fbpx
Facebook icon Linkedin logo Contact icon

News

Tre steg som tar it-säkerhetsarbetet till nästa nivå

Det du inte känner till har aldrig hänt. Det här är ett dilemma för de allra flesta som jobbar med it-säkerhet. Att ha många säkerhetsprodukter från flera olika leverantörer gör inte arbetet att upptäcka incidenter lättare – ofta tvärtom. Det finns dock en lösning.

Läs mer om Palo Alto Networks          Läs mer om Exabeam          Palo Alto Networks och Exabeam i samarbete

Med många olika säkerhetsverktyg att felsöka och undersöka i måste du gå in varje verktyg var för sig och titta på varje enskild log – ett jobb som kräver både mycket tid och stor kunskap. Det är ett dilemma eftersom tid och resurser konstant är en bristvara. Att missa incidenter är därför snarare regel än undantag.

Så finns det något sätt att lösa den här situationen? Är det i själva verket en gordisk knut, en invecklad uppgift som kan lösas förvånansvärt enkelt genom en drastisk åtgärd?

En drastisk åtgärd räcker knappast, men väl tre, menar Marcus Fredlund, Sales Engineer på Exclusive Networks som är specialister på cybersäkerhet och molnlösningar. Här är hans tre steg för att ta ditt it-säkerhetsarbete till nästa nivå.

Steg 1: Välj leverantörer med öppna API:er

Det första du måste bli av med är dina silos och hitta en väg framåt att jobba med it-säkerhet på en övergripande nivå. Det gäller både de verktyg du använder och hur personalen arbetar, men det fina är att det hänger ihop.

Vad gäller verktygen är det helt centralt att välja leverantörer som har öppna API:er så att du kan koppla ihop dem och dela information. Som vi ska se i nästa steg är det här även avgörande för automatisering och script.

– Jag menar att du ska välja den typen av leverantörer som kan samla information från många olika ställen i nätverket. Det här skapar visibilitet oavsett om vi pratar perimeter, end points, nätverk eller moln. Finns det här på plats så kan vi analysera vad som händer på övergripande nivå, säger Marcus Fredlund.

Som exempel nämner Marcus Fredlund Palo Alto Networks och Exabeam. Båda leverantörerna har verktyg som gör det möjligt att få en god överblick och det utan att verktygen är extremt krävande att sätta sig in i.

– Istället för att utgångspunkten är om incidenten har sitt ursprung hos någon av nätverks-, säkerhets- eller datacenter-teamen så tar de här verktygen sin utgångspunkt i användaren. Det kallas UEBA, eller User & Entity Behavioral Analytics.

Ett verktyg som t ex Palo Altos Cortex XDR kan alltså samla in data från loggar på många håll och skapa en eller ett fåtal incidenter, istället för en hel uppsjö utspridda hos olika team. Det gör det möjligt att spåra incidenter på ett mycket effektivare sätt, men gör också att team kan samarbeta med att spåra och hantera sårbarheter. Verktyg av det här slaget kan alltså fungera som en brygga för att få teamen att samarbeta.

Steg 2: Bättre överblick med automatisering

Att få en överblick på hela din it-miljö och säkerhetsincidenter på det här sättet gör att automatisering, och maskininlärning, går att implementera på ett effektivt sätt. För även om du skulle ha öppna API:er hela vägen, eller en helt homogen miljö, så är det ohållbart att hantera allt jobb manuellt.

Steg två är alltså automatisera därför att visibiliteten, eller överblicken, bara blir god om du har något som samlar ihop all information först.

– De här verktygen kan gå igenom loggar automatiskt vilket givetvis sparar mycket tid. Som en första instans har du alltså maskiner som går igenom och kurerar informationen från loggarna. Först när det här steget gjorts så visualiseras det för säkerhetsanalytikern. Automation sparar inte bara enormt mycket tid utan gör att analytiker kan fokusera på att hantera incidenter, men gör också arbetet för analytiker betydligt mer intressant. T ex Exabeam Smart Timelines™ ger flera nivåer av automation som skildrar användar- & enhetsbeteende och identifierar onormalt beteenden och risker. Exabeam Smart Timelines™ är precis som Palo Alto Networks Cortex XDR samt Cortex XSOAR kritiska verktyg för att leta efter hot, undersöka och återställa.

Väsentligt mindre tid går alltså åt enformiga uppgifter som att gå igenom loggar och kan istället ägnas åt strategi, planering och orkestrering.

Som exempel nämner Marcus Fredlund Palo Alto Networks och Exabeam.

Båda leverantörerna har verktyg där man får en god överblick för att hitta samt spåra hot och abnormaliteter. Därefter kan man automatisera sin hantering av incidenter.

Steg 3: Bygg ett automatiserat immunsystem

Med de första två stegen på plats har vi ett system som på ett effektivt sätt kan upptäcka och visualisera incidenter i din it-miljö. Nu återstår att hantera incidenterna och det sista steget handlar om att automatisera hanteringen av en stor del av dessa också.

– Vi kan likna det vid att skapa ett immunsystem. Vi har nu en holistisk syn på vår it-miljö, vi har koll på hela kroppen och inte enbart ett ben eller ett öra. Nu vill vi automatiskt kunna reagera på de hot som kroppen utsätts för.

Precis som din egen kropp så utsätts din it-miljö för ett mer eller mindre konstant bombardemang av antigener. Ofta handlar det om samma eller väldigt snarlika åkommor som vi råkar ut för och det är dessa vi kan hantera automatiskt.

– Precis som inom själva spårningen av incidenten så går det också åt mycket manuell tid att hantera dem. Men oftast behövs inte det. Vi känner igen många av incidenterna sedan tidigare och så länge vi känner igen beteendet så kan vi använda maskininlärning för att hantera dem istället.

Med assistans av en sk SOAR (Security Orchestration, Automation & Response) och automatiserade playbooks för specifika incidenter kan vi få mycket snabbare hantering av dessa händelser. Kod är alltid mycket snabbare än den mänskliga faktorn, men snabb respons är inte allt. Erfarna analytiker kan hantera samma typ av incidenter olika tack vare den mänskliga faktorn, men med automatiserade playbooks kan vi förutom att få snabbare respons även skapa konsekvent hantering av insidenterna.

Med alla tre stegen på plats så är det väldigt mycket tid och resurser som inte behöver läggas på rutinuppgifter. Istället kan du lyfta blicken och ägna tiden åt de frågor som maskinerna, än så länge, inte hanterar så bra – som strategi samt hantering av de incidenter som är synnerligen allvarliga eller unika.

Vad hindrar dig att lösa den gordiska knuten?

Tre steg kan alltså lösa den gordiska knuten, så vad är det som hindrar?

– Det som oftast står i vägen är att verktygen kostar pengar. Det är ju helt klart en initial kostnad för det här, men i längden handlar det ju om att spara pengar och få ett betydligt bättre dataskydd. Det här värdet kan inte överskattas för många företag. Så mitt tips är att vara proaktiv i den här frågan, allt för många råkar ut för något riktigt jobbigt innan de reagerar. Det om något kostar pengar, avslutar Marcus Fredlund.

 

Läs mer om Palo Alto Networks

Läs mer om Exabeam

Palo Alto Networks och Exabeam i samarbete

Kontakta mig!

Contact Form


All fields with * are mandatory.