Första steget för att bli säkrare - inventera era förmågor
Vad bör vi göra för att åstadkomma en förbättrad it-säkerhet? I oroliga tider är det frågan på mångas läppar. Det kan vara frestande att investera i en viss produkt eller teknisk lösning. Det behöver inte vara fel - men hur vet man egentligen det?
För att svara på frågan behöver man först och främst inventera sina förmågor. Vilka är våra styrkor och svagheter? Vad kan vi faktiskt göra rent konkret för att höja säkerheten maximalt med minsta möjliga insats och till lägst kostnad? För att på ett adekvat sätt kunna ta reda på det behöver man förankra sitt arbete i någon form av vedertaget ramverk. CIS och NIST är två välkända exempel på det senare och används av många verksamheter, inom såväl privat som offentlig sektor. I Sverige har även NCSC11 tillsammans med sex andra myndigheter tagit fram en 10-punkts lista för rekommenderade säkerhetsåtgärder. Att inte underskatta vikten av att jobba med att inventera sina förmågor utifrån MSB:s checklista, var även en av de lärdomar som Kalix lyfte fram som en av deras viktigaste lärdomar från incidentarbetet.
Upptäck och förutsäg avvikelser i tid
Efter att man vidtagit grundläggande skyddsåtgärder för att skapa förutsättningar att vara så säker som möjligt, är det många som landar i en utmaning av mera generellt slag – hur kan vi förbättra våra förmågor kring detektion och åtgärd? Det vill säga, att snabbare kunna urskilja pågående hot och avhjälpa desamma. Man vill på olika sätt bli mer proaktiv. Man vill framförallt bli bättre på att tidigare kunna upptäcka och förutsäga avvikelser som i sin tur skulle kunna tyda på t.ex. ett intrång. Gartner och andra analysinstitut brukar säga att det i regel tar mer än 100 dagar innan en verksamhet ens hunnit upptäcka en it-incident, därtill kommer arbetet med att åtgärda eller avhjälpa samt städa upp.
Tid, resurser och rätt kompetens på plats?
För att översätta den här ambitionen i termer av tekniska förmågor, finns det lite olika vägar att gå. Har man ändå hela it-miljön i fokus och lägger särskild vikt vid loggning och spårbarbarhet, brukar många landa i en SIEM-lösning. Det vill säga en lösning som samlar loggar från kritiska system och sedan korrelerar dessa i syfte att upptäcka avvikelser. Det är naturligtvis av vikt att man konfigurerar systemet så att det inte genererar en för stor andel falsklarm. Att konfigurera systemet för att undvika överskott av falsklarm samtidigt som administrationen kan förenklas är det många IT-avdelningar som känner att det kan bli övermäktigt när de snabbt behöver hantera informationen. För att råda bot på det faktum att man många gånger inte har tid, resurser eller rätt kompetens för att få ut värdet av sina investeringar inom säkerhet, är det många verksamheter som väljer att addera en SOC-tjänst ”larmcentral” från tredje part.
Är de åtgärder du vidtar rätt?
När det gäller mer riktade verktyg för att skapa bättre förmågor att arbeta med åtgärder, är det populärt att använda sig av ett NDR och/eller EDR-verktyg. Alltså en funktion som erbjuder utökade skydd och åtgärdsmöjligheter på nätverksklient nivå.
Oavsett vad ni väljer att göra är det viktigast att ni försöker att säkerställa att de åtgärder man vidtar är rätt. Det senare kan naturligtvis alltid diskuteras men det är sannolikt det som åstadkommer mest säkerhet för pengarna. Som en ledstjärna och för att kunna svara på den i många avseenden delikata frågeställningen, är det viktigt att man sätter sina investeringar i relation till någon form av ramverk. Så att det åtminstone vilar på någonting mer än enskilda personers tyckande och erfarenhet.
Våga utmana och ifrågasätt er själva och era leverantörer.