– Vi stopper hundrevis av forsøk på angrep hver dag
Når du hører om et sikkerhetsoperasjonssenter som håndterer cyberangrep hver eneste dag, er det lett å få bilder i hodet av mye action og tilnærmet CSI-tendenser. Det er (både heldigvis og dessverre) ganske langt unna sannheten.
I Vika i Oslo har cybersikkerhetsekspertene i Defendable ett av sine to operasjonssentere, med det andre plassert på Gjøvik.
Derfra jobber analytikere i flere nivåer med å oppdage og stoppe cyberangrep mot flere titalls kunder døgnet rundt. Kundene de beskytter er både private og offentlige, og spenner fra kunder som OBOS til Stortinget.
– Vi jobber hardt for og legger mye prestisje i at det ikke skal skje alvorlige hendelser som får store konsekvenser hos kundene våre. Som med all annen sikkerhet, så er det umulig å garantere et perfekt resultat – men det har ikke skjedd til nå, forteller lederen for operasjonssenteret, Erik Faye Karla.
Dette er MDR fra Defendable
Managed Detection and Response fra Defendable sørger for at du alltid har erfarne sikkerhetsanalytikere på jobb for å beskytte miljøene dine mot angrep – døgnet rundt, hele året.
Med to sikkerhetsoperasjonssentre (SOC) i Norge, et tett samarbeid med tekniske og strategiske rådgivere og et komplett team for håndtering av hendelser som er en del av NSMs kvalitetsordning.
Håndterer angrepene før det blir et problem
At det ikke skjer store hendelser hos Defendables kunder betyr imidlertid ikke at det er en mangel på angrep og angrepsforsøk.
– Vi stopper hundrevis av forsøk på angrep hver eneste dag, fra de aller enkleste, automatiserte forsøkene til mer avanserte angrep. Men vi oppdager og stopper dem i en tidlig fase, noe som gjør at konsekvensene for kundene blir minimale.
Et klassisk tilfelle er at en bruker blir lurt til å gi fra seg innlogging via en phishing-mail. Defendable-analytikerne ser med jevne mellomrom kampanjer som retter seg mot store deler av en virksomhet i forsøk på å lure til seg innlogginger.
Dette er en situasjon som fort kan utvikle seg til et mer alvorlig angrep, enten ved at angriperen tar i bruk innloggingene selv, eller ved at de blir solgt videre på det mørke nettet. I verste fall kan dette utvikle seg til for eksempel et løsepengevirusangrep.
– Dette er ikke det største problemet for våre kunder. Når disse angrepene blir oppdaget, er vi raskt ute med å nullstille passord og alle aktive sesjoner slik at angriperne ikke kan benytte dette videre. Dette er noe vi gjør hver eneste dag, året rundt, forklarer Faye Karla.
Lang tid før håndtering fører til store kostnader
Fagleder for hendelseshåndtering i Defendable, Håkon Prestvik, sier at hvor fort en hendelse blir håndtert ordentlig er helt avgjørende for hvor alvorlig et angrep blir.
– Vi har flere ganger opplevd å komme ut til en kunde i forbindelse med en hendelse, for så å oppdage at det har vært flere vellykkede angrep tidligere som ikke har blitt oppdaget – rett og slett fordi ingen har undersøkt varslene fra verktøyene de har investert i, forteller han.
Prestvik sammenligner sin jobb med å være brannmann. Når han kommer til stedet er huset ofte overtent, og det handler om å begrense skadene mest mulig.
– Analytikerne i operasjonssenteret er mer som den fornuftige vennen som løper rundt i hele huset og blåser ut telysene før du tar kvelden – og som blir sittende hele natta for å sørge for at det ikke begynner å brenne, sier han.
De fleste som jobber med sikkerhet til daglig vet at det noen ganger kan føles som en ganske utakknemlig jobb, mener Prestvik.
– Når ting blir håndtert tidlig, slik det bør, fremstår trusselen som relativt lav. Det man ikke ser er hvor mange små forsøk som potensielt kunne blitt en katastrofe hvis vi ikke stanset dem såpass tidlig, avslutter han.
