Artikel top billede

Foto: Burntright

Lær at bruge vagthunde til at passe på dit netværk

Viden om hvad, der egentlig sker i netværket, er guld værd i sikkerhedsarbejdet, og informationerne ligger lige for næsen af dig.

Læs også:
Fejl 40 er blandt de værste sikkerheds-mareridt

Ved du hvad, der sker i dit netværk? Hvis ikke, så er svaret indenfor rækkevidde.

Det finder du i dine log-filer, der fortæller alt om dine datas bevægelser.

Logfilerne i et travlt netværk kan være gigantiske og uoverskuelige, men der er masser af informationer, som ikke mindst er til gavn for it-sikkerheden.

Det første stykke mod forståelse af log-filer handler om strukturering.

"Ved at samle informationerne i en overskuelig brugerflade kan man hente masser af nyttige informationer om den daglige trafik, login-fejl eller til statistik," fortæller Peter Jelver, der er specialist i log-filer og teknisk chef i firmaet eSec.

Han peger dog på, at alt det, der ikke er normalt, faktisk er mere interessant.

"Det er i afvigelserne, man finder svar på svagheder i sikkerheden. Når netværkstrafikken adskiller sig fra det normale, kan det nemlig være tegn på it-kriminalitet."

"Hvis din firewall pludselig rummer oplysninger om trafik på mærkelige porte eller til mystiske servere, kan det være et tegn på, at du ikke længere har kontrollen over trafikken. Det er typisk botnet-aktivitet, der kræver handling," fortæller han.

Log-fil-analyse skal ses som et supplement til den eksisterende it-infrastruktur med blandt andet antivirus og firewalls.

"Det er en passiv beskyttelse, men den er effektiv, når de andre sikkerhedsfunktioner ikke slår til, eller når der skal efterforskes," siger Peter Jelver.

Du kan selv følge loggen

Peter Jelver peger på, at danske virksomheder kan blive meget bedre til at bruge log-filerne i deres sikkerhedsarbejde.

"Firmaerne er godt rustet med antivirus og lignende sikkerhed, men log-filerne kan ofte virke som et uoverskueligt projekt at give sig i kast med."

Han peger dog på, at det ikke er den store tekniske udfordring, men i stort omfang handler det om manglende viden på området.

"Alle kan købe standard-software, der kan filtrere og analysere på log-filerne. Det kan sammenlignes med et spam-filter. Problemet er, at få det konfigureret, så det passer til netværket, så der ikke slipper for mange falske positiver igennem. Det kan drukne projektet," vurderer han.

Det handler også om, at få uddannet medarbejderne eller alternativt at outsource opgaven.

"Den automatisering, der foregår i programmerne er god, men ikke tilstrækkelig. Der skal en menneskelig vurdering hen over i de kritiske tilfælde, og det kræver, at man ved, hvordan der skal handles, når problemerne opstår. Ellers er log-overvågning ligegyldig."

Derfor anbefaler han, at man giver den fornødne uddannelse af brugerne samt stiller personer til rådighed for opgaven.

"Man skal være opmærksom og hele tiden følge med. Det er mange firmaer løbet sur i, fordi det kræver mange folk," siger han.

Log-overvågning kan implementeres i firmaet ved at købe standard-software som installeres lokalt. Der er også cloud-tjenester, hvor virksomhedens logfiler samles og præsenteres i et brugerinterface.

Desuden kan man naturligvis købe hele pakken med opbevaring, analyse og alarmering fra et konsulenthus, hvis man har behov for det.

Hvad har du i din log i dag?

Der er sket et skifte i de angreb, som rammer firmaerne i dag i forhold til tidligere.

"For nogle år siden var det primært angreb mod huller i programmer eller orme. I dag er det langt mere populært at slå til mod Apache-servere med PHP-programmer. Vi er gået mod, at de net-kriminelle forsøger at tiltvinge sig adgang til databaseindhold, hvilket eksempelvis Sonys problemer er et eksempel på," fortæller Peter Jelver.

Han vurderer samtidig, at de største sikkerhedsproblemer som han finder i log-filerne skyldes script kiddies, som bruger hacker-programmer, der kan købes på nettet og de såkladte fejl-40, hvor brugeren handler forkert.

"Der er mange angreb fra 'teenageværelset', og det fylder meget i virksomhederne, mens angreb fra mere professionelle kilder ofte handler om at få adgang til kreditkortoplysninger eller konti. Vi ser desuden angreb eller spionage fra stater, men det har vi heldigvis ikke så meget af i Danmark."

Læs også:
Fejl 40 er blandt de værste sikkerheds-mareridt




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere