Polisen kartlägger inbrott à la SIEM

2015-10-29

Snubblade igår över information om en kommande händelse som jag måste erkänna fick mig att dra rejält på smilbanden och vilja dela med mig av.

Gustav Rydmark
Gustav Rydmark Tekniskt säljstöd Säkerhet

Inbrott är något som nästan alla av oss har kommit i kontakt med. Vi har kanske alla också en uppfattning om hur sällan förövaren grips i dessa fall. Faktum är att av de ca tjugotvåtusen inbrott som sker varje år, klaras ungefär fem procent av dem upp – något som polisen kallar för ”mängdbrott”.

Polisen misstänker att det är ett fåtal individer i form av specialiserade ligor som begår en stor del av dessa brott men det finns hinder för att bevisa detta. Varje fall rapporteras i fritext av ansvarig polis. Därför är frågorna de ställt och sättet de beskriver fallen helt olika. Detta leder till att man måste gräva manuellt i de tusentals rapporterna om man vill söka något beteendemönster.

Överblick blir omöjligt och nya rapporter flödar in dagligen, alla skrivna på varsitt vis.

Blekinge Tekniska Högskola har nu för polisen utvecklat ett verktyg som skall antas nationellt vid årsskiftet. Hundratrettio kryssfrågor ersätter fritextrapporteringen och verktyget kan nu kartlägga mönster, bedöma risk för kommande inbrott och få glasklar överblick i bruset.

Vi i IT-säkerhetsbranschen står med samma utmaningar: Överblick, historik, sökbarhet, korrelation, beteendeanalys, spårbarhet.

Kompetent säkerhets-, nätverks- och auktoriseringsinfrastruktur står utposterade i våra miljöer och gör sitt jobb. Detta genererar tusentals händelser varje sekund. Dessa händelser loggas i vissa fall men ofta lokalt och alltid på vitt skilda sätt.

Om vår miljö angrips, hur ser vi hur attacken sprider sig? Hur går attacken till? Finns det mönster i hur vår miljö beter sig som kan användas för att se tecken på kommande incidenter? Om vi vill spara den informationen och göra den sökbar, vad använder vi då? Kan vi automatisera och prioritera allt detta så vi som människor inte behöver hantera mer än vi klarar av?

Det är precis dessa problem logghantering och Security Information Event Management (SIEM) belyser och det gör mig glad att se ett klockrent exempel på hur ett SIEM tänk kan appliceras även av dem som hanterar brott i den fysiska världen. 

Vi på Atea Säkerhet jobbar nära dessa utmaningar och är mer än gärna med i diskussioner och frågeställningar som rör dem!

 En artikel om det nya verktyget finns att läsa här.

 

Till nästa gång önskas en trevlig och säker höst!