Sikkerhetsovervåkning

100% av alle vellykkede angrep passerer sikringstiltakene. Det er gode grunner for å lagre brannmurens logg over trafikk som ikke tillates, men det er ikke der man finner spor av hendelsen når den har slått rot og begynt å bre seg ut. Dette er det mange som ikke innser før det er for sent, og man står i hendelsen uten tilstrekkelig synlighet til å drive effektiv håndtering.

Sikkerhetsovervåkning handler om å skape synlighet i virksomhetens infrastruktur og informasjonssystemer. Synligheten danner grunnlag for å oppdage feil, avvik og uønsket aktivitet, og for situasjonsforståelse og sporbarhet som er nødvendig når en hendelse skal håndteres.

Det er ikke nødvendigvis et klart skille mellom sikkerhetsovervåkning, trusseldeteksjon og forebyggende sikringstiltak. Brannmuren er et godt eksempel. En moderne brannmur, i tillegg til å begrense dataflyt ved å tillate eller nekte nettverkskommunikasjon, har ofte funksjonalitet for å oppdage trusler i form av skadevare, mistenkelige trafikkmønstre, forsøk på utnyttelse av kjente sårbarheter, for å nevne noe. Brannmurens logger, om konfigurert riktig, gir i tillegg et godt bilde av all kommunikasjon mellom enhetene i nettverkene den kontrollerer.

Produkter og løsninger som har som mål å oppdage eller forebygge trusler, er et godt og naturlig utgangspunkt for sikkerhetsovervåkning. I tillegg er det ofte ønskelig å ytterligere øke synligheten gjennom logger som ikke primært eksisterer for sikkerhetsformål, men som er nødvendige for å utfylle andre logger.

Noe som er gledelig, er at virksomheten allerede har en mengde sensorer som kan bidra til å skape synlighet, f.eks. logg fra brannmurer, switcher og annet nettverksutstyr, hendelseslogg fra servere og klientmaskiner, antivirus, e-post, katalogtjeneste, sentrale applikasjoner, skytjenester, og mye annet.

Den virkelige utfordringen ligger i effektiv innsamling, lagring, analyse og presentasjon av data. Hva skal du samle på? Skal innkommende data raffineres eller anrikes før lagring? Hvor lenge skal data lagres? Hvordan skal data aksesseres? Hvilke krav skal stilles til tilgjengeligheten? Hvordan skal løsningen integreres med systemer for trusseldeteksjon? Hva med forholdet til GDPR? Svarene på disse spørsmålene vil variere fra virksomhet til virksomhet.

Secunor bistår virksomheter med sikkerhetsovervåkning på flere områder:

  • Behovsavklaring
  • Planlegging og design
  • Teknisk bistand til bygging og implementasjon av løsninger for
    • innsamling, lagring, analyse og presentasjon av data
    • trusseldeteksjon
  • Forbedring og optimalisering av eksisterende løsninger
  • Ad-hoc bistand ved akutte behov
    • Forbedring av overvåkningen
    • Analyse av data
  • Secunor Security Operations