Digitaliseringstakten går raskere og raskere, og stadig flere IKT-tjenester settes ut til profesjonelle aktører. Dette har mange fordeler for bedrifter: mer stabile og tilgjengelige tjenester, lavere og mer forutsigbare kostnader – og man kan i enda høyere grad fokusere på virksomhetens kjerneaktivitet.
Imidlertid gir komplekse verdikjeder redusert kontroll og økt sårbarhetsflate, noe som kan føre til økt risiko. “Alt henger sammen med alt”, og sårbarheter og feil forplanter seg raskt mellom leddene i stadig mer uoversiktlige verdikjeder.
Som vi skrev om i forrige innlegg, gjør risikobildet det krevende å holde oversikt over sårbarheter. Ikke sjelden går bedrifter seg vill i arbeidet med å ivareta informasjonssikkerheten.
Truslene florerer i det digitale rom – og det er avgjørende at angrep og andre uønskede hendelser oppdages og håndteres i en tidlig fase. Da vil skadevirkninger kunne motvirkes helt eller reduseres.
Derfor bør dere analysere hendelsesloggene kontinuerlig.
Regelmessig gjennomgang og analyse av logger – utført av profesjonelle analytikere – vil kunne føre til at dere oppdager forsøk på (og vellykket) inntrengning i systemene.
Angrep mot SMB-segmentet skjer hyppig
Små og mellomstore bedrifter er ofte av den oppfatning at de har god IT-sikkerhet, siden de har brannmur og antivirusløsninger på plass. Tvert om – cyberangrep skjer ofte mot SMB-segmentet, som historisk sett ikke har et oppdatert forsvar.
For å sitere Sacha Dawes, Principal Product Marketing Manager i sikkerhetsselskapet AlienVault:
“60 % av SMB-virksomheter som har vært utsatt for angrep, legger ned innen et halvt år etterpå. Kundene får nemlig inntrykk av at dere som SMB-bedrift antagelig ikke har ressursene eller evnen til å motstå et slikt angrep igjen.”
Logganalyse kan bidra til tidlig deteksjon av hendelser
Angrep skjer hele døgnet, og trusselaktørene og deres angrepsmetoder og -vektorer blir stadig mer avanserte. Noen ganger benytter de skadevare som ikke er tidligere kjent og derfor ikke vil utløse noen alarm i brannmurer og antivirusløsninger. I verste fall tar det lang tid før en kompromittering blir oppdaget, i flere tilfeller måneder og år.
Dersom en angriper først får fotfeste i ditt IKT-miljø, vil det meste av trafikken internt i ditt eget nettverk maskeres som legitim.
I slike tilfeller vil kontinuerlig gjennomgang og analyse av hendelseslogger være den best egnede metoden for å etablere en oversikt over normaltilstand (baseline) og dernest oppdage aktivitet som avviker fra normaltilstanden.
Logging gir sporbarhet og effektiviserer “forensics”
Ved sikkerhetsbrudd kan logger bidra til at dere får kartlagt skadeomfanget, tidslinje for angrepet, og grunnlag for eventuelle rettslige forfølgelser.
Analyse av arkiverte logger kan gi dere informasjon om angripere som har vært inne i systemet tidligere uten at dere oppdaget det. I tillegg kan det avdekke pågående angrep som har vært usynlige tidligere – og dessuten hvordan og når informasjonen har gått ut fra virksomheten.
Sikkerhet i dybden
NSM anbefaler prinsippet om ’sikkerhet i dybden’, som innebærer å bygge et forsvarsverk med flere nivåer av tiltak for å hindre og begrense angriperes evne til å skade systemer.
Når loggdata samles og administreres sentralt, blir eventuell etterforskning i forbindelse med sikkerhetshendelser og driftsforstyrrelser mer effektiv.
Best sikkerhet i dybden oppnår dere ved å kombinere logganalyse med andre verktøy:
- Sårbarhetsscanning
- Asset management
- Network Intrusion Detection Systems (NIDS) og Host Intrusion Detection System (HIDS)
- Adferdsanalyse
- Trafikkflytdata (NetFlow)
Konklusjon
På grunn av kompleksiteten i de digitale verdikjedene er det ingen virksomheter som har full oversikt over egne sårbarheter. Det digitale sårbarhetsutvalget fastslår dette i sin rapport (NOU 2015:13).
IKT-hendelser bør registreres, slik at sikkerhetsbrudd kan oppdages så tidlig som mulig og skadevirkninger hindres eller begrenses.
Derfor er jevnlig logganalyse avgjørende.
Etablering og analyse av logger er en forutsetning for effektiv håndtering av hendelser, og for kartlegging av skadeomfang og sårbarheter.
