MailRisk

Norsk oppstarts­selskap får hjelp fra Mnemonic til å ta sikkerhetstjeneste ut i verden

Integreres med Mnemonic analysemotor.

Erlend Andreas Gjære fra Secure Practice og Christer Stenbrenden og Jon-Finngard Moe fra Mnemonic foran en skisse over MailRisk og Argus fungerer sammen,
Erlend Andreas Gjære fra Secure Practice og Christer Stenbrenden og Jon-Finngard Moe fra Mnemonic foran en skisse over MailRisk og Argus fungerer sammen, (Foto: Harald Brombach)
EKSTRA

Integreres med Mnemonic analysemotor.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Som digi.no omtalte i fjor høst, tilbyr det norske oppstartsselskapet Secure Practice en løsning som skal gjøre det enklere og morsommere for IT-brukere å finne ut om eposten deres er skadelig og ondsinnet. Løsningen kalles for MailRisk og tar blant annet i bruk et element av gamification for å gjøre sikkerhetsopplevelsen mer positiv.

Siden i vinter har Secure Practice samarbeidet med Mnemonic om å integrere MailRisk med Argus, Mnemonics egenutviklede plattform for overvåkning og analyse av cybertrusler.

Digi.no har møtt de to partene for å høre mer om hva dette samarbeidet innebærer.

– Nesten all skadelig programvare har epost som første infeksjonsvektor. Det finnes gode gatewayløsninger som sørger for å begrense angrepsvektoren, men likevel kommer noe gjennom og når brukerne, forteller Jon-Finngard Moe, avdelingsleder for Mnemonic System Integration, til digi.no.

– En liten prosent av et enormt volum er fortsatt mye. Det er dette Secure Practice med MailRisk vil adressere, sier han videre.

Moe forteller at Mnemonic har jobbet med andre produkter som delvis konkurrerer i det samme segmentet, hvor disse handler om å lære opp brukerne til selv å forstå hva skadelig epost er. 

– Dette gjøres blant annet med programmer, tester og videoer som ligger i disse produktene. Personlig er jeg ikke så begeistret for dette. De som er teknisk oppegående vil synes at dette er veldig kjedelig og bortkastet tid å bli pålagt å bruke tid på slikt. De som er samvittighetsfulle brukere ser videoene igjen og igjen. De som virkelig har bruk for opplæringen, bruker ofte ikke tid på det i det hele tatt, forteller Moe. 

– Vi er derfor glade for å se at det kommer nye måter å angripe dette på, og det gjør MailRisk ved at brukerne kan sende inn epost til analyse og få svar rimelig fort. 

Mer effektiv analyse

Selv om mye av analysen i MailRisk kan gjøres automatisk, så er det fortsatt en del som må gjøres manuelt av ansatte i Secure Practice eller av MailRisk-kunden selv.

 – Det var på akkurat dette området vi så en mulighet for samarbeid, ved å gjøre analysen langt mer effektivt, slik at den skalerer mye bedre, uten at Secure Practice må bygge opp sitt egen Security Operation Center (SOC) for analyse. Dette er noe vi selv allerede gjør 24/7, med minst fem analytikere på vakt. De er på jobb for å gjøre akkurat dette, så å gjøre litt mer av det samme, er bare fint og god ressursutnyttelse, forteller Moe. 

– Vi har kommet godt i gang med samarbeidet. Vi har funnet ut at dette er noe som kan gi verdi begge veier, forteller Erlend Andreas Gjære, daglig leder i Secure Practice, til digi.no. 

– Det siste halve året har fokus hos oss vært å lage et API for utveksling av data, for å gjøre dette teknisk skalerbart og for å støtte akkurat et slikt partnerskap, fortsetter han. 

Moe forklarer hvordan oppsettet skal fungere: 

– Det starter med at en epost kommer inn til en virksomhet. Der vil det være en form for epostgateway som i hvert fall skreller av 99 prosent av spam, skadelig kode, svindel og annen uønsket epost. Men fortsatt vil noe komme fram til innboksen til brukeren. Der kommer MailRisk inn, som tilbyr en knapp hvor brukeren ber om at eposten blir analysert dersom de er usikre, sier han.

– Da bruker vi API-et i MailRisk til å sende eposten til vår analysemotor, Argus. Der er målet å kunne gi automatisk og nærmest umiddelbar tilbakemelding på mest mulig – over 90 prosent av det som er rapportert inn av brukerne – basert på gjenkjenning av allerede kjente indikatorer som headere, tittelfelt, filer og DNS-forespørsler. Disse er lagret i en del av Argus som heter SampleDB og er blant annet hentet fra analyse av epost globalt, forteller Moe.

  Illustrasjon: Mnemonic

Tusener av hendelser i timen

Målet er at vesentlig under 10 prosent av det er som rapportert inn av brukerne, skal gå videre til dashboardet i Argus som analytikerne jobber med. 

– De får likevel tusener av hendelser i timen som de skal analysere. Da vil også hendelser fra kunder med MailRisk også være en del av disse. Ofte vil dette være helt nye, direkte målrettede kampanjer som ingen andre har klart å snappe opp foreløpig. Det er også der den mest verdifulle analysen ligger. Opplysningene om eposten legges så inn i SampleDB og blir populert med nye indikatorer, sånn at vi har det klart for neste epost som eventuelt blir rapportert inn, forteller Moe. 

Analysen vil typisk ta fem til ti minutter dersom den gjøres manuelt. Den automatiske analysen tar derimot bare noen sekunder. Deretter vil brukeren kunne se i MailRisk-grensesnittet kunne se at eposten har blitt analysert i Argus og hva som ble resultatet av dette. 

– Dette vil jo skille seg veldig ut fra slik det er i mange organisasjoner i dag, hvor de ansatte videresender den mistenkelige eposten til systemadministrator. Ofte gjør de dette uten å inkludere headere og vedlegg, så systemadministratoren må be dem sende hele eposten på nytt med alt inkludert. Dermed går det mye tid, sier Moe.

Les også

– Ikke er det bare systemadministratorer som opplever dette heller. Jeg møter ganske mange IT-sjefer og CISO-er som sitter og bruker tiden sin på sånne «hei, er denne farlig»-henvendelser. Dette er ganske lite verdiskapende arbeid i digitaliseringens tidsalder. Disse er derfor veldig glade for å se at det finnes muligheter til å komme unna den jobben på, skyter Gjære inn. 

Moe forteller at CISO-en i et stort norsk forsikringsselskap har fortalt at han må gjøre nettopp dette. Selskapet har systemer for å ta seg av slike henvendelser, men noen av de ansatte syns det er tryggere å sende epostene direkte til ham. 

Kan automatisk fjerne skadelige meldinger

Moe forteller at Mnemonic også planlegger å bruke dataene fra SampleDB og andre egenutviklede datakilder til automatisk å gå inn i Office 365 eller Exchange hos kundene og slette meldingene som matcher det som har blitt rapportert som skadelig. Målet er å kunne gjøre dette på tvers av kunder som er utsatt for samme angrepskampanje, på denne måten kan vi fjerne mye skadelig epost før brukerne rekker å åpne dem.

– Vi har tilgang til produkter som gjør dette i dag, men kanskje vi skal lage integrasjonen selv også, forteller Moe. Slik at vi ikke er avhengig av proprietære og kostbare tredjepartsprodukter for å få dette til.

– Vi er veldig gira på dette. Vi må legge inn kruttet der det er mest effektivt, og dette er for tiden ofte i forbindelse med epost. Selv om det skjer tilfeller med utnyttelse av sårbarheter, er phishing, spam og skadelig kode via epost der volumet er. Og der hvor det er volum, er der man har mest å hente med automatisering og digitalisering, fortsetter han. 

Hva betyr så dette for Secure Practice?

– Dette er enormt for oss. Først og fremst det å ha en så kompetent partner å sparre med og å jobbe med for å bygge en slik infrastruktur. Det er kjempegøy for oss på teknisk side. Det er dessuten åpenbart at det også ligger kommersielle fordeler i å samarbeide. MailRisk går inn i en infrastruktur hvor kunder hos Mnemonic allerede har en tjeneste som omfatter sikkerhet, forteller Gjære.

Godt å ha en partner i ryggen

– Som en liten aktør er vi også sårbare for at potensielle kunder spør om vi skalerer nok til å takle alle deres kanskje flere tusen ansatte. Da er det veldig godt å ha en god partner i ryggen som sørger for at det ikke er noe problem i det hele tatt, legger han til. 

Partnerskapet betyr også at Secure Practice kan fokusere på de områdene selskapet selv ønsker, framfor å investere store beløp for å bygge opp en egen SOC. 

– Det sistnevnte er veldig krevende. Det er dessuten mangel på kompetente hoder både i Norge og internasjonalt, sier Gjære. 

– Det er også en internasjonal dimensjon her, siden Mnemonic har internasjonale kunder. Vi tenker jo fortsatt utover Norges grenser, og det er en veldig styrke å gjøre dette med en partner som syns at MailRisk er en unik egenskap i deres tjenester, og som syns dette er positivt å fremheve, fortsetter han.

Les også

Siden digi.no omtalte MailRisk i fjor høst, har Secure Practice jobbet opp mot kunder i en rekke sektorer i Norge. 

– Kraftsektoren har vist stor interesse for dette, og vi har også flere felles kunder med Mnemonic som vil kunne få nyte godt at integrasjonen. Vi har også flere kunder i programvarebransjen, bank og finans, samt i offentlig sektor. Hos de sistnevnte er det litt lenger prosesser, og der er det også en stor fordel å ha en partner, siden de ofte velger å ha én leverandør for en leveranse. Da kan vi være en underleverandør til en helhet, framfor at vi ikke engang kan gi et tilbud på det de etterspør. Det er en kjempefordel for oss i nasjonal sammenheng, sier Gjære. 

Ifølge Moe vil Mnemonic også kunne videreselge MailRisk som et eget produkt, med selskapets egen analysetjeneste på toppen. 

– Det behøver heller ikke være Mnemonic som har solgt MailRisk-produktet til en kunde. Det kan være en konkurrent av oss også. Likevel kan vi gjøre analysebiten, så lenge kunden ikke velger å gjøre dette selv, sier Moe.

– Samarbeidet har så langt vært en sann fryd

Så langt har Mnemonic lagd et konseptbevis for integrasjonen med MailRisk. Blant dem som har vært involvert i dette, er Christer Stenbrenden, sikkerhetskonsulent i Mnemonic Threat Intelligence. Han er blant Mnemonics totalt rundt 30 utviklere.

– Dette samarbeidet har så langt vært en sann fryd. Det sånn at dersom man har et eller annet spørsmål, så tar det maks fem minutter før det er fikset. Så jeg gleder meg til å samarbeide videre. I det hele tatt har det vært veldig rett fram. API-et var veldig ferdig, så det var bare å lese API-dokumentasjon og snekre sammen et lite «proof of concept» for å skyfle data fram og tilbake. Så er det selvfølgelig noen småting som må fikses, og vi har masse planer for integrasjonen rundt SampleDB som vi ikke har startet på foreløpig, forteller Stenbrenden.

Mnemonic samarbeider med kunder som har tatt i bruk konseptbeviset om å utvikle løsningen ferdig.

– Det er mye som må tunes inn for å se om det fungere som vi har tenkt. Vi mener at vi i løpet av året vil ha noe klart som vi kan tilby massene. Tiden fram til nyttår vil nok bli brukt på noen utvalgte kunder som er motivert for å delta og som har en høy teknisk forståelse, sier Moe.

Les også

Under samtalen kommer det også fram at Mnemonic har et DNS-produkt som kalles for Secure DNS, og som i utgangspunktet er gratis å bruke for alle. Også dette er knyttet til SampleDB og benytter data derfra til blant annet å blokkere oppslag mot domener og IP-adresser som er kjent som skadelige.

– Det er gratis verktøy som vil at flest mulig skal bruke, rett og slett for at vi skal få mer data inn sier Moe. 

Secure DNS kan potensielt også gjøres bedre ved å motta signaturer og andre data fra MailRisk, når nye trusler oppdages der. 

– Det å få tak i dataene tidlig nok, det er det som er vanskelig. Men når folk bruker MailRisk-knappen og samler inn data, da går jo alt inn i pipelinen, vi finner truslene raskere og da havner data også i blant annet denne DNS-tjenesten, sier Moe. 

– Det er fint at brukerne kan være en verdi i sikkerhetsarbeidet, kontra å bli oppfattet og behandlet som et problem, påpeker Moe. 

Stenbrenden legger til at vektingen av brukerne, gjennom gamification-funksjonaliteten i MailRisk, også kan brukes til å prioritere rapportene som kommer inn til analytikerne. 

Kommentarer (3)

Kommentarer (3)
Til toppen