Dersom du ikke har automatisert IT-sikkerheten ennå, er det på overtid å ta grep for å stoppe cyberkriminelle. Tidligere var det kanskje for kostbart og krevende og knytte seg til et Security Operations Center (SOC). Slik er det heldigvis ikke lenger.
IT-sikkerhet er garantert noe du som IT-sjef allerede jobber aktivt med i din virksomhet, men har du oversikten over totalbildet?
Teknologien som brukes er blitt så avansert og krevende at du ikke har råd til å svare nei på det spørsmålet. Tidligere var datasikkerhet på dette nivået forbeholdt de få som hadde råd til å investere i eget utstyr og kompetanse. Nå har du mulighet til å kjøpe IT-sikkerhet som en tjeneste.
Netsecurity har utviklet Intellisec, en sikkerhetsplattform som består av flere tjenester. En av disse er Managed Detection & Response (MDR). Det er ikke irrelevant hvilken SOC du velger. For å få IT-sikkerhet av høy nok kvalitet må SOC-en være tuftet på integrasjon og automasjon.
Et av de viktigste våpnene mot cyberkriminelle er SOAR, Security Orchestration, Automation and Response. Den IT-sikkerhetspartneren du velger bør ha SOAR som utgangspunkt. I Netsecurity sin SOC samler vi inn data fra alle systemene til kundene om sårbarheter IT-kriminelle potensielt kan utnytte. Ekstreme mengder data kan håndteres samtidig.
– I portalen er det enkelt å få oversikt over alle hendelser, du får hele historien og alle involverte parter. Informasjonen er formidlet så strukturert som overhodet mulig. I de tilfellene hvor IT-sjefen må ta grep, er det dermed lett å se hva som er de kritiske oppgavene og hvilke enheter og endepunkter som er involvert i dataangrepet, og dermed må isoleres, sier Filip Fog, Incident Response Analyst i Netsecurity.
Ved å bruke kunstig intelligens og maskinlæring kan alle falske positiver lukes ut. Det vil si at støyen fra 90 % av sakene forsvinner, fordi de potensielle truslene kan avskrives allerede i rekognoseringsfasen. Som IT-sjef har du selvsagt full tilgang til portalen og får rapporter i sanntid om alle kritiske aktiviteter i systemene dine.
Les også: Et Security Operations Center (SOC) er nøkkelen til god IT-sikkerhet
I portalen får du et oversiktsbilde over alle hendelser som kommer inn og som har blitt analysert. Dersom du ønsker detaljert informasjon om hver hendelse som logges, ligger den lett tilgjengelig.
– Dersom vi ser behov for å eskalere en hendelse til en kunde har hen tilgang til en loggingtidslinje i portalen. Vi prøver å gjøre det så enkelt som mulig, men detaljene er også tilgjengelige, dersom kunden ønsker å gjør et dypdykk i hendelsen. Her kan man se på for eksempel hvilke indikatorer som systemet har reagert på, hvilke enheter, endepunkter og brukere som er involvert, forklarer Fog.
Det er enkelt å komme i gang. Det plasseres en agent eller sensor i alle IT-systemene som sender data inn i SOC-en. Det samles inn så mye data som mulig, og etableres en historisk baselinje eller normaltilstand i løpet av de første 30 dagene. Dataene legges inn i en datamodell, hvor alle hendelser som skjer på maskiner, servere, nettverk og endepunkter logges.
Les også: Hvem har ansvar for hva når du går i skyen?
I SOC-en sitter det 10 IT-sikkerhetsrådgivere som fungerer som et Incident Reponse-team.
– Dersom en hendelse blir merket som et avvik, er SOC-en koblet opp mot ulike etterretningskilder, både norske og internasjonale som vi sender en forespørsel til. Vi samler inn og aggregerer informasjonen og får en samlet dom tilbake om det er snakk om skadevare (malware) eller ikke. Dersom automatikken ikke kan avsi en dom, tar IR-teamet over og vurderer situasjonen manuelt, forteller Fog.
Basert på all informasjonen som samles inn til SOC-en kan de aller fleste hendelser avskrives automatisk, men rundt 10 % av tilfellene, må gjennomgås manuelt. Av disse må noen få eskaleres til kunden.
– Det kan for eksempel være at det logges at en bruker som normalt befinner seg på i Norge, logger seg på fra et land i Afrika i stedet. Da sjekkes det opp automatisk. Er det normalt at denne brukeren enkelte ganger jobber fra dette landet, kan den avskrives. Hvis det er første gang dette skjer, tar vi som sitter i Incident Response-teamet i SOC-en en manuell gjennomgang, før vi eventuelt eskalerer situasjonen og kobler på kunden for å gjøre sikkerhetstiltak, forteller Fog.
Les også: Slik tetter Managed Detection & Response bedrifters sikkerhetshull
Hva innebærer den manuelle prosessen som IR-teamet gjør?
– Det kan for eksempel dreie seg om at det er logget et script eller en kommando som det er vanskelig å vite om er farlig eller ikke. Da må vi bruke kjente analyseteknikker til å «deobfuscate» scriptet, kommandoen eller filen. Å obfuscate betyr å forvirre.
Analysen skal altså gi svaret på hva som er den egentlige hensikten. Filen testes i et lukket og trygt miljø. Da kan IR-teamet finne ut om det å kjøre dette spesifikke scriptet for eksempel utløser en nedlasting av annen programvare som skal samle informasjon eller starte en kryptering.
Fog fortsetter:
– Vi samler inn informasjon og kontekst til filen og baktanken ved at den ligger i systemet. Er det en bruker som har lastet ned noe de ikke var klar over? Eller er det noen som bevisst har lastet inn filen i systemet via en USB?
Logging av data er noe Nasjonal Sikkerhetsmyndighet (NSM) anbefaler. NSM mener at data bør logges i minst 90 dager, men anbefaler 180. Logging kombinert med å ta i bruk et automatisert Security Operations Center betyr at all denne dataen ved hjelp av kunstig intelligens omgjøres til verdifull etterretningsinformasjon. Dersom du kun har mulighet til å logge data i 30 dager, er det langt bedre enn å ikke gjøre det i det hele tatt.
– I tillegg har du et helt team med sikkerhetsrådgivere til disposisjon, dersom du skulle trenge det. Vi sitter på etterretningsinformasjon som ikke er allment tilgjengelig. Vi har data om trusler fra ulike kilder både i Norge og ikke minst også internasjonalt. Dermed kan vi raskt se hvilke sikkerhetstrusler som trender, sier Incident Response Analyst i Netsecurity, Filip Fog.
– Hvis en uskyldig Windows-oppdatering skaper mye støy, har vi raskt en forklaring som utelukker denne oppdateringen som en kritisk sårbarhet. Vi har rett og slett mer data å vurdere en hendelse ut ifra, både nasjonalt og internasjonalt og mer erfaring med dataangrep, fortsetter han.
For norske kunder er det en stor fordel å ha en partner på IT-sikkerhet som kan hente de internasjonale fordelene, samtidig som IR-teamet sitter i Norge og kommuniserer både på norsk og engelsk.
