Dette bør være på plass for å utføre en god logganalyse

Henrik A. Byberg


Sikkerhetstruende hendelser og målrettede IKT-angrep vil ramme flere og flere bedrifter og organisasjoner fremover. Sårbarhetsscanning og kontinuerlig innsamling av hendelses- og trafikkinformasjon er særlig viktig for effektiv å beskytte seg mot angrep, og for å sikre bevis i etterkant.

Logging innebærer imidlertid innsamling og fortolkning av store datamengder. Dette er svært ressurskrevende. Hovedutfordringen ved å tolke trusselinformasjon er ikke kun det store antall hendelser, men å ha kapasitet og kompetanse til å se – og tolke – komplekse sammenhenger mellom ulike hendelser og trafikkmønstre som kan tyde på kommende, pågående eller gjennomførte angrep.

Det som kan se ut som en uskyldig hendelse fra ett system, kan i kontekst med en annen hendelse være en “incident”, altså en sikkerhetstruende hendelse.

 

Forutsetninger for god logganalyse og -håndtering

For å klare å identifisere intrikate sammenhenger mellom indikatorer på sikkerhetshendelser på kryss av ulike nettverk og tjenester, må omfattende data samles inn, korreleres og analyseres i en helhetlig kontekst, over lengre tidsrom. I tillegg må man klare å vurdere risiko og riktige tiltak.

En holistisk tilnærming til IKT-sikkerhet og tidlig deteksjon av sikkerhetshendelser er den beste strategien for å sikre virksomheten og ansatte mot interne og eksterne trusler.

 

For å klare å etablere effektiv og hensiktsmessig logging må følgende forutsetninger være til stede:

 

Teknologi

Systemkomponentene må logge sikkerhetsrelevante hendelser. Systemet må ha funksjonalitet for arkivering og sammenstilling av logger. I tillegg må man sørge for å hente logger fra relevant utstyr (routere, switchere, brannmurer, relevante servere).

Kompetanse

Organisasjonen må ha kompetanse til å konfigurere logging og tune logghåndteringsverktøy på en hensiktsmessig måte. For å forstå hendelsene må man i tillegg ha kompetanse på de komponentene det hentes logg fra.

Prosesser og rutiner

For gjennomgang av logger og håndtering av hendelser bør gode prosesser og rutiner etableres. Spesielt viktig er det med etablerte rutiner for kritiske hendelser, slik at skadeomfang kan avdekkes og reduseres så tidlig som mulig.

Ressurser

Organisasjonen må ha ressurser til å ivareta etablerte prosesser og rutiner. En av utfordringene med logganalyse er mengden data som skal tas stilling til. Dette er en av grunnene til at mange ikke får tilstrekkelig verdi ut av eksempelvis en SIEM-investering, og dermed velger å involvere en sikkerhetspartner som helt eller delvis tar seg av logganalysen.

 

Les mer: Dette bør du tenke på når det gjelder logghåndtering

 

God logganalyse og -håndtering krever videre at man kan svare på følgende spørsmål:

  • Hva skal logges?
  • Hvordan skal loggdata samles inn?
  • Hvilke enheter er i min infrastruktur (asset management)?
  • Hvilke enheter er mest kritiske for min organisasjon?
  • Hvilke enheter er nødvendig for daglig aktivitet?
  • Hvilke enheter/systemer er mest utsatt?
  • Har jeg kjente sårbarheter i min infrastruktur?
  • Hvordan oppdage vellykket angrep?
  • Hvor skal jeg fokusere mine ressurser (penger/personell)?
  • Hvor er sensitiv informasjon lagret?
  • Hvilke avhengigheter er det mellom mine systemer?
  • Hvor kommer angrep fra? Hvem kan være interessert i mine data?
  • Hvordan kan jeg detektere angrep mot mine skytjenester?

 

Har dere kapasiteten som kreves for å etablere hensiktsmessig logging?

Kontinuerlig gjennomgang av logger og holistisk håndtering av hendelser er ressurs- og kompetansekrevende. Relevant og god trusselinformasjon – sammenstilt fra mange kilder – er nødvendig for å få oversikt over og forståelse for hvordan ulike hendelser henger sammen.

Avanserte angripere vil noen ganger benytte skadevare som ikke er tidligere kjent og derfor ikke vil utløse noen alarm i brannmurer og antivirusløsninger. Realistisk vurdering av risiko og konsekvens forutsetter derfor presise sårbarhetsanalyser og spisskompetanse på produkter, trusler og angrepsmetoder.

Hva som er den beste kombinasjonen av tiltak for å gi tilfredsstillende sikkerhet for virksomheten, vil alltid avgjøres ut ifra en helhetlig totalvurdering. I lys av dette er logging en tjeneste som bør utføres av en etablert sikkerhetspartner med erfarne analytikere.

 

New call-to-action



NO|EN