Kjernen i en god sikkerhetsovervåking handler om å være så proaktiv som mulig i sikkerhetsarbeidet. Målet er å redusere tiden fra et angrep oppstår til det oppdages og stoppes. Dette er et viktig grep for å beskytte virksomhetens tjenester, data, ressurser og omdømme.
Vi har tidligere skrevet om logging og sikkerhetsovervåking, og hvilke komponenter du kan og bør overvåke. Vi konkluderte med at det i tillegg til innsamling av data er helt avgjørende med korrelering og analyse av data for å avdekke angrep.
I denne artikkelen forklarer vi hvordan en velfungerende sikkerhetsovervåking er satt sammen.
Erfaring, kompetanse og innsikt
I praksis handler sikkerhetsovervåking om automatisk og manuell analyse av data. I et samarbeid med et sikkerhetsselskap kan du lese status, hendelsesinformasjon og rapporter i en kundeportal som autorisert personell hos deg som kunde har tilgang til.
En sikkerhetsanalytiker bruker store deler av sin tid på å analysere alarmer generert av overvåkningssystemet. Disse analysene gir grunnlag for å avgjøre om trusselen eller angrepet er reelt, og hvilken risiko situasjonen utgjør for bedriften. Maskinlæring og algoritmer er verktøy som brukes for å redusere antallet falske alarmer, men det er likevel behov for en sikkerhetsanalytiker med erfaring og kompetanse, som forstår bedriften, risiko og konsekvens, og kan lese og dekode informasjonen analysene gir.
SOC (Security Operations Center) er bindeleddet som sikrer at innsamlede data og alarmer gir verdi for bedriften eller kunden.
Her kan du lese mer om hva et secure operations center er.
Hendelseshåndtering i praksis
En typisk hendelse og håndtering av den arter seg gjerne slik: Systemet genererer en alarm. SOC-analytikeren ser på alarmen, og går deretter gjennom de forskjellige hendelsene som forårsaket alarmen. Målet da er å avdekke hvor angrepet startet og hvilke komponenter som har blitt angrepet eller brukt som inngang.
I denne fasen kontaktes gjerne driftspersonale hos kunden for å innhente mer informasjon om systemene alarmen gjelder. Hvis det viser seg at trusselen er reell, og risikoen og konsekvensene vurdere som store, igangsetter det tiltak for å stoppe angrepet, og redusere konsekvenser som tap av informasjon, stopp i produksjon eller lignende.
I noen tilfeller må man involvere ressurser fra såkalte red teams, eksperter som besitter ekstraordinær kompetanse innen hacking og respons. I denne artikkelen forklarer vi hva et red team er, og hvordan det opererer.
Proaktivitet og evaluering
Med en ekstern partner på IT-sikkerhet er hendelseshåndteringen i trygge hender. Enkelte bedrifter velger likevel å ta seg av sikkerhetsovervåkingen selv. Det er vanskelig å understreke tydelig nok hvilken risiko som er forbundet med dette. Dersom du ikke setter inn reaktive tiltak så fort et angrep er oppdaget, er risikoen for at hendelsen eskalerer og skadeomfanget øker, betydelig. Omkostningene ved forsvarlig hendelseshåndtering kan gjerne regnes om til reduserte kostnader forbundet med å rydde opp etter et angrep.
Ved å samarbeide med en sikkerhetspartner, vil du i etterkant av et angrep sitte med verdifull informasjon om hvordan dette kunne skje. Denne innsikten inngår i en grundig evaluering for å tegne et så klart bilde som mulig av hva som faktisk har skjedd. Neste steg blir da å tilpasse og forbedre gjeldende prosedyrer, oppdatere policyer og legge til rette for at en slik hendelse ikke kan oppstå igjen.
