Hoppa till huvudinnehåll
2023-05-17

Sommaren är räddad

Det finns inga dåliga kläder, bara… Ja ni kan fortsättningen. Utmaningen består i att vara rätt rustad för den aktuella situationen. Detta kan dock vara lättare sagt än gjort. Särskild inom IT-säkerhetsvärlden, där branschen gärna svänger sig med en uppsjö av tekniska termer, gärna i form av akronymer - EDR, XDR, NDR, SIEM, SOAR…

Christer Böke
Christer Böke
Concept Manager IT-säkerhet

Frågan handlar kanske inte så mycket om vad som är ”bra eller dåligt” som vad som är mest rätt utifrån var vi befinner oss idag? Är det x, y eller z som ger oss bäst säkerhet? Måste vi ha alla delar? Vart skall vi börja och hur skall vi prioritera? Risker utifrån verksamhetsmål. Vad ger mest ökad säkerhet för pengarna? Det är exempel på frågor som vi på daglig basis möter hos våra kunder och som vi gärna hjälper till att försöka besvara.

Ok det blåser lite kalla vindar här idag! - Vad har du för snabba råd?

Viktiga nycklar i ett framgångsrikt säkerhetsarbete är att lära känna sina styrkor och svagheter. Skall man åstadkomma det på ett adekvat sätt är det en god idé att på strategisk nivå knyta an till ett etablerat ramverk för it-säkerhet, t ex. CIS, NIST eller att utgå från den lista av önskvärda förmågor som i Sverige tillhandahålls av MSB och NCSC (Nationellt cybersäkerhetscenter). Det är också viktigt att ta i beaktning hur väl nuvarande säkerhet står sig mot just nu vanligt förekommande angreppsmetoder, här är det bra att på taktisk nivå göra en benchmark mot ramverket Mitre Att&Ck. Samt att, på operationell nivå, ta reda på vilka kritiska sårbarheter som faktiskt nyttjas av potentiella angripare och som har bäring till den egna it-miljön (här publicerar t ex. CERT.se och CISA fortlöpande information). Sist men inte minst glöm inte bort att kontinuitet och att ”öva på säkerhet” är av största vikt: vem gör vad och när, i händelse av en incident? Har vi en färdig process för detta idag? Samt utbildning av användarnas motståndskraft för cyberattacker, genomförande av scenarion kring angripare och försvarare (Red and Blue team).    

Så vad kan gå fel?

Jag skulle säga att en av de största fallgroparna som man kan trampa i är tron på att en viss sorts lösning, i sig själv, räcker för att bli säker. Ni har säkert hört det sägas många gånger tidigare men det finns tyvärr ingen magisk låda som löser alla problem. Silverkulan. Inget nytt under solen här men ack så viktigt.

Budskapet är istället lager-på-lager-principen. Vad betyder det i praktiken?

Utöver medvetenheten om att man inte kan förlita sig på en allenarådande teknisk lösning, handlar det mycket om att säkerställa konfiguration av befintliga IT-system innan man investerar i en ny säkerhetslösning. Det föregående nämnda kan åstadkomma en markant förbättrad säkerhet, utan att kosta mer pengar än den investerade tiden. Samt att ständigt göra oss påminda om att ny teknik, för att komma till sin fulla rätt, måste samspela med människor och processer. Har vi säkerställt att någon har koll på alla larm och notifikationer som genereras av våra olika säkerhetslösningar? Vad gör vi om en incident sker utanför vårt eget bemanningsfönster? Det gäller att försöka tänka hela vägen. Det är inte alltid lätt men genom att utgå från ett ramverk och dra erfarenhet av hur andra tänkt och resonerat, kan man sannolikt  undvika de värsta fallgroparna.   

Avslutningsvis och för att återknyta till temat: Inte att förringa vikten av ett bra underställ, bara för att man köpt en anorak eller en dunjacka. Även om nog många hoppas klara sig utan de senare plaggen, när de efterlängtade månaderna är här.

Glad sommar!

Akronymer - vad står de för egentligen?

EDR = Endpoint Detection and Response (modernt klient- och serverskydd med fokus på spårhet och automatisering).

XDR = Extended Detection and Response (EDR med integration mot fler säkerhetssystem för att än mer proaktiv hantera hot som detekteras i t ex. epost, webb och nätverkstrafik).

NDR = Network Detection and Response (Försvarsmekanismer mot intrång och avvikelser på nätverksnivå).

SIEM = Security Information and Event Management (Korrelation av loggar i syfte att upptäcka avvikelser och säkerställa spårbarhet).

SOAR = Security Orchestration, Automation and Response (Samlat manageringsverktyg för diverse säkerhetsfunktioner och automatisering vid oönskade händelser).

CIS = Center for Internet Security (Ideell förening som publicerar ett ramverk, idag bestående av 18 st områden med utpekade förmågor).

NIST= National Institute of Standards and Technology 

MSB= Myndigheten för samhällsskydd och beredskap

NCSC= Nationellt cybersäkerhetscenter 

CISA= Cybersecurity and Infrastructure Security Agency