<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Hva innebærer egentlig sikkerhetsovervåking?

Sigbjørn Sørensen


Sikkerhetsovervåking går ut på å være så proaktiv som mulig i sikkerhetsarbeidet, og å redusere tiden fra et angrep oppstår til det oppdages og stoppes. Slik beskytter man virksomhetens tjenester, data, ressurser og omdømme.

 

Vi har tidligere skrevet om logging og sikkerhetsovervåking, og om hva som kan overvåkes.

Hva innebærer egentlig dette, utover å analysere loggfiler, nettverkstrafikk og sårbarheter? I forrige blogginnlegg konkluderte vi med viktigheten av korrelering og analyse av data for å avdekke angrep.

SOC (Security Operations Center) er bindeleddet som sikrer at innsamlede data og alarmer gir verdi for bedriften eller kunden.

Sikkerhetsovervåking innebærer automatisk og manuell analyse av data og viser status, hendelsesinformasjon og rapporter i en kundeportal som autorisert personell hos kunden har tilgang til.

 

Nødvendig med et menneskelig aspekt

En sikkerhetsanalytiker bruker store deler av sin tid på å analysere alarmer som blir generert av overvåkningssystemet, for deretter å ta en beslutning på hvorvidt trusselen eller angrepet er reelt, og i hvilken grad det foreligger forretningsrisiko for bedriften det gjelder.

I dag får vi stor hjelp av verktøy med maskinlæring, algoritmer, osv., for å redusere antall falske alarmer, men det er likevel behov for et menneskelig aspekt som forstår bedriften, risiko og konsekvens.

 

Hendelseshåndtering i praksis

En typisk hendelse og håndtering av denne arter seg gjerne slik:

Systemet genererer en alarm. SOC-analytikeren ser på alarmen, og går deretter gjennom de forskjellige hendelsene som forårsaket alarmen, for å avdekke hvor angrepet startet, og hvilke komponenter som har blitt angrepet eller brukt som inngang.

I denne fasen kontaktes gjerne driftspersonale hos kunden for å innhente mer informasjon om systemene alarmen gjelder. Hvis det viser seg at trusselen er reell, og risiko/konsekvens er høy, vil man iverksette tiltak for å stoppe angrep og redusere konsekvens/tap av info/produksjon.

I noen tilfeller må man involvere ressurser fra såkalte red teams, som besitter ekstraordinær kompetanse innen hacking og respons.

 

Effektiv hendelseshåndtering gjenoppretter tillit

Kort forklart innebærer sikkerhetsovervåking å være så proaktiv som mulig i sikkerhetsarbeidet, og å redusere tiden fra et angrep oppstår til det oppdages og stoppes. Setter man ikke inn reaktive tiltak hurtig nok, risikerer man at hendelsen eskalerer og aktiviteter sprer seg til andre systemer og virksomheter.

Omkostningene ved forsvarlig hendelseshåndtering kan gjerne regnes om til reduserte kostnader forbundet med å rydde opp etter et angrep.

Når en hendelse har oppstått, vil tillit til tjenester, systemer og IKT-infrastruktur naturlig nok svekkes. Effektiv hendelseshåndtering bidrar til å gjenopprette sikker tilstand i IKT-miljøet og tilhørende tjenester. Dermed gjenopprettes også tilliten til dette.

 

Viktig å lære av hendelser

Det er viktig å forstå (og kanskje forklare for den aktuelle bedrift) hva som har skjedd når en har vært utsatt, og hvilke tiltak man har iverksatt.

Ved å lære av hendelser og få forbedringsinnspill til sikringstiltak, hendelsesprosesser, opplæring av personell og oppdatering av gjeldende prosedyrer, vil virksomheten kunne unngå å gjøre de samme feilene om igjen neste gang en hendelse oppstår.

Sikkerhetsovervåking er ett av mange punkter i Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet

I neste ukes innlegg tar vi for oss hvilken rolle threat intelligence spiller i sikkerhetsovervåking.

 

Gratis e-bok: Sårbarheter og konsekvenser



NO|EN