Steg ett för IT-säkerhet: Ta reda på vad som behöver skyddas

Hur är IT-säkerheten på företaget eller myndigheten du jobbar på? Den kanske är bra, men vet du, med handen på hjärtat, vad är det ni skyddar, egentligen?

Steg ett för IT-säkerhet: Ta reda på vad som behöver skyddas 1Här är tips om hur du får en bättre bild.

Arbete med IT-säkerhet tenderar att fokusera på färdiga lösningar, inte på varför lösningarna faktiskt behövs. Frågan är om de som jobbar med IT-säkerhet vet vilka tillgångar som är de mest kritiska och om de är under attack för tillfället.

Det här gäller inte bara IT-säkerhet. Utvecklare och tekniker som får i gång en ny applikation kan sällan i detaljnivå tala om vilken affärsnytta den ger. De är fullt upptagna med att få komplexa IT-lösningar att fungera, förhoppningsvis enligt tidsplan och specifikation, och inom budget.

Skydda det som är mest skyddsvärt

Det mest rimliga vore att utforma säkerhetslösningar efter de resurser som behöver skydd. Det vill säga lägga ner mest tid och pengar på de resurser som är mest skyddsvärda.

Analyseras skyddsbehovet i allmänhet?

– Vår erfarenhet är att långt ifrån alla kunder kan peka ut sina mest värdefulla tillgångar. Det gör att de tillämpar en generell policy både för skydd och för upptäckt. Det innebär att vissa resurser har fullgott skydd, men att de mest kritiska tillgångarna troligtvis inte har det, säger Stefan Lager som är SVP Global Service Lines på säkerhetsföretaget Orange Cyberdefense, tidigare Securelink som 9 mars blev en del i Orangekoncernen.

Ett sätt att ranka resursers skyddsbehov är att utgå från den enkla formeln Risk = Sårbarhet * Hot. I verkligheten blir det naturligtvis mer komplicerat än så, men om man börjar med analysera sårbarheter och hot så får man mått på de risker som finns. Lägg till det uppskattningar av vilka ekonomiska förluster, direkta och indirekta, som en sårbarhet som utnyttjas av någon illasinnad medför.

Hur lång tid tar det att göra en sådan analys?

– Det varierar väldigt mycket, beroende på vilket företag det är. Nyckeln till framgång är samarbete och att ha flera olika kompetenser, säger Stefan Lager.

Han nämner behovet av generell kompetens om cybersäkerhet kring vilka hot som finns för tillfället och hur man kan skydda sig mot dem samt upptäcka hoten. Det behövs också information om vilka applikationer som finns, hur de används, samt hur viktiga de är för företagets verksamhet. Med den kombinerade kompetensen går det att optimera investeringar både för skydd och för upptäckt (detektering) av hot som det inte går att skydda sig mot.

Falska larm ett problem

En rekommendation är att inte bara skicka loggar till en SIEM-lösning (security information and event management) för att hoppas att den hittar något. Det kommer att ge få riktiga larm och väldigt många falska larm. I stället är det bäst att tillsammans identifiera risker, vilka data som behövs för att upptäcka potentiella hot, samt samla in relevanta data och bygga användningsfall kring dessa. Det ger en hög grad av upptäckt med väldigt få falska larm.

Just falska larm är ett stort problem när man arbetar med att upptäcka hot. Anledningen är inte bara att det kostar en massa tid och pengar att undersöka dessa, utan ett även större problem är att riktigt farliga hot kan drunkna bland alla falska larm. Detta finns det ett rad exempel på i stora kända säkerhetsincidenter, där det drabbade företaget hade information för att kunna upptäcka hotet tidigare, men den informationen drunknade bland annan irrelevant data.

Ett sätt att se på IT-säkerhet är naturligtvis att skydda sig mot ekonomiska förluster. Exempel på potentiella ekonomiska kan vara:

  • Att applikationer och data inte är tillgängliga.
  • Att kritiska affärsdata stjäls.
  • Badwill.
  • Böter, till exempel för brott mot GDPR.

Det finns självklart fler exempel, men poängen är att säkerhetsincidenter i stort sett alltid går att uttrycka i form av ekonomisk förlust.

När man vet vilka resurser som behöver skyddas är nästa steg att undersöka om de är skyddade. Här finns återigen risken att arbetet blir teknikfokuserat i för hög grad. Förutom teknik handlar det också om människor och processer.

Fokusera inte enbart på att upptäcka hot och tvång

Det räcker inte att bara köpa bra tekniklösningar, de behöver även konfigureras på optimala sätt och ha processer på plats för att hålla konfiguration och mjukvara uppdaterad. En majoritet av de stora säkerhetsincidenter som inträffat har faktiskt skett just på grund av felaktiga konfigurationer eller sårbarheter som inte hade uppdaterats.

Vid implementation av tekniklösningar och processer är fällan att fokusera enbart på upptäckt av hot och intrång. Det gäller att också tänka på vilka åtgärder som behöver utföras. På många företag sköts det arbetet av en central avdelning som kallas SOC (Security Operations Center). Hur ska ett sådant drivas?

Viktiga aspekter för ett SOC-beslut:

  • De som attackerar finns runt hela världen så man måste ha en detektionsförmåga dygnet runt varje dag.
  • Det finns inga verktyg idag som helt kan ersätta en säkerhetsanalytiker. Så det behövs en bemannad SOC dygnet runt varje dag.
  • Det är svårt och dyrt att anställa och behålla bra säkerhetsanalytiker.
  • Ju snabbare ett intrång identifieras och åtgärdas, desto mindre påverkan och lägre kostnad innebär det för företaget.
  • Vilken ”Security Intelligence” föder er detektionsförmåga? En nackdel med en helt egen SOC är att man bara ser hot som träffar ens egen miljö. En MSSP kan proaktivt bygga detektering för alla sina kunder för hot som de upptäckts hos en kund.

– Den stora frågan är om man kan sköta en SOC själv eller om det är smartare att lägga ut arbetet. Det kan krävas uppemot tolv heltidsanställda för en SOC som ska vara bemannad dygnet runt. Utmaningen är inte bara kostnaden och tiden för hitta så många personer, utan även att kontinuerligt vidareutveckla de personerna, processerna som de jobbar efter samt verktygen som de behöver för att kunna utföra sitt arbete., Så för många företag kan det vara bättre att lägga ut funktionen. Vi hjälper kunderna att identifiera vilka förmågor de har och kan sedan komplettera dem med olika typer tjänster för bäst lösning.