När cyberattacken är ett faktum gäller det att förstå vad som hänt

När det inte längre är en fråga om utan när företaget drabbas av cyberattacker och intrång flyttar fokus från att stoppa attacken till att förstå vad som hänt.

– När dataskyddsförordningen GDPR införs kommer kraven på de företag som drabbas att bli betydligt större, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

I stället för att bara släcka bränder måste vi ta reda på varför det börjar brinna. När dataskyddsförordningen GDPR införs kommer också kraven på de företag som drabbas att bli betydligt större. Genom att göra loggningen av datatrafiken visuell och tydlig kan administratören enkelt se hela kedjan av händelser som föregått infektionen, identifiera svagheter och stärka skyddet.

– För att bli bättre på att skydda sig måste man arbeta mer proaktivt. Om en infektion har lyckats ta sig in i en klient ska man ta reda på hur. Är det via e-post, webben, usb-minne eller något annat sätt? För den som har svaret blir det avsevärt enklare att stärka skyddet på de svaga punkterna, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Kraven på att snabbt och tydligt kunna redovisa vad som hänt ökar också med införandet av den nya dataskyddsförordningen GDPR. Att kunna spåra och redogöra för händelsen kommer då att bli en ännu större fråga, fortsätter han.

Vanliga metoder bland de kriminella är att använda så kallade droppers som infekterar och dumpar skadlig kod på den drabbade klienten. Men om man i detalj förstår och kan redogöra för händelseförloppet och eventuella skador kan man stärka sitt skydd. Det har också blivit allt vanligare att cyberkriminella använder så kallad ”data stealing malware” som helt enkelt stjäl data från klienten, det kan vara allt från inloggningsuppgifter till dokument. För att kunna säkerställa att inga data har stulits krävs en effektiv och tillförlitlig loggningsfunktion.

– En lösning som Sophos Intercept X och dess ”root cause analysis” gör att man enkelt och snabbt kan spåra vad som hänt och exempelvis se om det etablerats några anslutningar till en viss server, avslutar Per Söderqvist.