Telenor-system oppdager hackere

Fra et senter i Arendal følger Telenor med på hva hackere i Øst-Europa gjør. Dermed kan Telenor lage en oppdatert hackersikringen.

Telenor er i utgangspunktet ikke noen man ringer til når man skal sette ut IT-tjenester, men ukjent for de fleste tilbyr Telenor en avansert sikkerhetstjeneste.

Under ledelsen av Frank Stien serverer "Telenor Security Operation Centre" en døgnet-rundt-overvåkningstjeneste for organisasjoner som vil ha mer sikkerhet enn hva utstyr og ansatte i vanlig arbeidstid kan klare.

Dette er Rolls Royce-sikkerhet for større organisasjoner som ikke kan klare seg med standard-produkter.

Senteret er lokalisert i Arendal og kan fordi man sprer kostnadene over mange kunder ha døgnvakt. Telenor har for tiden 13 ansatte ved TSOC-senteret i Arendal, forteller Stien til digi.no. I følge Stien har Telenor det mest omfattende tilbudet av denne typen i Norden, men det markedsføres ikke tungt: TSOC har ikke noen egen nettside.

Kunder som vil forbedre sin sikkerhet, og leier hjelp fra Telenor, får utplassert en spesialserver i sitt nettverk. Dette kan være på internettforbindelsen eller internt i nettverket, som for eksempel mellom hovedkontoret og et utekontor. Med en intelligent bruk av denne boksen kan Telenor både fange opp trusler hos den enkelte kunde og se mønstre på tvers av sine kunder de ellers ikke hadde oppdaget, påpeker Stien overfor digi.no.

Å kopiere og sende over all trafikken hadde skapt alt for store datamengder. Hemmeligheten ligger i programvaren på serveren som filterer og rapportere inn sentralt når det oppstår anomaliteter . For å kunne etterforske, lagrer boksene all nettverkstrafikk, i utgangspunktet i de siste timene, men utstyrt med mer lagringsplass kan de ta vare på mer.

Det er i oppsettet av nettopp denne filteringen at hemmelighetene ligger. Stien forteller at TSOC -systemet fanger opp kjente teknikker for kartleggingsforsøk, innbrudd, utnyttelse av svakheter, feilkonfigureringer og distribuerte DoS-angrep. Men fordi systemet også overvåker utgående trafikk, vil det kunne plukke opp informasjon fra kompromitterte systemer eller utro tjenere og annen ulovlig/uønsket trafikk.

Stien forteller at dette ikke bare gjøres med søk etter signaturer, men med definisjoner av "lovlig trafikkdefinisjon" , statistikk, svartelister over kjente hacker-adresser (blacklists) og rett og slett kunnskapen til de ansatte i TSOC .

Og det er måten denne kunnskapen dannes på, som kanskje er det mest oppsiktvekkende ved TSOC. Stien forteller til digi.no at hans ansatte driver med offensiv etterretning.

- Vi følger med på en rekke kjente hackernettsteder, chattekanaler og andre fora, blant annet i Øst-Europa for å komme trusler i forkant, forteller Stien til digi.no.

Om hans egne folk opptrer som hackere eller bare leser og lytter vil Stien ikke kommentere.

Gjennom dette arbeidet og overvåkningen av alle kundene, forteller TSOC -sjefen at mange kunder blir varslet før truslene når dem. Kundene velger hvordan de vil bli varslet om forskjellige type trusler. SMS, epost eller telefon er tilbudene Telenor serverer, men det er like viktig å sortere vekk de truslene som ikke er relevante slik at IT-avdelingen får konsentrert seg om det som er viktig.

TSOC-tjenestene starter på 8.000 kroner i måneden, noe som inkluderer installering av overvåkningsserver hos kunden.

Til toppen