DNS-Tunnel och Försvarsmakten : Hur funkar det och vad innebär det?

Sammanfattning: Det säkerhetspolitiska läget i norra europa har stadigt försämrats sedan den ryska occupationen av Krim år 2014. Som ett resultat av detta ökar cyberattacker mot Sverige och resterande EU både i omfattning och frekvens. En av de största hoten är de cyberattacker som genomförs av aktörer som APT 28 och APT29 som har främmande staters stöd. Syftet med cyberattacker varierar stort dock är en av dessa åtkomsten till data/information. För att kunna uppnå det här målet måste aktören ha förmåga till att exfltrera data ur ett system eller nätverk. Det fnns fertalet metoder för att åstadkomma detta där en av metoderna är att exfltrera data över ett alternativt protokoll så som DNS-tunnling. Försvarsmakten nyttjar en rad olika system i syfte att uppnå sina mål och har särskilt utbildade enheter för att försvara dessa. Då varje användare indirekt bidrar till systemet och nätverkets säkerhet/skydd behöver samtliga användare ha en förståelse för hur deras användande påverkar systemet/nätverket. Skapandet av en DNS-tunnel ger användaren möjlighet att skicka ett protokolls (I det här fallet IPv4) data genom ett annat genom en process som heter inkapsling av data. Detta gör det svårare för system att automatiskt detektera illasinnad exfltration och således svårare att blokera trafken. Försvarsmakten bör regelbundet öva underrättelsefunktionerna i nyttjandet av STRIX och TAXII för att hantera hot i cyberdomänen och sprida dessa till övriga organisation. Detta skulle således möjliggöra för Cyberförsvaret att orientera resterande Försvarsmakt mer regelbundet och på så sätt även kunna anpassa de automatiska detektionsmetoder över tid för att bättre kunna fånga upp illasinnad exfltrering av data. Försvarsmakten bör utveckla underrättelsefunktionen så att den kan agera som en tolk mellan Cyberförsvaret och resterande Försvarsmakt.