed forces have specially trained units tasked specifically with the defnece of the armed forces systems. This however is not enough as every user in a system is part of that systems defence. This means that every service member must have an understanding of what implications activities in the cyber domain have upon activities in the other domains. The creation of a DNS-tunnel enables a user to send data of one protocol (in this case IPv4 data) over the DNS protocol through the process of encapsulation. This makes it harder for automated processes to detect the malicious exfltration and subsequently block the traffic. The Swedish armed forces should regularly train its intelligence community in order to handle cyber threat intelligence according to STIX and TAXII. This should allow the cyber defnece to more readily share their intelligence with the rest of the armed forces and use the established intelligence community as a translator that can deduce the implications of the threats on the day to day activity of the Army, Navy, Air Force and Home guard.
Place, publisher, year, edition, pages
2023. , p. 42
Keywords [sv]
DNS, Försvarsmakten, Exfltrering, Zero Trust Modell, Defensiva Cyber Operationer (DCO), STIX, TAXII
National Category
Social Sciences Interdisciplinary
Identifiers
URN: urn:nbn:se:fhs:diva-11591OAI: oai:DiVA.org:fhs-11591DiVA, id: diva2:1766258
Subject / course
Försvarssystem, självständigt arbete
Educational program
Officersprogrammet (OP)
Supervisors
Examiners
2023-06-142023-06-122023-06-14Bibliographically approved