For en IT- sjef er det essensielt å ha full kontroll over alle sårbarheter og trusler som kan ramme essensielle IT-systemer. Dersom du stort sett bruker manuelle prosesser i dette arbeidet, bør du ta grep umiddelbart.
Antallet sårbarheter i IT-systemene våre har økt eksponentielt bare de siste få årene. Det samme har antallet trusselaktører. Stadig flere har sofistikert utstyr og kompetanse de bruker til å skaffe seg økonomisk gevinst gjennom IT-kriminalitet. Da er det viktig å svare med samme mynt. IT-sikkerhet er garantert noe du allerede jobber aktivt med i din virksomhet, men har du oversikten over totalbildet?
God IT-sikkerhet er verken spesielt kostbart eller krevende
Du har kanskje tidligere vurdert å knytte deg til en SOC (et Security Operations Center), men konkluderte med at det var for kostbart og krevende? Da har vi gode nyheter til deg. Det trenger nemlig verken være spesielt kostbart eller krevende å tilknytte deg en SOC. I tillegg har teknologien som brukes blitt så avansert og trusselbildet blitt så krevende at du ikke har råd til å la være.
Den gode nyheten er at det heller aldri har vært så enkelt som nå for alle virksomheter å beskytte seg mot datakriminelle. Tidligere var datasikkerhet på nivået vi snakker om her kun noe de største aktørene kunne ta seg råd til. Nå har du mulighet til å kjøpe IT-sikkerhet som en tjeneste. Du kan knytte deg til et eksternt, automatisert Security Operations Center (SOC) som håndterer alle dataangrep døgnet rundt.
Det er essensielt å velge riktig type SOC, tuftet på integrasjon og automasjon. Et av de viktigste våpnene i arsenalet mot cyberkriminelle er SOAR, Security Orchestration, Automation and Response. Leter du etter en ny IT-sikkerhetspartner er det viktig å forsikre seg om at SOAR benyttes.
Fordeler ved å bruke et automatisert Security Operations Center (SOC)
-
All informasjon om aktiviteter i IT-systemet logges og gjennomgås på et sted.
-
Du slipper å ha egen døgnbemanning for å håndtere dataangrep og IT-trusler manuelt
-
Sårbarheter i IT-sikkerheten identifiseres automatisk gjennom kontinuerlig overvåking ved bruk av kunstig intelligens og maskinlæring
-
Du kan komme de datakriminelle i forkjøpet og stenge dem ute før de har gjort noen skade. Det vil si preventiv IT-sikkerhet.
Det finnes ulike SOC-er du kan knytte deg til avhengig av leverandør. I Data Equipment har vi utviklet Intellisec, en sikkerhetsplattform som består av flere tjenester. En av disse er Managed Detection & Response (MDR) I vår SOC samler vi inn data fra alle systemene til kundene om sårbarheter IT-kriminelle potensielt kan utnytte. Vår automatiserte SOC kan håndtere ekstreme mengder data samtidig. Det er helt umulig å gjøre den samme jobben manuelt.
En annen stor fordel er, at ved å bruke kunstig intelligens og maskinlæring luker vi ut alle falske positiver. Det utgjør over 90 % av sakene. Dermed fjernes støyen fra alt som rapporteres som ikke er kritisk. Disse potensielle truslene avskrives allerede i rekognoseringsfasen. Og som IT-sjef har du full tilgang til portalen og får rapporter i sanntid om alle kritiske aktiviteter i systemene dine.
– I portalen er det enkelt å få oversikt over alle hendelser, du får hele historien og alle involverte parter. Informasjonen er formidlet så strukturert som overhodet mulig. I de tilfellene hvor IT-sjefen må ta grep, er det dermed lett å se hva som er de kritiske oppgavene og hvilke enheter og endepunkter som er involvert i dataangrepet, og dermed må isoleres, sier Filip Fog, Incident Response Analyst i Data Equipment.
Les også: Hvem har ansvar for hva når du går i skyen?
Du får totaloversikt over IT-sikkerheten i en egen portal
Det er ikke bare de kritiske hendelsene du får oversikt over. I portalen får du et oversiktsbilde over alle hendelser som kommer inn og som har blitt analysert. Det betyr at du også har kontroll over de hendelsene som løses automatisk av AI-en. Portalen er bygget så transparent som overhodet mulig. Dersom du ønsker detaljert informasjon om hver hendelse som logges, ligger den lett tilgjengelig, men du slipper å få melding om alle hendelser som er avverget.
– Dersom vi ser behov for å eskalere en hendelse til en kunde har hen tilgang til en loggingtidslinje i portalen. Vi prøver å gjøre det så enkelt som mulig, men detaljene er også tilgjengelige, dersom kunden ønsker å gjør et dypdykk i hendelsen. Her kan man se på for eksempel hvilke indikatorer som systemet har reagert på, hvilke enheter, endepunkter og brukere som er involvert, forklarer Fog.
Så hvordan jobber AI-en og automasjonen, slik at 90% av hendelsene kan utelukkes som ikke-kritiske?
– Det plasseres en agent eller sensor i alle IT-systemene dine som sender dine data inn i SOC-en. Vi samler inn så mye data som mulig. Det etableres en historisk baselinje eller normaltilstand i løpet av de første 30 dagene vi har en ny kunde tilkoblet til SOC-en. Jo mer data vi har tilgjengelig, jo mer velinformerte valg kan vi ta. I det øyeblikket det fanges opp avvik fra denne etablerte normaltilstanden, reageres det automatisk og sjekkes opp, sier Fog.
Han legger til:
– Det kan for eksempel være at det logges at en bruker som normalt logger seg på i Norge, logger seg på fra et land i Afrika i stedet. Da sjekkes det opp automatisk. Er det normalt at denne brukeren enkelte ganger jobber fra dette landet, så kan den avskrives. Hvis det er første gang dette skjer, tar Incident Response-teamet i SOC-en en manuell gjennomgang, før vi eventuelt eskalerer situasjonen og kobler på kunden for å gjøre sikkerhetstiltak, forteller Fog. .gif?width=600&height=400&name=Filip-Fog_web%20(002).gif)
Avvik fra normal IT-aktivitet gjennomgås automatisk
Incident Response Analyst, Filip Fog forteller at normaltilstanden for hver enkelt kunde automatisk blir etablert ved å samle inn data som legges i en datamodell. Her logges og avdekkes alle hendelser som skjer på maskiner, servere, nettverk og endepunkter som tilhører kundene. I SOC-en sitter det 10 IT-sikkerhetsrådgivere som fungerer som et Incident Reponse-team.
– Når det logges en ny hendelse, så sammenlignes den med det historiske grunnlaget og dataene i modellen. Dersom den blir merket som et avvik, så er SOC-en koblet oss opp mot ulike etterretningskilder, både norske og internasjonale som vi sender en forespørsel til. Vi samler inn og aggregerer informasjonen og får en samlet dom tilbake om det er snakk om skadevare (malware) eller ikke. Dersom automatikken ikke kan avsi en dom, tar IR-teamet over og vurderer situasjonen manuelt, forteller Fog
Basert på all informasjonen som samles inn til SOC-en kan de aller fleste hendelser avskrives automatisk, men rundt 10 % av tilfellene, må gjennomgås manuelt. Av disse må noen få eskaleres til kunden.
Les også: Slik tetter Managed Detection & Response bedrifters sikkerhetshull
Tester i et trygt, lukket miljø for å identifisere skadevare (malware)
Hva innebærer den manuelle prosessen som IR-teamet gjør?
– Det kan for eksempel dreie seg om at det er logget et script eller en kommando som det er vanskelig å vite om er farlig eller ikke. Da må vi bruke kjente analyseteknikker til å «deobfuscate» scriptet, kommandoen eller filen. Å obfuscate betyr å forvirre. Analysen skal altså gi svaret på hva som er den egentlige hensikten. Vi tester filen i et lukket og trygt miljø. Da kan vi finne ut om det å kjøre dette spesifikke scriptet for eksempel utløser en nedlasting av annen programvare som skal samle informasjon eller starte en kryptering. Vi samler inn informasjon og kontekst til filen og baktanken ved at den ligger i systemet. Er det en bruker som har lastet ned noe de ikke var klar over? Eller er det noen som bevisst har lastet inn filen i systemet via en USB? forteller Filip Fog.
Han fortsetter:
– I denne prosessen må vi ofte eskalere til kundens IT-ansvarlig, siden det som regel er denne gruppen som gjør ting som ikke er normalisert i utgangspunktet. Det er også årsaken til at vi har jevnlig dialog med IT-ansvarlig hos kundene våre. På den måten er vi mest mulig oppdatert på hva som er normaliserte situasjoner. Vi oppmuntrer derfor til jevnlig informasjonsflyt sier IT-sikkerhetsrådgiveren.
På den måten vet kunden alltid hvem hos Data Equipment de skal spørre, dersom noe oppstår, og vi vet hvem hos kunden som er med i loopen og hvem som gjør hva, dersom det må tas grep. Det er viktig å samle informasjon først, deretter isolere og respondere. Da kan vi for eksempel gi beskjed om at IT-ansvarlig må begynne å ta en back-up eller resette noen passord.
IT-sikkerhet 24 timer i døgnet på alle dager
Det er viktig å ha i mente at selv om du kan være trygg på at alle sårbarheter blir avdekket ved å koble deg til en SOC, så betyr ikke det at du selv ikke må ta egne IT-sikkerhetsgrep. Du må selv sørge for å ha muligheter til å ta back-up for eksempel.
– Men er du koblet til en SOC, kan du sove godt om natten i trygg forvissning om at vi ser på alarmene, analyserer og varsler deg, dersom du blir angrepet. Du har noen som følger med 24/7. I stedet for å måtte ha egne ansatte som følger med, får du en hendelsesrapport dagen etter. Her kan du lese om alle de potensielle sårbarhetene som har blitt avskrevet og potensielle angrep som har blitt avverget på et så tidlig stadium at ingen skade er skjedd, sier Fog.
Det er en åpenbar fordel å få samlet all informasjon og all data fra alle IT-systemene i en portal. Alle logger blir sentralisert og håndtert. Gjennomgangen av all informasjonen er det umulig å gjøre manuelt. Du må koble på en form for automasjon for å være helt trygg på at IT-sikkerheten er godt nok ivaretatt. Det er meget kostbart å bygge denne automasjonen selv.
Logging pluss kunstig intelligens = pålitelig etterretningsinformasjon om dataangrep
– Den kunstige intelligensen vår blir stadig smartere. Den lærer seg stadig nye angrepsmetoder som raskt avverges. Dermed blir tjenesten vi tilbyr også videreforedlet over tid. AI-en lærer seg å identifisere stadig nye typer hendelser og teknikker som cyberkriminelle bruker. Hackere gjenbruker gjerne sårbarheter. Alle kjente måter å hacke på vil ikke bite på dette systemet. Målet er at en kunde skal slippe å håndtere samme type angrep to ganger, forteller Fog.
Det er ingen grenser for hvor mye data det er mulig å samle inn og hvor lenge dataene kan lagres. Logging av data er noe Nasjonal Sikkerhetsmyndighet (NSM) anbefaler. NSM mener at data bør logges i minst 90 dager, men anbefaler 180. Dersom du kun har mulighet til å logge data i 30 dager, er det langt bedre enn å ikke gjøre det i det hele tatt. Logging kombinert med å ta i bruk et Security Operations Center betyr at all denne dataen ved hjelp av kunstig intelligens omgjøres til verdifull etterretningsinformasjon.
– Som IT-sjef vil det å knytte seg til Intellisec og Data Equipments MDR-tjeneste gi deg unik kontroll. I tillegg har du et helt team med sikkerhetsrådgivere til disposisjon, dersom du skulle trenge det. Vi sitter også på etterretningsinformasjon som ikke er allment tilgjengelig som vi distribuerer videre til våre kunder. Vi har data om trusler fra ulike kilder både i Norge og ikke minst også internasjonalt. Dermed kan vi raskt se hvilke sikkerhetstrusler som trender. Hvis en uskyldig Windows-oppdatering skaper mye støy, har vi raskt en forklaring som utelukker denne oppdateringen som en kritisk sårbarhet. Vi har rett og slett mer data å vurdere en hendelse ut ifra, både nasjonalt og internasjonalt og mer erfaring med dataangrep, sier Filip Fog.
For norske kunder er det en stor fordel å ha en partner på IT-sikkerhet som kan hente de internasjonale fordelene, samtidig som IR-teamet sitter i Norge og kommuniserer både på norsk og engelsk.
8 grunner til at du bør styrke IT-sikkerheten med et automatisert Security Operations Center (SOC)
-
Det er ikke mulig å stoppe dataangripere med manuell IT-sikkerhet
-
Alle er i målgruppen til IT-kriminelle og risikoen øker stadig
-
All informasjon om aktiviteter i IT-systemet logges og gjennomgås på et sted.
-
Du slipper å ha egen døgnbemanning for å håndtere dataangrep og IT-trusler.
-
Sårbarheter i IT-sikkerheten identifiseres automatisk gjennom kontinuerlig overvåking ved bruk av kunstig intelligens og maskinlæring.
-
Du kan komme de datakriminelle i forkjøpet og stenge dem ute før de har gjort noen skade. Preventiv IT-sikkerhet i praksis.
-
Du får en kunstig intelligens og en erfaren IT-sikkerhetsrådgiver på laget
-
Det er enkelt å komme i gang
De fleste vellykkede dataangrep skjer i tillatt trafikk. Dermed er det en 24/7 jobb å ivareta IT-sikkerheten. Mange virksomheter kunne kanskje ha håndtert de få angrepene som skjer utenfra manuelt, men de har ikke tid eller ressurser til å logge og gjennomgå all tillatt trafikk. Men det har vi i Data Equipment.
Med vår MDR-tjeneste må du sjeldent aktivt forholde deg til IT-sikkerhet. Men hvis du vil, har du full oversikt over alt som skjer i en egen kundeportal. Her får du oversikt over alle mulige sårbarheter som er logget og hvordan disse er håndtert videre.
Ønsker du å vite mer om tjenesten Managed Detection & Response og hvordan et automatisert Security Operations Center (SOC) fungerer i praksis?
