Sikkerhet

Slik kan cyberangrep oppdages og avverges – før skaden skjer

Kombinasjonen av avansert teknologi og spisskompetanse på sikkerhet kan potensielt hindre at trusselaktører lykkes med sine cyberangrep.

Slik kan cyberangrep oppdages og avverges – før skaden skjer

– Bare i februar i år håndterte vårt sikkerhetssenter TSOC 67 alvorlige hendelser, forteller Jon Anders Teisberg, produktsjef for sikkerhet i Telenor Bedrift. 

Disse angrepene var i stor grad preget av malware som infiserer virksomheters systemer, for eksempel for å utvinne kryptovaluta, ransomware eller lignende. Men hva som dominerer vil kunne variere fra måned til måned og angrepsbølge til angrepsbølge.

– Det angrepene likevel vil ha til felles, er at de kan medføre stor skade for virksomheten som rammes – og at de vil være mer krevende å oppdage uten tjenestene sikkerhetsovervåkning og logganalyse fra TSOC, sier Teisberg.

– Kunsten ligger i stor grad i å oppdage om det er noe unormalt som skjer – slik at man faktisk får iverksatt tiltak før skaden blir for stor.

Oppdager unormal nettrafikk

Teisberg beskriver Sikkerhetsovervåking-IDS (Intrusion Detection System) som den mest «klassiske» TSOC-tjenesten:

– Her identifiserer vi først i samråd med kunden de mest kritiske punktene i deres interne nettverk. Deretter plasserer vi IDS-sensorer på strategiske steder.

Disse passive sensorene vil ikke påvirke trafikken i nettverket, men lytter, analyserer og detekterer om noe unormalt begynner å skje.

– Dersom det fra virksomheten plutselig begynner å strømme ut informasjon nattestid når ingen er på kontoret, til en IP-adresse på andre siden av jorda, bør ikke det gå uforstyrret under radaren, sier Teisberg.

Jon Anders Teisberg, produktsjef for sikkerhet i Telenor Bedrift
Jon Anders Teisberg, produktsjef for sikkerhet i Telenor Bedrift

Avhengig av menneskelig ekspertise

Sensorene står og utfører avansert analyse og logikk, men overfører også informasjon til sikkerhetssenteret i Telenor – som sitter og følger med døgnet rundt, for nærmere oppfølging.

– Der hvor den automatiserte analysen er usikker, sendes info videre til våre eksperter for analyse. Så klassifiserer de hendelsene etter om det er en rød, oransje, gul eller grønn hendelse, og varsler kunden deretter, sier Teisberg.

Den menneskelige innsatsen fra sikkerhetsekspertene på TSOC gjør det mulig å oppdage dataangrep som ellers ville blitt oversett av helautomatiske sikkerhetsløsninger.

– De kan oppdage nye angrepsformer ved å kombinere markedsledende teknologi, avansert kompetanse og manuelle analyserutiner. Det at TSOC er døgnbemannet gjør at angrep kan oppdages på et svært tidlig tidspunkt, slik at det potensielle skadeomfanget for virksomheten blir minimalt.

Les mer om hvordan Sikkerhetsovervåking-IDS kan sikre din virksomhet ›

Logganalyse fanger opp skjulte trusler

Men er det noe de mange cyberangrepene mot norske virksomheter har vist de siste årene, så er det at trusselaktørene er flinke til å finne alternative veier inn til sine ofres systemer.

– Det er en grad av smartness der ute som gjør det nødvendig å sikre på flere områder. Mange smittekilder og angrep kan ikke nødvendigvis fanges opp via kundens bredbåndsaksess. En stor andel av dagens internettrafikk er kryptert og dermed vanskelig å sikkerhetsmonitorere. PC-er transportes også rundt over alt nå, og en ansatt kan like gjerne bli infisert på reise eller ved å benytte en minnepinne, sier Teisberg.

– Da er kompromitteringen et faktum på innsiden av systemet, uten at noen IDS-sensorer har hatt mulighet til å plukke det opp. Trusselaktørene kan også gjerne bli liggende i skjul på innsiden over tid, og kartlegge systemet for best mulig angrepspotensial på et senere tidspunkt.

Her kommer TSOC-tjenesten Logganalyse inn som en viktig brikke i virksomhetens sikkerhet, sier Teisberg.

– Med Logganalyse vil man kunne merke at det for eksempel gjøres unormale påloggingsforsøk på innsiden av virksomhetens nettverk – eller i hvert fall ha betydelig bedre odds for å avdekke dette, sier han og legger til:

– Dette kan også oppdages før trusselaktørene faktisk begynner å stjele eller manipulere informasjon – som er det tidspunktet der en IDS-sensor ofte avdekker et angrep. Så de to tjenestene utfyller hverandre veldig godt. Ettersom mye av trafikken sensorene analyserer kan være kryptert, er det først ved tilgang til loggdataene at man ser hele bildet, og får en mer komplett sikkerhetsovervåking.

Sikkerhetsovervåking og logganalyse hos TSOC
FØLGER MED: Telenors sikkerhetseksperter i TSOC har kompetansen og verktøyene som må til for å avdekke og potensielt avverge cybertrusler mot bedriften.

Oppdager alvorlige hendelser

Logganalyse utføres av det samme sikkerhetsmiljøet hos TSOC. Disse tar imot logger fra kritisk IT-utstyr hos kunden, for eksempel en ruter, brannmur eller server.

– Det genereres kontinuerlig store mengder loggdata, og for mange virksomheter er dette noe som i liten grad blir fulgt opp: Dataene lagres til en fil, IT-personellet kommer på jobb og ser at filen har vokst, men har i mindre grad tid og anledning til å analysere dette grundigere, sier Teisberg.

Men i alle disse loggdataene kan det ligge alvorlige hendelser skjult, dersom det ikke følges opp på en systematisk måte, påpeker han:

– Og det er nettopp det vi gjør med Logganalyse. Vi kan overføre logger fra for eksempel en firewall inn til Telenor, hvor en stor analyseplattform kverner gjennom hva som skjer, og gjør analyser og sammenligninger med tidligere loggmønstre eller kjente angrepsteknikker.

– Våre eksperter kan så gå inn og analysere funnene, og klassifisere hendelser avhengig av alvorlighetsgrad.

Håndterer hendelser med Aktiv Respons

For å ytterligere styrke sikkerhetstilbudet for sine kunder, lanserer Telenor Bedrift nå tjenesten Aktiv Respons.

– Dette er et viktig supplement på toppen av våre etablerte sikkerhetsovervåkingstjenester. Frem til i dag har vi monitorert, analysert, detektert, klassifisert og varslet – men det er selvfølgelig svært viktig å også respondere på detekterte hendelser, sier Teisberg.

Tidligere har kundens IT-miljøet selv måttet gå inn og for eksempel isolere en PC som er infisert, eller stenge en port i en brannmur.

– Men nå tilbyr Telenor en tjeneste der vi kan gjøre denne typen aksjonene for kunden, i form av Aktiv Respons. 

Viktig å sikre spor

Det holder nemlig ikke bare at noen «rydder opp» IT-driftsmessig etter at en hendelse blir oppdaget, forklarer Teisberg.

– Det er et poeng at dette blir gjort på en sikkerhetsmessig god måte. Når man håndterer en trussel, kan det være viktig at ikke alle spor av hendelsen går tapt, sier han og fortsetter:

– Man vil jo ofte gjerne vite hva slags angrep det er, hvilke svakheter det har basert seg på, hvor lenge har det ligget der, og hvor mye som har gått tapt av sensitiv informasjon til et annet land, for eksempel.

Dette er ikke noe en IT-driftspartner nødvendigvis har nok kompetanse til å gjøre, forklarer han. Derfor er det avgjørende at responsarbeidet gjennomføres av spesialister, for eksempel i form av en CERT – et Computer Emergency Response Team, slik Aktiv Respons tilbyr.

– Dette er også viktig for å kunne dokumentere det som har skjedd, for senere å kunne vinne frem i en eventuell rettssak eller et erstatningssøksmål. Så det å håndtere en hendelse på en god måte, handler ikke bare om å få systemet opp og gå igjen – men også om å ta vare på viktig dokumentasjon.

Les mer om hvordan Aktiv Respons kan begrense skadene ved et cyberangrep ›