Arbejdet med cybersikkerhed kan nogle gange føles som at kæmpe en håbløs kamp. Cyberkriminelle kan få adgang til en organisations netværk på få minutter, mens det ofte tager måneder for cybersikkerhedsanalytikere at opdage et brud. Antallet af cyberangreb er stigende, mens cybersikkerhedsbranchen står over for et stadigt voksende kompetencegab inden for cybersikkerhed. Desuden skal cybersikkerhedsanalytikerne finde alle sårbarhederne i infrastrukturen for at beskytte hele vejen rundt, mens modstanderne kun behøver at finde én sårbarhed for at trænge igennem infrastrukturen.

Trusselsaktører har overtaget, så hvordan kan virksomheder navigere gennem trusselslandskabet?

Det er nødvendigt at have en målrettet tilgang for at kunne bekæmpe modstanderne

Det er umuligt at beskytte hele infrastrukturen mod cyberkriminelle. De er dominerende, og det er ikke sandsynligt, at det ændrer sig. Cyberangreb er uundgåelige og afslører et behov for, at analytikerne skifter fra en forebyggende tilgang til en målorienteret tilgang, hvilket introduceres af SANS SEC511. I stedet for at forsøge at forhindre en kompromittering, sigter den målorienterede tilgang mod at forhindre angriberne i at få det, de ønsker, hvilket normalt er data eller betydelig systemkontrol. I sidste ende behøver analytikerne ikke at beskytte hele infrastrukturen. De skal beskytte de kritiske aktiver.

Nøglen til succes med den målorienterede tilgang er synlighed i netværket, så analytikerne kan opdage et brud. Cyberkriminelle vil altid afsætte fodspor, men analytikerne skal kende fjenden for at kunne se: Hvordan de tænker, og hvordan de arbejder. Angriberne bruger for eksempel altid sårbarhedsvurderinger som en del af den aktive eller passive overvågning, hvorfor et stærkt sikkerhedsteam også skal foretage disse vurderinger for at komme et skridt foran. Analytikerne skal forstå trusselaktørernes taktikker, teknikker og procedurer.

Det er afgørende at kende miljøet

Cyberkriminelle følger normalt den samme proces under et angreb. Først prøver de at lære miljøet at kende og kortlægge det. Derefter forsøger de at finde de kritiske aktiver. Endelig vil de stjæle eller udnytte aktiverne. Hvis et sikkerhedsteam skal kunne forhindre angreb, skal de kende deres miljø og kritiske aktiver.

Sikkerhedsteamet skal kortlægge infrastrukturen ved at vurdere dens forsvar, hvilke oplysninger der kan give et overblik over infrastrukturen, og hvilket detaljeniveau der kræves. Desuden skal teamet forstå de kritiske applikationer og deres placering, de følsomme data, og hvor de befinder sig, identificere privilegerede brugere og lokalisere vigtige netværksovergange. Når kortlægningen er gennemført, er det nødvendigt at observere bevægelserne i infrastrukturen for at få et overblik over, hvad der sker i systemer, applikationer, databaser, cloudmiljøer og operativsystemer.

Kontekst er konge

Analytikerne har brug for kontekst til at skelne mellem forventet og uventet bevægelse i infrastrukturen. De kan hente kontekst fra open source-intelligence, interne biblioteker, konfigurationsstyringsdatabaser, statiske og dynamiske lister og tabeller, der indeholder de mest eksponerede brugerkonti og netværk samt den mest eksponerede geografi. Det vigtigste punkt til at forstå observationer er logfiler. Et stærkt sikkerhedsteam vil sikre, at ingen kan bevæge sig i infrastrukturen, uden at det registreres.

Overvågning af logfiler i realtid er et stærkt værktøj til at opnå cybersikkerhed. Det giver et overblik over situationen og gør det muligt for analytikerne at foretage en mere realistisk vurdering af, om en bevægelse i infrastrukturen eller især omkring et kritisk aktiv er forventet eller uventet. Analytikerne kan registrere, om en cyberkriminel foretager et brud på perimeteren og stoppe angrebet. Derudover kan de anvende machine learning til at opdage uregelmæssigheder og øge chancerne for at forhindre angriberen i at få adgang til kritiske aktiver.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser