Takaisin ajankohtaisiin

Guide: Sådan opbygger du et program til at opdage trusler og reagere på dem

Steven Müller

Steven Müller

It Security Consultant

Elokuu 24, 2020 at 13:34

Uanset om din organisation lige er blevet klar til at udvikle sig udover blot firewalls og antivirus eller aktivt investere i at videreudvikle organisationens sikkerhedsberedskab, vil dette blogindlæg give dig nogle vigtige overvejelser. 

Mange organisationer føler måske ikke noget pres for at udbygge deres beredskab til at opdage trusler og reagere på dem, fordi de er sikre på, at deres systemer holder uønskede personer ude. Forberedelse og forebyggelse er vigtige dele af ethvert sikkerhedsprogram, men selv med de bedste forsvar er ingen organisation uigennemtrængelig. Et stærkt program til at opdage trusler og reagere på dem kombinerer medarbejdere, processer og teknologi for at kunne genkende tegn på sikkerhedsbrud så tidligt som muligt og handle på den mest passende måde.

Opbygning af et program til at opdage trusler og reagere på dem
Først skal du have et komplet overblik over dit miljø og dine brugere. Med stigningen i data og værktøjssæt i moderne netværk og stadigt skiftende miljøer, kan det være udfordrende at få indsigt i dine aktiver og brugeraktiviteter. Dette er dog et afgørende første skridt. Organisationer kan nemt miste disse aktivitetsdata af syne, når de fokuserer for snævert på overholdelse alene. Selv om det er vigtigt at kunne dokumentere at man er compliant, kan mange af de samme datakilder også analyseres for at finde potentielle kompromisindikatorer. Hvis du vil vide mere om sikkerhedsovervågningscentre, og hvordan de fungerer, kan du læse i dette blogindlæg.

Systemlogfiler og -data kan hjælpe dig med at opbygge et billede af dit netværk. Disse data er et vigtigt værktøj, da de opbygger det fundament, der vil blive analyseret for at opdage trusler. Dataene kan også bruges senere til undersøgelser eller proaktiv at opspore trusler. Som organisation er I nødt til at forstå, hvad der er mest vigtigt at beskytte i organisationen, og hvilke indgangspunkter der mest sandsynligt vil blive brugt at potentielle angribere. For eksempel indledes hovedparten af indtrængninger med kompromitterede loginoplysninger, hvilket gør indblik i brugergodkendelser og administrationsaktivitet for at finde afvigende adfærd til en høj prioritet for de fleste organisationer.

En af de problematiske ting i monitorering af trusler er balancen mellem at få nok data og at få for meget data. Du skal beslutte, hvilke advarsler eller data, der skal indlæses, men behandling og opbevaring af dem kræver ressourcer og kan øge omkostningerne. Tilpasning af regler, der udløser alarmer, skal normalt udføres næsten dagligt for at kunne at give mening blandt de omkring 200 begivenheder i sekundet, som en server kan generere. Men hvis du whitelister for meget, kan du gå glip af en kritisk afvigelse.

Som et næste trin skal du opbygge funktioner og processer, der har kapaciteten til at opdage, og reagere på trusler.

Der er mange forskellige typer potentielle angreb:

  • Kendte trusler er dem, der kan genkendes, fordi malware eller angrebsinfrastruktur er identificeret og kendt som en ondsindet aktivitet.
  • Ukendte trusler er dem, der ikke er blevet identificeret.

Managed detection and response

Find uregelmæssigheder i hele din infrastruktur og identificer kendte angrebsteknikker
Der er to måder at finde trusler på: Find uregelmæssigheder i hele din infrastruktur og identificer kendte angrebsteknikker. I det første tilfælde, hvis en bruger logger ind fra New York hver morgen og pludselig logger ind fra Beijing samme eftermiddag, er dette bestemt en aktivitet, der bør have en vis interesse. Analyser af brugeradfærd er uvurderlige til at hjælpe med at identificere denne type anomal opførsel hurtigt. Disse værktøjer etablerer en basislinje for, hvad der er "normalt" i et givet miljø, og udnytter derefter analyser for at konkludere, hvornår adfærd skifter fra "normal" til "ikke normal" adfærd.

På den anden side er der en række måder, hvorpå angribere kan få et indledende fodfæste i dit netværk, opdage nye aktiver og bevæge sig mod følsomme data. Analyse af angrebsmæssig adfærd kan afsløre de forskellige taktikker, teknikker og procedurer, hvormed angribere kan få adgang - og profit - fra dit virksomhedsnetværk. Dette inkluderer områder som malware, cryptojacking og udtræk af fortrolige data.

En kombination af adfærdsanalyse på både brugere og angribere udgør et godt udgangspunkt for at sikre, at dit team bliver advaret om potentielle trusler så tidligt som muligt i angrebskæden.

Test dit beredskab
Som et tredje trin skal du vide, hvordan du skal reagere på sikkerhedshændelser. Her anbefaler vi, at du gennemfører en faktisk test i din organisation. Dette for at du kan svare på følgende spørgsmål: 

  1. Ved dit team, hvem der er ansvarlig i hver fase af sikkerhedshændelsen?
  2. Ved dit team, hvornår der skal kommunikeres - og til hvem? 
  3. Ved din team, hvornår og hvordan de eskalerer problemer, når det er nødvendigt?

En god beredskabsplan og et sæt spilleregler minimerer risikoen for et succesfuldt angreb og sikrer, at ting kører problemfrit, selv i et stressende scenarie.

 

Kilder

Hvis du vil vide mere om beredskabsøvelser, finder du nogle eksempler her: https://www.nixu.com/services/cybersecurity-exercises-and-training.

Rapid7 er en af de teknologier, vi bruger til trusselsdetektion. Du kan læse mere om responsprogrammer og få nyttig indsigt på deres blog: https://blog.rapid7.com/