Trin et for IT-sikkerhed: Find ud af, hvad der skal beskyttes

IT-sikkerhedsarbejde har en tendens til at fokusere på færdige løsninger, ikke på hvorfor løsningen faktisk er nødvendig. Spørgsmålet er, om de der arbejder med IT-sikkerhed ved, hvilke aktiver der er mest kritiske, og om de er under angreb i øjeblikket.

Dette handler ikke kun om it-sikkerhed. Udviklere og teknikere der starter en ny applikation, kan sjældent snakke i detaljer om de forretningsfordele, dette vil skabe. De er optaget af at få komplekse it-løsninger til at fungere, forhåbentlig i henhold til en plan eller specifikation og inden for budgettet.

Beskyt det som giver mest værdi at beskytte

Det mest fornuftige ville være at designe sikkerhedsløsninger i henhold til de ressourcer, der har brug for beskyttelse. Det vil sige bruge mest tid og penge på de ressourcer, der giver mest værdi at beskytte.

Analyseres beskyttelsesbehovet?

– Vores erfaring er, at langt fra alle kunder kan påpege deres mest værdifulde aktiver. Dette betyder, at de bruger en generel beskyttelsespolitik. Dette betyder, at nogle ressourcer har fuld beskyttelse, men at de mest kritiske aktiver sandsynligvis ikke har det, siger Stefan Lager, der er SVP Global Service Lines hos sikkerhedsfirmaet Orange Cyberdefense, tidligere SecureLink, som den 9. marts 2020 blev en del af Orange Group.

En måde at rangere behovet for beskyttelse af ressourcer er ved at starte med den enkle formel Risiko = Sårbarhed * Trusler. I virkeligheden bliver det naturligvis mere kompliceret end det, men hvis du starter med at analysere sårbarheder og trusler, får du et mål for den eksisterende risiko. Tilføj estimater af økonomiske tab, direkte og indirekte, som en sårbarhed udnyttet af en ondsindet person kan medføre.

Hvor lang tid tager det at foretage en sådan analyse?

– Det varierer meget, afhængigt af hvilket firma det er. Nøglen til succes er samarbejde og at have flere forskellige kompetencer, siger Stefan Lager.

Han nævner, at der er behov for en generel viden inden for cybersikkerhed og om hvilke trusler der i øjeblikket findes, og hvordan man kan opdage og beskytte sig imod dem. Der er også et behov for information om, hvilke applikationer der er tilgængelige, hvordan de bruges og hvor vigtige de er for virksomhedens forretning. Med en kombination af denne viden er det muligt at optimere investeringer både til at beskytte og til at opdage (detektere) trusler, som ikke er mulige at beskytte sig imod.

Falske alarmer er et problem

Det anbefales ikke bare at sende logfiler til en SIEM-løsning og håbe, at den finder noget. Det vil give få sande alarmer og rigtig mange falske alarmer. I stedet er det bedst at identificere risici i fællesskab, hvilke data som er nødvendige for at opdage potentielle trusler samt samle relevant data og opbygge usecases omkring disse. Det giver en høj grad af detektion med meget få falske alarmer.

Især falske alarmer er et stort problem, når man arbejder med at opdage trusler. Årsagen er ikke kun, at det koster en masse tid og penge at undersøge disse, men et endnu større problem er, at virkelig farlige trusler kan drukne blandt alle de falske alarmer. Der er en række eksempler på dette i større kendte sikkerhedshændelser, hvor det berørte firma havde oplysninger der kunne opdage truslen tidligere, men disse oplysninger druknede i blandt andet irrelevante data.

Sikkerhedshændelser giver næsten altid økonomiske tab.

Når du ved, hvilke ressourcer der skal beskyttes, er det næste trin at finde ud af, om de er beskyttet. Også her er der fare for, at arbejdet bliver alt for fokuseret på teknologi. Ud over teknologi handler det nemlig også om mennesker og processer.

Fokuser ikke bare på at opdage trusler og angreb

Det er ikke nok bare at købe gode teknologiløsninger, de skal også konfigureres optimalt og have processer på plads for at holde konfiguration og software ajour. Faktisk er flertallet af de største sikkerhedshændelser sket, netop på grund af forkerte konfigurationer eller sårbarheder der ikke var blevet opdateret. Ved implementering af teknologiløsninger og processer er det en fejl kun at fokusere på at finde trusler og angreb. Det er også vigtigt at overveje, hvilke foranstaltninger der skal træffes. I mange virksomheder håndteres dette arbejde af en central afdeling kaldet SOC (Security Operations Center). Hvordan skal sådan noget drives?

Vigtige aspekter ved en SOC-beslutning:

• Angribere findes over hele verden, så du skal have evnen til at opdage dem døgnet rundt hver dag.
• Der er ingen værktøjer i dag, der helt kan erstatte en sikkerhedsanalytiker. Så der er brug for en bemandet SOC døgnet rundt hver dag.
• Det er vanskeligt og dyrt at ansætte og beholde gode sikkerhedsanalytikere.
• Jo tidligere et angreb identificeres og afværges, desto mindre påvirkning og lavere omkostninger vil virksomheden have.
• En ulempe ved at have dine egne SOC’er er, at du kun ser trusler, der påvirker dit miljø. En MSSP kan proaktivt lave detektion for alle sine kunder udfra en trussel fundet hos en af ​​kunderne.

– Det store spørgsmål er, om du selv kan styre en SOC, eller om det er smartere at outsource arbejdet. Cirka tolv fuldtidsansatte er påkrævet for en SOC, der skal være bemandet døgnet rundt. Udfordringen er ikke kun de omkostninger og den tid det tager at finde så mange mennesker, men også at skulle kontinuerligt videreudvikle medarbejderne, de processer de arbejder efter og de værktøjer de har brug for, for at kunne udføre deres job. For mange virksomheder vil det derfor være bedre at outsource denne funktion. Vi hjælper kunder med at identificere deres behov og derefter hjælpe dem med forskellige typer services for den bedste løsning for virksomheden.