Fagblogg | NetSecurity

MDR - managed detection and response

Skrevet av Dag Philip Lango Thorbjørnsen | 15. februar 2022 10:00:24 Z

Dag Philip Lango Thorbjørnsen er senior sikkerhetsanalytiker og arkitekt hos Netsecurity. Til daglig jobber han med analyse av angrepsmønster, utvikling av nye playbooks, teknisk salgssupport og hjelper kunder med å finne ut av hvilke muligheter som finnes, samt å jobbe fram tekniske løsninger for sikkerhet inn i det  kunder har av datasystemer fra før.

Tenk deg at…

Tyverialarmen går. Noen er iferd med å bryte seg inn. Men du kan ikke få sjekket det, du vet kanskje ikke om det engang, for du har dratt på hytta for helgen. Heldigvis låste du alle dører og lukket alle vinduer før du dro, og du har forsikret deg mot innbrudd ved at du installerte en alarm med direkte kontakt til en alarmsentral. Vaktselskapet har også installert sensorer og kameraer i huset ditt. De reagerer når alarmen går og rykker ut hvis de ser at noen er iferd med å bryte seg inn og gjøre skade på hjemmet ditt. 

MDR - managed detection and response – handler om å sikre huset ditt: Stenge dører og vinduer og sette på alarmen, slik at uvedkommende ikke kan ta seg inn mens du er bortreist eller sover. Les mer om tjenesten her.

Eneste forskjellen fra den lille historien over, er at huset det er snakk om, er datasystemene dine. 

Enorme pengebeløp går tapt på grunn av cyberkriminalitet

Milliarder av kroner går tapt hvert år på grunn av cyberkriminalitet. De kriminelle skiller ikke på om du er en stor eller liten bedrift. Statlige aktører står ofte bak cyberkriminelle grupper som bruker kortere og kortere tid på å bryte seg inn i systemene dine og ta dataene dine som gisler som de krever løsepenger for å gi tilbake. Andre metoder som brukes, kan være identitetstyveri og endring av kontonummer på fakturaer, eller de kan gjøre skade på en bedrifts omdømme. Det har også vært saker der bedrifter er blitt stengt ute fra kontorene sine og produksjonsfasiliteter er blitt stengt ned, med store verditap som følge.

Er du forberedt på at du kan være den neste?

Flere og flere store og små aktører opplever at bedriftene deres er under angrep, og konsekvensene hvis angriperne får fotfeste, er til dels uoverskuelige. Det er som om innbruddstyver skulle ha tømt huset ditt for eiendeler og brente det ned etterpå. 

Du risikerer å stå igjen med ingenting. 

Der det handler om små og mellomstore bedrifter, kan et datainnbrudd lede til konkurs. 

Alle virksomheter må være forberedt på at de kan bli utsatt for angrep, og med det trusselbildet som eksisterer, er det helt nødvendig å ha en plan for hvordan cyberangrep skal håndteres.

Hvordan kan MDR hjelpe?

MDR – managed detection and response – handler om å utvikle rutiner og systemer for å oppdage hendelser i datasystemer, analysere dem og handle der det er nødvendig. 

Et menneske kan manuelt kun lese og analysere så mange linjer med kode av gangen. Derfor er det helt nødvendig at disse prosessene automatiseres, for i dagens IT-systemer er det snakk om store mengder med data som må analyseres kontinuerlig. 

Informasjonssikkerheten er kun så god som din lytteevne er, og MDR handler om å installere systemer i nettverket ditt som lytter til loggkildene og endepunktene dine. Via automatiserte prosesser blir dataene dine kontinuerlig overvåket og analysert. Hvis de automatiserte prosessene oppdager at noen er iferd med å bryte seg inn i systemene dine, går det en alarm, og et menneske kommer inn for å analysere kilden til alarmen og eventuelt sette i gang tiltak hvis det er snakk om at noen er iferd med å bryte seg inn.  

Hvor tidssensitivt er det å oppdage et datainnbrudd?

Breakout time – tiden som går fra en angriper er nøytral til de er inne i systemet og får gjort skade – blir stadig kortere. Hackere backet av forskjellige regimer bruker så lite som 12 til 18 minutter på å bryte seg inn. Det er med andre ord snakk om at hacking er big business på verdensbasis. 

For de som er kunder hos Netsecurity, vil en alarm som systemene våre ikke kan håndtere automatisk, bli sendt til en analytiker for manuell analyse for å bestemme om alarmen er kritisk eller ikke. Vi opererer ut fra en 1:10:60 regel. Dette betyr at man skal kunne oppdage en hendelse innen ett minutt, idet det skjer, enten det er på et endepunkt, en brannmur eller andre steder. Når en hendelse er oppdaget, har vi ti minutter på å analysere hva det er som foregår, og deretter skal vi ha løst saken og slått ned angrepet i løpet av de neste 60 minuttene. 

I gjennomsnitt fra oppdagelse til respons bruker Netsecurity 2-3 minutter. Man kan gjøre ganske mye skade på 2-3 minutter vil du kanskje argumentere for, men går vi tilbake til tiden nevnt over - at de som bruker kortest tid på å bryte seg inn, bruker ca. 12 minutter på å komme seg inn i systemene dine, så er 2-3 minutter ikke så lang tid allikevel. 

Nesten umulig å finne ut hvem det er som bryter seg inn

En gang i internettets spede begynnelse, var hackerne enkeltpersoner som brøt seg inn i datasystemer fordi de kunne og fordi de var nysgjerrige. Min egen vei inn i bransjen startet der - som hacker fra gutterommet. Min far hadde en Solaris-maskin på kontoret som de hadde glemt passordet til, og jeg ble med faren min på jobben av nysgjerrighet på denne låste maskinen. I siste ende var det jeg som klarte å bryte meg inn i datamaskinen ved hjelp av hacking, og det vekket en interesse og nysgjerrighet hos meg som gjorde at jeg fortsatte å utforske nettverkssikkerhet og programmering. 

I de årene som har gått siden skiftet mot profesjonalisering og regime-backet cyberkriminalitet på slutten av 2000-tallet, har både det digitale landskapet og trusselbildet endret seg fundamentalt. 

Hvis du ikke alt har sikret deg mot cyberangrep, vil jeg anbefale deg at du gjør det så raskt som mulig. Når det skjer, er det så å si umulig å finne ut hvem det er som har angrepet deg, og du kan komme til å måtte betale enorme pengesummer for et håp om å få tilbake dataene dine. Det hender dessverre altfor ofte at det ikke skjer, til tross for at man betaler. 

Når det kommer til cyberkriminalitet, er det bedre å være føre var og sikre seg mot innbrudd, samt lage seg gode rutiner for hendelseshåndtering, før tyvene står i stua di. 

 

Gratis webinar: Sikkerhetsovervåking og respons – slik fungerer det.