2017-04-21

Säkerhet är inte enkelt - helt enkelt

Att upptäcka avancerade intrång är inte lätt och oftast känns våra traditionella säkerhetsverktyg ganska trubbiga. Finns det ett enklare sätt?

För komplext

Jag får ibland höra att t.ex. logganalys (SIEM) är för komplext och att man istället borde använda enklare lösningar för att hitta avancerade intrångsförsök (s.k. APT). Det har börjat poppa upp ett antal intressanta lösningar på marknaden som alla koncentrerar sig på klienten. Man vitlistar filer, letar efter avvikande beteenden, skapar virtuella bubblor och försöker se mönster som visar på att systemet blir attackerat. Dessa teknologier ser lovande ut men de är inte hela lösningen.

Ett intressant exempel är det senaste cyberangreppet som det pratas om just nu, Cloud Hopper.

Det riktas i ett första skede mot molnleverantörer som man sen använder för att hacka de företag som nyttjar molntjänsterna. Det finns massor på nätet om detta angrepp, men något som jag tycker är intressant är FRAs åtgärdsförslag.

Här slår man fast följande: ” Att upptäcka denna typ av angrepp kan vara mycket problematiskt”. Ett sätt att se om man är drabbad är att korrelera åtkomstloggar och legitima inloggningar mellan molnleverantören och kunden. Detta är ingen enkel uppgift och är bara möjligt om man har god spårbarhet och koll på sina loggar.

Då är vi där igen.

Logganalys-verkyg (SIEM) är den enda vettiga chansen att åstadkomma detta. Det rekommenderas också av FRA i rapporten som en långsiktig åtgärd. Man rekommenderar också att logganalys och detektion bör vara automatiserad.

De tekniska verktygen behöver ofta hjälp av människan för att förstå hur man faktiskt arbetar, därför är det viktigt att förstå sin IT-miljö för att hitta det som avviker från det normala. Erfarenheten visar att avsaknaden av kunskap om sin IT-miljö minskar nyttan av analyser och trafikmönster helt enkelt för att man inte vet vad som händer.

Slutsatsen blir att det inte finns ett enda ”enkelt” sätt att detektera intrång. Vi lever i en komplex värld och förmågan att kunna förstå när man blir utsatt för intrång kommer att kräva mer än en produkt. Det kommer att krävas teknik, människor och processer. Precis som vanligt m.a.o.