Med helt ny SOAR-teknik från LogPoint kan även små och medelstora företag automatisera hanteringen av cyberattacker.

Vad har amerikansk fotboll och cybersäkerhet gemensamt? Jo, du kan använda en playbook som anger nästa steg att ta när motståndarlaget anfaller. Exempelvis om en en cyberattack sker i form av en nätfiskeattack när en anställd öppnar en virusinfekterad bilaga.

– En playbook är ett strukturerat sätt att hantera sina observationer på när man ska reagera på ett cyberangrepp. För de flesta företag är det en enorm utmaning att utreda cyberincidenter eftersom många frågor måste ställas och de måste ställas i en viss ordning för att du ska kunna hantera incidenten på ett optimalt sätt, säger Christian Have, CTO på det danska cybersäkerhetsföretaget LogPoint.

Genom att lägga till helt ny SOAR-teknik till sin SIEM-säkerhetsplattform, som för närvarande används av mer än 1 000 företag och organisationer över hela världen, erbjuder LogPoint nu playbooks för hantering av cyberincidenter och automatisering av en stor del av utredningen och åtgärderna.

Utredning och hantering

LogPoints lösning SIEM (Security Information Event Management) är en cybersäkerhetslösning som samlar in och analyserar alla loggfiler – företagets digitala DNA – i realtid för att upptäcka oregelbundna mönster i datatrafiken och varna om avsiktliga eller omedvetna användarbeteenden som skadar företaget.

SOAR är en förkortning av Security Orchestration Automation and Response. LogPoints SIEM är ett system som samlar in data och gör det möjligt för företaget att hitta attacker, exempelvis ett nätfiskemejl, och SOAR säkerställer förmågan att strukturera hur företaget undersöker och hanterar incidenten.

– Orchestration innebär att vi gör det enkelt och överskådligt att hantera företagets olika säkerhetsteknologier. Vill du stänga av en användare medan du undersöker en incident eller vill du skicka ett mejl till HR? Alla dessa frågor hjälper vi dig att besvara. Automation innebär att vi automatiserar uppgiften att ta reda på hur många som har fått det här nätfiskemejlet med den virusinfekterade bilagan, och dessutom automatiserar vi raderingen av det i de aktuella inkorgarna. Response innebär att vi inte bara vill utreda en cyberincident, utan också kunna förhindra att det händer igen, säger Christian Have.

Ny strategisk betydelse

Med effektivisering och automatisering av säkerhetsarbetet riktar LogPoint därmed in sig på de stora utmaningar som företag kan ha idag, där hotbilden hela tiden utvecklas och där IT-medarbetare med rätt säkerhetskompetenser kan vara svåra att locka till sig och behålla.

Samtidigt gör LogPoin säkerhetsarbetet synligt och mätbart med med SOAR, och därmed blir arbetet med IT-säkerhet ett värdeskapande strategiskt område i sig och en konkurrensparameter bland företag.

LogPoint SOAR gör det möjligt att samla in data om hantering av hot som innebär att man kan utvärdera effektiviteten och erbjuda kunderna användbara benchmarks för branschen.

– Förr arbetade företag med IT-säkerhet som om det handlade om att släcka bränder. När en händelse inträffade släppte man allt man höll på med för tillfället. Automatisering gör det möjligt att arbeta strategiskt med cybersäkerhet och det har många goda effekter på företaget. Räcker det att företagets playbook för phishing lyckas med 80 procent av incidenterna och vad krävs för att det ska bli ännu bättre? Plötsligt kan en CISO tala om IT-säkerhet med ledningen och styrelsen som annars ofta brukar bli osäkra på om företaget är tillräckligt säkert. De sneglar oftast på större och mognare företag som de ser drabbas ett efter ett. Tidigare var kanske svaret från CISO:n till ledningen att 28 nätfiskemeddelanden blockerades per dag, eller att företaget nu hade implementerat den dyraste brandväggen som fanns. Men det är ett ganska överflödgt budskap som inte står i relation till något och som inte är meningsfullt för företaget.

Kvalificera dialogen

Med en dashboard som ger en överblick över effektiviteten i säkerhetsarbetet bidrar LogPoint till att överbrygga klyftan som annars kan uppstå i verksamheten mellan cybersäkerhet och företagets riskhantering.

Företaget blir enklare att förstå om de använder rätt teknik och processer.

– Företaget kan börja jämföra sig med andra företag som kanske lyckas bättre och kvalificerar dialogen mellan CISO:n och de som äger risken. Är säkerhetsbudgeten för liten och behövs det fler medarbetare? Förbättringar kan mätas och det finns mycket mer data och reella belägg att basera nya strategiska beslut på. Ny kunskap kommer fram. Du mäter inte längre bara dina loggdata som LogPoint gjorde tidigare. Du mäter också hur väl din organisation kan hantera de incidenter den utsätts för.

En akilleshäl för många företag

LogPoint är den enda säkerhetsleverantören som både täcker affärskritiska applikationer som SAP och det systemlandskap med nätverk och säkerhet som dessa applikationer ingår i.

Affärskritiska applikationer är enligt Christian Have en akilleshäl i många organisationer, ett överraskande resultat för många.

– Bland våra kunder är IT-säkerhetsområdet förhållandevis ganska moget. Man är redo att automatisera, använda playbooks och ge CISO:n ett verktyg för att prata med ledningen och styrelsen. Paradoxalt nog är de affärskritiska applikationerna ännu inte där mognadsmässigt – men det bör de vara. Företagen digitaliserar i stor utsträckning med de affärskritiska systemen som mittpunkt, och det är hackarna medvetna om. Det har vi sett i många av de cutting edge-attacker som varit. Hackarna siktar mot guldet: de satsar på de affärskritiska applikationerna.

Även hackare optimerar

Orsaken till de allt oftare exakta angreppen med stora lösensummor som krävs för att låsa upp krypterade filer finns i den ökande professionaliseringen i hackarnas ekosystem, förklarar Christian Have.

– Strukturen i ekonomisk cyberbrottslighet börjar likna strukturen i vanliga teknikföretag. Olika personer ansvarar för produktion, relationer, omsättning och teknisk utveckling. Det är en klassisk ekonomisk utveckling. Man organiserar sig enligt den struktur som visar sig optimal och det finns mycket pengar i ransomware-attacker som drabbar själva hjärtat i företagen.

Hackarna bryr sig inte

Enligt Christian Have är problemet att det ofta inte är IT-avdelningen utan andra avdelningar i verksamheten som äger de affärskritiska systemen.

– Det är inget fel med att en revisionsbyrå granskar dina system och din redovisning, men hackarna bryr sig faktiskt inte om den organisatoriska förankringen av ditt system. Vi ser ett enormt behov av att den utveckling vi har genomgått generellt inom IT nu sker i de affärskritiska applikationerna. Det är inte många företag som tycker att det är relevant att leta efter avvikande användarbeteende i SAP, ServiceNow eller Salesforce, men det är ju där som känsliga personuppgifter, kunddata och annan konfidentiell information finns. De affärskritiska applikationerna glöms ofta bort. När vi frågar ekonomichefer och chefer i andra delar av verksamheten om hur de skyddar dessa data ger de ofta ett svävande svar eftersom det inte är tydligt vem som som äger de affärskritiska applikationerna.

Vi har demokratiserat åtkomsten

LogPoint är det första cybersäkerhetsföretaget som erbjuder en helt integrerad plattform med både SIEM och SOAR för små och medelstora företag som normalt inte har en så välutvecklad säkerhetshantering.

– Det har gett oss en del uppmärksamhet från konkurrenterna att vi kan täcka så brett, för automatisering och orkestrering av utredning och förbättring är tekniker som ofta är dyra och något som bara de riktigt stora företagen klarar. Vi fattar några beslut å våra kunders vägnar eftersom det finns funktioner i en lösning för ett globalt Fortune 50-företag som inte är meningsfulla i ett medelstort svenskt företag. Men vi har demokratiserat tillgången till dessa tekniker genom vår konvergerade lösning, säger Christian Have.

De data som samlas in på LogPoints SIEM- och SOAR-plattform är nyckeln till en automatisering och benchmarking som markant stärker företagens arbete med cybersäkerhet i förhållande till deras insatser idag.

– När ett mellanstort svenskt företag inte ens har en säkerhetsorganisation är behovet av automatisering förmodligen ännu större. Det ger en stor nettonytta för kunderna att kunna hänga med och använda de data som delas och skapar värde för alla på vår plattform.

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews