Af Ivan Vinogradov, Solution Architect, LogPoint

Hvad er trusselsdetektion?

Trusselsdetektion beskrives typisk som en aktivitet i forbindelse med identifikation af trusler i en organisation. Ofte er denne opgave som minimum delvist automatiseret og involverer big data-behandling – især i store miljøer. Faktisk er automatisering en forudsætning for avanceret trusselsdetektion i de fleste moderne organisationer.

Hvad er angriberne på udkig efter?

Når du søger efter trusler, er det en god idé at være opmærksom på, hvilke ressourcer der er mest værdifulde for dig, og hvilke der er mest sårbare over for angreb. Ofte har man ikke den luksus, at man har tilstrækkelig med data til at genkende trusler oppefra, så man er nødt til at søge fra “bunden og op”.

Angriberne har en tendens til at være opportunistiske og søger ofte efter forældede enheder som adgangspunkt. Dette sker typisk efter større opdateringer, der afdækker disse sårbarheder for offentligheden. Den anden primære vektor er menneskelig – klik på ondsindede links er en sikker vej til kompromittering af ens netværk. Når angriberen har fået adgang til netværket, er aktiviteterne af varierende karakter – fra indsamling af data og brugeroplysninger – simpel, men effektiv ransomware. Dette gælder især ikke-målrettede og meget opportunistiske angreb. Ikke overraskende er hele 86 % af databrud økonomisk motiverede (Verizon, 2020 Data Breach Investigations Report).

Angribernes motivationer

Økonomi: Dette er den mest almindelige motivation, og det siger næsten sig selv, hvad der er tale om. Organiserede kriminelle angriber virksomheder og enkeltpersoner med økonomisk gevinst for øje. Ofte ved at bruge ransomware til at kryptere filer eller overbelaste netværk med DDoS-angreb, indtil løsesummen er betalt

Identitetsoplysninger: Når kriminelle søger efter identitetsoplysninger, er det ofte for at bruge dem til at udgive sig for dem, det går ud over. Værdifulde identitetsoplysninger omfatter CPR-numre, som kan bruges til at oprette bankkonti, kreditkort og andre kritiske aktiver.

Intellektuel ejendom: Organiserede kriminelle kan også være nationalstater eller endda konkurrenter. Værdifulde immaterielle rettigheder omfatter kundedatabaser, produktroadmaps, forretningshemmeligheder og andre oplysninger.

Hævn og underholdning: De truslen kan også være fra utilfredse tidligere ansatte, der søger hævn, eller politiske modstandere, der ønsker at nedgøre deres modstandere for egen vindings skyld. Nogle gange er motivationen dog ikke forankret i noget særligt, men er ren og skær underholdning.

Eksempler på avancerede cybertrusler?

Det stopper selvfølgelig ikke der. Der er i øjeblikket grupper, der skiller sig ud på grund af deres store ressourcer – som typisk kommer fra en regering, hvilket gør dem i stand til at udføre meget avancerede, målrettede og strategisk avancerede angreb. I disse tilfælde er automatisk detektion utilstrækkelig. Man kan kun anbefale at etablere et Threat Hunting-program og holde sig opdateret med intelligence. Dette drejer sig især om organisationer i meget udsatte brancher.

Typiske eksempler på cybertrusler omfatter:

  • Malware: Malware kompromitterer netværket gennem sårbarheder og omfatter spyware, ransomware, vira og orme.
  • Misbrug af rettigheder: Udnytter de rettigheder, der er forbundet med en bestemt konto, til at gøre skade på virksomhedens netværk.
  • Social engineering: Angriberne snyder brugerne til at videregive fortrolige oplysninger, der kan bruges til bedrageriske formål.
  • Denial of Service-angreb (DoS): DoS-angreb oversvømmer systemer, servere eller netværk med trafik for at drive rovdrift på ressourcer og båndbredde og gøre systemerne utilgængelige for legitime anmodninger.
  • Menneskelige fejl: Utilsigtede handlinger – eller manglende handlinger – fra brugere, der forårsager eller tillader, at der opstår brud på sikkerheden, normalt fejlkonfigurationer, fejlleverancer eller udgivelsesfejl.
  • Advanced Persistent Threats (APTs): En angriber får adgang til netværket og forbliver der i længere tid uden at blive opdaget – hvilket giver angriberen tid til at plante sit angreb.
  • Ransomware: Krypterer offerets filer og kræver en løsesum for at genoprette adgangen til dataene.

Læs mere om hver enkelt trussel, og hvordan avanceret trusselsdetektion kan hjælpe med at identificere disse trusler.

Hvordan identificeres trusler?

Vellykket trusselsdetektion afhænger i høj grad af modenheden af de lokale cybersikkerhedsfunktioner. Det er relativt nemt at have kendskab til landskabet, holde trit med intelligence- og brancherelaterede ressourcer og have et internt program til identifikation af sårbarheder. Men jo større et miljø bliver – desto større bliver behovet for løsninger, der kan hjælpe med avanceret trusselsdetektion, som minimum delvist automatisk. Desuden er avancerede aktører, der angriber din organisation, måske ikke så nemme at identificere. Du kan f.eks. aldrig være helt sikker på, om en statslig aktør er begyndt at interessere sig for din forskning – hvilket har været årsag til mange højt profilerede sikkerhedsbrud.

Hvordan reagerer man på cybertrusler?

Trusselsreaktion, før en kritisk hændelse indtræffer, kræver altid forberedelse. Forberedelse er nyttig i forbindelse med næsten alle discipliner inden for cybersikkerhed. Organisationer har dog begrænsede ressourcer. Derfor bør man identificere sine kritiske aktiver og sit budget for sikkerhedskontrolforanstaltninger og bruge dem hensigtsmæssigt for at mindske risikoen forbundet med truslerne. Der er ikke én samlet løsning, der passer til alle. En god start vil dog være at uddanne medarbejderne i de umiddelbare sikkerhedsproblemer på deres arbejdsplads og som minimum implementere det mest grundlæggende patching program.

Ideelt set skal sikkerhedsteams og SOC’er registrere og reagere på cybertrusler, før de bliver aktive og påvirker organisationen. Men når en hændelse opstår, er det afgørende at have en hændelsesresponsplan, så dit team kan identificere, reagere på og gendanne data i forbindelse med cybersikkerhedshændelser. For at kunne organisere en passende og rettidig reaktion skal SOC-medarbejderne forstå den specifikke cybertrussel. Brugen af frameworks som MITRE ATT&CK kan hjælpe sikkerhedsteamet med at forstå modstanderne, og hvordan de opererer – hvilket gør detektionen af og reaktionen på trusler endnu hurtigere.

Endelig kan SOC-analytikere drage fordel af avancerede værktøjer som f.eks. adfærdsanalyser (UEBA) og Threat Hunting-funktioner, der hjælper med avanceret trusselsdetektion.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser