Att arbeta med cybersäkerhet kan kännas som ett förlorat slag. Cyberbrottslingar kan komma åt en organisations nätverk på några minuter, medan det ofta tar månader för cybersäkerhetsanalytiker att upptäcka ett intrång. Antalet cyberattacker ökar samtidigt som cybersäkerhetsbranschen står inför en ständigt växande kompetensklyfta inom cybersäkerhet. Och cybersäkerhetsanalytiker måste hitta alla sårbarheter i infrastrukturen för att kunna skydda de yttre gränserna, medan angriparna bara behöver hitta en enda sårbarhet för att lyckas göra intrång.

Hotaktörer har övertaget – så hur ska företag kunna navigera hotlandskapet?

Angriparnas dominans kräver en målinriktad metodik

Det är omöjligt att skydda hela infrastrukturen mot cyberbrottslingar. De dominerar och det är osannolikt att detta kommer att förändras. Cyberattacker är oundvikliga och visar att analytiker måste övergå från en förebyggande strategi till en målinriktad strategi som introducerats av SANS SEC511. I stället för att försöka förhindra kompromettering är syftet med den målinriktade metodiken att förhindra att angriparna får vad de vill, vilket i regel är data eller avsevärd kontroll över systemet. I slutändan behöver analytikerna inte skydda hela infrastrukturen – de måste skydda de mest kritiska tillgångarna.

Nyckeln till framgång med det målinriktade metoden är synlighet i nätverket så att analytikerna kan upptäcka intrång. Cyberbrottslingar kommer alltid att lämna spår efter sig, men analytikerna måste känna fienden för att se: Hur de tänker och hur de arbetar. Till exempel använder angripare alltid sårbarhetsbedömningar som en del av den aktiva eller passiva övervakningen, och därför kommer ett starkt säkerhetsteam också att utföra dem för att kunna ligga steget före. Analytiker måste förstå hotaktörernas taktiker, tekniker och procedurer.

Att känna till miljön är avgörande

Cyberbrottslingar följer vanligtvis samma process under en attack. Först försöker de lära känna miljön och kartlägga den. Därefter försöker de hitta de kritiska tillgångarna. Slutligen stjäl eller utnyttjar de tillgångarna. För att ett säkerhetsteam ska kunna förhindra attacker måste de känna till sin miljö och sina kritiska tillgångar.

Säkerhetsteamet måste kartlägga infrastrukturen genom att utvärdera dess försvar, vilken information som kan ge en översikt över den och vilken detaljnivå som krävs. Dessutom måste teamet förstå de kritiska applikationer och deras placering, känsliga data och var de finns, identifiera privilegierade användare och lokalisera viktiga nätverksövergångar. När kartläggningen är klar är det nödvändigt att observera rörelserna i infrastrukturen för att få en överblick över vad som händer i system, applikationer, databaser, molnmiljöer och operativsystem.

Sammanhang är kung

Analytiker behöver sammanhang för att skilja mellan förväntade och oväntade rörelse i infrastrukturen. De kan få sammanhang från open source-information, interna kataloger, databaser för konfigurationshantering, statiska och dynamiska listor och tabeller som innehåller de mest exponerade användarkontona, nätverk och geografi. Den viktigaste punkten för att kunna förstå observationer är loggar. Ett starkt säkerhetsteam ser till att ingen kan röra sig inom infrastrukturen utan att vara registrerad.

Övervakning av loggar i realtid är ett starkt cybersäkerhetsverktyg. Det ger situationsmedvetenhet och gör det möjligt för analytiker att avgöra om en rörelse i infrastrukturen eller i synnerhet runt en kritisk tillgång är förväntad eller oväntad. Analytiker kan upptäcka cyberbrottslingar som tränger igenom gränserna och stoppa attacken. Dessutom kan de tillämpa maskininlärning för att upptäcka avvikelser och öka chanserna för att framgångsrikt hindra angriparen från att komma åt kritiska tillgångar.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner