Medelstora företag och kommuner har hamnat mellan stolarna när det kommer till IT-säkerhet.
Deras växande datavolymer gör att de behöver en mer automatiserad säkerhetslösning än mindre företag, men de saknar samtidigt de ekonomiska resurserna för att implementera storföretagens heltäckande system.
Martin-Fribrock-LogPoint-Nordic-Regional-Director
En metod för att hantera dessa svårigheter är att kombinera en SIEM-lösning med andra säkerhetsverktyg, som SOAR och UEBA.
Hemarbete och det ständigt ökande antalet enheter och applikationer har gjort att datamängderna ökat kraftigt samtidigt som det hela tiden uppstår nya säkerhetshot. En problematik som företagen stått inför är att prismodeller ofta är baserade på datavolym, och de säkerhetsansvariga tvingas därför välja vilken data som ska övervakas för att budgeten inte ska överskridas.
Det är dessutom inte ovanligt att det finns svagheter i riskhanteringen hos växande bolag, ibland till följd av bristfällig kommunikation mellan den högsta ledningen och IT-teamet. Processen är mer tidskrävande än den bör vara till exempel för att IT-teamet inte har mandat att ta beslut på egen hand, samtidigt som ledningen inte har den tekniska kompetensen att ge precisa och verkningsfulla direktiv.
SIEM (Security Information and Event Management) är ett slags säkerhetsverktyg som övervakar och identifierar hot och incidenter i IT-miljöer. SIEM-lösningar har använts sedan 2005 och är fortfarande ett viktigt verktyg, men cyberhotens utveckling har samtidigt lett till att traditionell SIEM ensamt inte ger ett fullgott skydd. Vad SIEM gör är att den pekar ut hoten, men den varken agerar eller ger förslag på åtgärder. Detta innebär att företagen behöver komplettera lösningen med andra verktyg och manuell hantering, vilket i sin tur kan föra med sig nya utmaningar i form av en svåröverskådlig struktur och rekryteringsproblem eftersom säkerhetsanalytiker är en bristvara.
Vår egen lösning är att lägga till orkestrerings- och automatiseringsteknik för att på så sätt minska risken för intrång. Därutöver kan vi utnyttja maskininlärning för att hitta avvikande beteenden på nätverket, och på så sätt ligga steget före. Med andra ord ska en modern cybersäkerhetslösning innehålla inte bara SIEM utan även SOAR och UEBA. På det sättet får vi en uppsättning funktioner som identifierar intrången, automatiskt ser vilka som måste ageras på och sedan även agerar på dem. Som dessutom klarar stora datavolymer och proaktivt kan bemöta incidenter. När detta finns på plats kan säkerhetsavdelningens effektivitet öka, med minskade kostnader som följd.
Detta är också något som kan vara en del av lösningen i fråga om en annan utmaning, nämligen bristen på kompetent IT-personal. För just medelstora företag och för kommuner är det inte lätt att hitta och behålla tillräcklig bemanning för de här funktionerna. Ökad effektivitet är då av kritisk betydelse för att dessa verksamheters utveckling inte ska hejdas av cyberangrepp av olika slag. Det som tidigare var möjligt för bara de allra största företagen är numera möjligt även för dem.
