Säkerställ en förmåga att upptäcka säkerhetshändelser
Här samlas ansträngningar för att minska risken för att säkerhetsrelaterade incidenter uppstår. Att göra det lite svårare för en angripare att attackera verksamheten. Att göra hålet av möjligheter lite mindre.
Bloggpost #10 ⎸ Säkerställ en förmåga att upptäcka säkerhetshändelser
Författare: Björn Odelfalk, säkerhetsspecialist
I tidigare bloggposter har vi diskuterat säkerhetshöjande åtgärder som faller inom ramverket Cyber Security Frameworks funktionsområde "Protect". Här samlas ansträngningar för att minska risken för att säkerhetsrelaterade incidenter uppstår. Att göra det lite svårare för en angripare att angripa vår verksamhet. Att göra hålet av möjligheter lite mindre.
Hur litet kan vi egentligen göra hålet?
Hotaktörers första mål är att få ett första fotfäste, initial åtkomst, hos organisationer. En behörighet och åtkomst från vilken hotaktören kan ta sig vidare i infrastrukturen i jakt på ännu högre behörigheter med rättighet till kritiska system och känslig data, för att stjäla, kryptera eller förstöra data, inklusive backuper. Initial åtkomst delas av ramverket MITRE ATT&CK upp i ett antal olika tekniker som hotaktörer använder sig av:
- Utnyttja sårbarheter i publicerade system - Vi kommer alltid ligga efter i arbetet att reaktivt täppa till hål och patcha sårbarheter i våra system vartefter de blir annonserade. Vi kan göra tidsfönstret mindre genom att vara extra snabbfotade och vaksamma, men vi kan inte ta bort det helt och hållet. Och det är omöjligt att helt täppa till hålet.
- Nätfiskeattacker (phishing) - Med hjälp av bland annat AI byter hotaktörer tillvägagångssätt för att nå än mer framgång i sina nätfiskeattacker. De har inte längre dålig stavning och innehållet är inte längre taget ur sitt sammanhang. De har istället perfekt språk och hyperrelevant innehåll. Äldre medvetenhet i hur man upptäcker nätfiske fungerar inte längre. Användare fortsätter att klicka på länkar och öppna bifogade filer. Och det är omöjligt att helt täppa till hålet.
- Utnyttja leveranskedjan - En illavarslande, men tydlig trend är intrången mot företag som är driftleverantör eller leverantör av digitala system åt många andra företag. Hotaktörerna har förstått detta, att genomslagskraften blir mycket större om du går på ett företag i leveranskedjan och att potentialen att få betalt stora belopp för dekrypteringsnyckeln är högre. Många företag har under lång tid gett digital tillit till system från sina leverantörer i många år, vilket gör detta än mer sårbart. Och det är omöjligt att helt täppa till hålet.
- Giltiga konton - Just nu pågår auktioner på den mörka sidan av internet, kallat darkweb, där stulna giltiga inloggningsuppgifter och åtkomst säljs till högstbjudande. Det pratas mycket om att hotaktörer "Inte hackar sig in, de bara loggar in", och det här är anledningen till varför. Tyvärr skyddar inte MFA helt mot detta, åtkomsten kan stjälas och köpas ändå. Och det är omöjligt att helt täppa till hålet.
Så även om vi har varit väldigt framgångsrika i vårt arbete att göra hålet för hotaktören att ta sig igenom mindre, så finns det fortfarande en risk att hen gör det.
Hur upptäcker man då en säkerhetshändelse?
Det är då vi tittar på nästa funktionsområde i Cyber Security Framework, det som heter "Detect". Förmågan att upptäcka säkerhetshändelser. Det är ett företags enda försäkring för att motverka att bli omfattande drabbade av exempelvis ransomware eller datastöld. Detect-förmågan kan liknas vid en brandvarnare. Den måste vara i aktiv funktion dygnet runt, och den måste omedelbart kunna larma i händelse av brand, dygnet runt, till personal som har kompetens att inse innebörden av larmet och direkt kunna agera med åtgärder, dygnet runt. För en mindre brand är enklare och billigare att släcka än en stor brand.
Inom branschen kallas lösningar för detektionsförmåga för eXtended Detection and Response (XDR) och innebär att flera olika system sitter sammankopplade för att tillsammans kunna avslöja ett pågående intrång. System specifikt för klienter och servrar kallas Endpoint Detection and Response (EDR) och för nätverk Network Detection and Response (NDR).
För spårbarhet (i kölvattnet av att ett intrång är upptäckt) behövs systemens loggar. De berättar vad det är som har hänt och när, och är behjälpliga när man vill följa kedjan av händelser för att ta reda på vad som hänt, till exempel vilket data som är stulet. Det är viktigt att loggar samlas säkert på en central plats, eftersom komprometterade systems loggar inte går att lita på. Området för sådana lösningar heter Security Information and Event Management (SIEM).
Många av de system och lösningar vi har på marknaden idag, kan på ett eller annat sätt automatiskt agera då det upptäcker en säkerhetshändelse. Dock är det långt ifrån alla delar av en it-miljö som lämpar sig väl för automatiska åtgärder (exempelvis isolera en enhet) och hotaktörernas metoder och verktyg utvecklas hela tiden för att så långt det är möjligt undgå upptäckt. Som organisation bör man överväga om man bedriver verksamhet som kräver både tekniska lösningar för att upptäcka intrång och kompetent, erfaren personal som kan arbeta med att hitta och analysera säkerhetshändelser i it-miljön. Denna övervägning kan omfatta behovet av att ha personal som är tillgänglig, delvis eller dygnet runt, för att säkerställa förmågan och säkerheten. Den formeringen av personal heter Security Operations Center (SOC) och är något som man som organisation kan etablera själv eller köpa som tjänst.
Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 8 och 13.
Vill du veta mer om hur ditt företag kan anskaffa en förmåga att upptäcka säkerhetshändelser? Tveka inte att höra av dig till oss. Vi har många kunder som gått från att helt sakna förmågan till att ha riktigt god förmåga 24x7 på väldigt kort tid.
Så länge..
...Tänk säkert och skydda era tillgångar 
