Playbook

Finding and tracking bad actors (without becoming one)

Defensive telemetry, OSINT guardrails, and when to call in specialists.

8 min læsetid

Hunting bør afdække angriberadfærd, ikke skabe juridisk risiko. Brug forsvarlig telemetri og open-source efterretning under strenge etiske regler og love.

Denne playbook viser, hvordan vi og vores kontraktorer og partnere jagter sikkert: hvilke data der skal indsamles, hvordan man udfører OSINT uden at krydse grænser, og klare triggere for eskalering til specialister eller myndigheder.

Omfang, lovlighed og etik (start her)

  • Ingen hacking tilbage: få ikke adgang til, ændr eller forring systemer, du ikke ejer eller har eksplicit skriftlig tilladelse til at teste.
  • Minimer persondata: indsam kun det, du har brug for til at forsvare; anvend opbevaringsgrænser og adgangskontroller.
  • Dokumentér myndighed: hvem godkendte jagten, hvilke aktiver er i omfanget, og hvilke værktøjer/kilder er tilladt.
  • Afstem med privatliv, juridisk og HR: aftal regler for håndtering af medarbejder- eller kunde-id’er, før du starter.

Defensiv telemetri der betaler sig

Man kan ikke spore modstandere, man ikke kan se. Fokuser på høj-signal, lav-dramadata, som I allerede kontrollerer.

  • Identitet først: login-logs, tokenudstedelse, enhedens tilstand, betingede adgangsbeslutninger og administratorhandlinger.
  • E-mail/SaaS: OAuth-tilladelser, ændringer i indbakke-regler, ekstern videresendelse, app-samtykkeprompter og usædvanlige download-bølger.
  • Web & API: authZ-fejl pr. lejer/objekt, 4xx/5xx-afvigelser, sessionsanomali (landeskift, user-agent-drift).
  • Endpoint: proces + netværk for browser og identitetsmæglere; script-injektion og indikatorer på cookie-tyveri.
  • CI/CD: runner-proveniens, artefakt-signering/verifikationshændelser og pushes til beskyttede branches.

OSINT-autoværn (se, ikke rør)

  • Kun passiv indsamling: søgemaskiner, offentlige repos, bruddatabaser via lovlige mæglere, WHOIS, passiv DNS, åbne fora.
  • Ingen prætekst eller infiltration uden rådgivning: undgå sockpuppet-engagement, DMs eller tilmelding til private grupper.
  • Respekter platformens TOS og sanktionslister; betal ikke eller støt ikke kriminelle tjenester materielt.
  • Registrér kilder og tidsstempler; bevar kopier med hashes for at sikre chain-of-custody.

Metode: forbind indikatorer uden at overdrive

  1. Start med jeres egne beviser: domæner, IP’er, hashes, wallets, brugernavne observeret i jeres logfiler.
  2. Pivotér passivt: kortlæg infrastruktur-overlap (registrarer, navneservere, TLS-certifikater, repo-handles) uden at kontakte aktøren.
  3. Klyng, ikke attribuer: mærk med neutrale tags som “Klynge A (fakturaændringer)” indtil flere signaler stemmer overens.
  4. Luk kredsløbet: byg detektioner og blokeringer knyttet til klyngen (domæner, fingeraftryk, adfærd).

Håndtering af følsomme data og beviser

  • Tag beviser med sags-ID’er, indsamlingsmetode og hash; undgå at kopiere mere persondata end nødvendigt.
  • Gem i et begrænset arbejdsområde med audit-logning; indstil automatisk opbevaring og review-kontrol.
  • Adskil analysenotater fra rå artefakter; oprethold en tidslinje over handlinger og beslutninger.

Hvornår man skal tilkalde specialister (og hvem)

  • Aktiv indtrængen med væsentlig risiko: tilkald straks incident response (24/7 inddæmning, forensics, forhandlingsstøtte).
  • Grænseoverskridende kriminel aktivitet eller afpresning: juridisk rådgiver koordinerer med politiet; del kun nødvendige indikatorer.
  • Finansielt bedrageri i gang: underret banker og betalingsudbydere via etablerede kanaler for at fryse flow.
  • Attribuering ud over OSINT: specialiserede efterretningsleverandører kan lovligt berige klynger i dybden.

Metrikker ledere kan følge

  • Tid til detektion (TTD): Median tid fra første ondsindede handling til første alarm.
  • Tid til inddæmning (TTC): Median tid til at tilbagekalde adgang, blokere IOCs og stoppe tab.
  • IOC-dækning: Procentdel af klynger med aktive detektioner/blokeringer på tværs af e-mail, web, API og identitet.
  • Falsk-positiv rate: Støjniveau for hunt-regler; tilpas til handlekraft.

Almindelige anti-mønstre der skaber risiko

  • At engagere modstandere direkte under en falsk identitet uden rådgivning eller godkendelser.
  • At skaffe ulovlige datasæt eller betale for adgang på fora skaber juridiske og etiske risici.
  • At tilskrive for tidligt; at låse sig fast på en fortælling, der skævvrider detektion og respons.
  • Indsamling af omfattende persondata uden plan for beskyttelse eller sletning.

Hvad der skal gøres denne uge

  1. Offentliggør jagtregler: hvad er tilladt, hvem godkender, og standarder for opbevaring af indsamlede data.
  2. Aktivér logs med høj signalværdi for identitet og e-mail; verificér at du kan se OAuth-tilladelser, indbakke-regler og sessions-anomalier.
  3. Opsæt en OSINT-notesbogsskabelon, der som standard registrerer kilder, tidsstempler og hashes.
  4. Forudforhandl IR-retainer og kontaktveje til retshåndhævelse med rådgiver.
  5. Opret en simpel blokliste-/politikopdateringsrutine, så nye indikatorer lander i kontroller inden for timer.

Den sikreste jagt er disciplineret og kedelig: indsamle den rigtige telemetri, berig den passivt og handl hurtigt inden for jeres kontrolområde. Når sporet forlader jeres hegn, tilkald specialister. Sådan spores onde aktører — uden selv at blive en.