Med helt ny SOAR-teknologi fra LogPoint kan også de små og mellemstore virksomheder nu automatisere deres håndtering af cyberangreb.
Hvad har amerikansk fodbold og cybersikkerhed til fælles? I begge discipliner kan du med fordel arbejde efter en playbook, når modstanderholdet angriber. Eksempelvis når en cyberhændelse dukker op i form af et phishing-angreb, fordi en medarbejder har åbnet en virusinficeret vedhæftet fil.
”En playbook er en struktureret måde at håndtere sine observationer på, når man skal reagere på et angreb. For de fleste virksomheder er det en kæmpe udfordring at efterforske cyberhændelser, fordi der skal stilles mange spørgsmål, og de skal stilles i en bestemt rækkefølge, for at du kan håndtere hændelsen optimalt,” siger Christian Have, CTO i det danske cybersikkerhedsfirma LogPoint.
Ved at føje helt ny SOAR-teknologi til sin SIEM sikkerhedsplatform, som pt. benyttes af mere end 1.000 virksomheder og organisationer i hele verden, tilbyder LogPoint nu både playbooks til håndtering af cyberhændelser og automatisering af en stor del af efterforskningen og udbedringen.
Efterforskning og håndtering
LogPoints SIEM – en forkortelse for Security Information Event Management – er en cybersikkerhedsløsning, som indsamler og analyserer alle logfiler – virksomhedens digitale DNA – i realtid for at afdække uregelmæssige mønstre i datatrafikken og alarmere om bevidst eller ubevidst uhensigtsmæssig brugeradfærd, der skader virksomheden.
SOAR er en forkortelse for Security Orchestration Automation and Response. Hvor LogPoints SIEM er systemet, der opsamler data og gør virksomheden i stand til at finde angrebene, f.eks. en phishing-mail, sikrer SOAR evnen til at strukturere den måde, virksomheden efterforsker og håndterer hændelsen på.
“Orchestration, fordi vi gør det nemt og overskueligt at administrere virksomhedens forskellige sikkerhedsteknologier. Skal du slukke for en bruger, mens du undersøger en hændelse, eller skal du sende en mail til HR? Alle de spørgsmål hjælper vi dig med at besvare. Automation, fordi vi automatiserer opgaven med at finde ud af, hvor mange der har modtaget den føromtalte phishing-mail, og vi automatiserer herudover sletningen af den i de pågældende indbakker. Og Response, fordi vi ikke kun ønsker at efterforske en cyberhændelse, men også gerne vil kunne sætte ”en prop i” og forhindre, at det sker igen,” siger Christian Have.
Ny strategisk betydning
Med strømlining og automatisering af sikkerhedsarbejdet adresserer LogPoint dermed de store udfordringer, virksomheder kan have i dag, hvor trusselsbilledet hele tiden udvikler sig, og hvor IT-medarbejdere med de rette sikkerhedskompetencer kan være svære at tiltrække og fastholde. Samtidig gør LogPoint, med SOAR, sikkerhedsarbejdet synligt og målbart, og dermed bliver arbejdet med IT-sikkerhed et værdiskabende strategisk område i sig selv og et konkurrenceparameter blandt virksomheder. LogPoint SOAR giver mulighed for at opsamle data om håndteringen af trusler, som gør det muligt at evaluere effektiviteten og tilbyde kunderne nyttige industri-benchmarks.
”Før arbejdede virksomheder med IT-sikkerhed, som var det brandslukning. Når der kom en hændelse, smed man alt, hvad man havde i hænderne. Automatisering gør det muligt at arbejde strategisk med cybersikkerhed, og det har mange afledte effekter for virksomheden. Er det godt nok, at virksomhedens playbook for phishing har succes i 80 procent af hændelserne, og hvad skal der til for, at det kan blive endnu bedre? Pludselig kan en CISO tale IT-sikkerhed i øjenhøjde med sin direktion og sin bestyrelse, som ellers nemt kan blive usikre på, om virksomheden er sikker nok. De spejler sig givetvis i større og mere modne virksomheder, som de kan se bliver ramt på stribe. Tidligere var svaret fra CISO’en til direktionen måske, at der blev blokeret 28 phishing-emails om dagen, eller at virksomheden nu havde implementeret den dyreste firewall, man kunne få. Men det er ret beset budskaber, der ikke står i forhold til noget og ikke giver mening for forretningen.”
Kvalificere dialogen
Med et dashboard, som giver et overblik over effektiviteten i sikkerhedsarbejdet, bidrager LogPoint til at bygge bro over den kløft, der ellers kan opstå i virksomheden mellem cybersikkerhed og enterprise risk management. Virksomheden bliver nemmere klog på, om den gør brug af den rigtige teknologi og de rigtige processer.
”Virksomheden kan begynde at benchmarke sig mod andre virksomheder, der måske lykkes bedre, og den kvalificerer dialogen mellem CISO’en og dem, der ejer risikoen. Er sikkerhedsbudgettet for lille, og er der brug for flere medarbejdere? Forbedringer kan måles, og der er mange flere data og mere reel evidens at basere nye strategiske beslutninger på. Ny viden kommer frem. Du måler ikke længere kun på dine logdata, som LogPoint gjorde før. Du måler også på, hvor godt din organisation er i stand til at håndtere de hændelser, den bliver udsat for.”
En akilleshæl mange steder
LogPoint er den eneste sikkerhedsleverandør, som både dækker forretningskritiske applikationer som SAP, og det systemlandskab med netværk og sikkerhed, som disse applikationer indgår i. Forretningskritiske applikationer er ifølge Christian Have en akilleshæl i mange organisationer, og det kan overraske.
”Blandt vores kunder er IT-sikkerhedsområdet forholdsvist modent. Man er klar til at automatisere og tage playbooks ind, og give CISO’en et værktøj til at tale med direktionen og bestyrelsen. Paradoksalt nok er de forretningskritiske applikationer endnu ikke dér modenhedsmæssigt, og det bør de være. Virksomhederne digitaliserer i stor stil med de forretningskritiske systemer som omdrejningspunkt, og det er hackerne klar over. Det har vi set i mange af de cutting edge-angreb, der har været. Hackerne går efter guldet. De går efter de forretningskritiske applikationer.”
Også hackere optimerer
Årsagen til de stadig hyppigere, præcise angreb med store løsesummer for at få krypterede filer låst op skal ikke mindst findes i den tiltagende professionalisering i hackernes økosystem, forklarer Christian Have.
”Strukturen i økonomisk cyberkriminalitet begynder at ligne strukturen i almindelige techvirksomheder. Forskellige personer er ansvarlige for produktion, relationer, omsætning og teknologisk udvikling. Det er en klassisk økonomisk udvikling. Man organiserer sig hen imod den struktur, som viser sig optimal, og der er mange penge i ransomware-angreb, der lammer virksomhedernes hjerte.”
Hackerne er ligeglade
Ifølge Christian Have er problemet, at det ofte ikke er IT-afdelingen, men andre afdelinger i forretningen, der har ejerskab over de forretningskritiske systemer.
”Der er intet galt i, at et stort revisionshus reviderer dine systemer og dit regnskab, men hackerne er faktisk ligeglade med den organisatoriske forankring af dit system. Vi ser et massivt behov for, at den udvikling, vi generelt har været igennem i IT, sker nu i de forretningskritiske applikationer. Der er ikke mange virksomheder, der finder det relevant at kigge efter afvigende brugeradfærd i SAP, ServiceNow eller Salesforce, men det er jo der, at personfølsomme data, kundedata og anden fortrolig information ligger. De forretningskritiske applikationer er en blind vinkel. Når vi spørger økonomidirektører og ledere i andre dele af forretningen, hvordan de beskytter disse data, kommer de ofte med vævende svar, fordi det ikke er entydigt, hvor ejerskabet til de forretningskritiske applikationer er placeret.”
Vi har demokratiseret adgangen
LogPoint er det første cybersikkerhedsfirma, der tilbyder en komplet integreret platform med både SIEM og SOAR til små og mellemstore virksomheder, der normalt ikke er så veludviklede i deres sikkerhedshåndtering.
”Det har givet os noget opmærksomhed fra konkurrenter, at vi kan dække så bredt, for automatisering og orkestrering af efterforskning og udbedring er teknologier, der ofte er dyre og kun de helt store virksomheder forundt. Vi træffer nogle valg på vegne af vores kunder, for der er features i en løsning til en global Fortune 50-virksomhed, som ikke giver mening i en mellemstor dansk virksomhed. Men vi har demokratiseret adgangen til disse teknologier gennem vores konvergerede løsning.”
De data, som opsamles på LogPoints SIEM- og SOAR-platform, er nøglen til en automatisering og benchmarking, som vil styrke virksomhedernes arbejde med cybersikkerhed markant i forhold til deres indsats i dag.
”Når du som mellemstor dansk virksomhed ikke engang har en sikkerhedsorganisation, så er behovet for automatisering formentlig endnu større. Det giver en stor netto-nyttevirkning for de kunder, at de kan ride med og få gavn af de data, der bliver delt og skaber værdi til alle på vores platform.”