Gennem det seneste år har to ud af tre danske virksomheder oplevet IT-sikkerhedsbrud. Nogle hændelser tages i opløbet, mens andre udvikler sig kritisk. Ligeledes har en række internationalt profilerede angreb lammet offentlige myndigheder og koncerner, ofte med alvorlige konsekvenser for borgere, samarbejdspartnere og kunder.
”Dertil kommer naturligvis alle de angreb og hændelser, der ikke kommer til offentlighedens kendskab eller som man helt enkelt aldrig opdager. Eskaleringen er stærkt medvirkende årsag til, at IT-sikkerhed endelig er kommet på topledelsens dagsorden. Men mange organisationer er i tvivl om, hvordan de tilrettelægger og målretter sikkerhedsindsatsen, så de opnår maksimal visibilitet og effekt,” siger Søren Haven, VP, Atea Security.
Voksende sikkerhedsinfrastruktur svækker overblikket
Traditionelt har virksomheder udbygget den eksisterende sikkerhedsinfrastruktur i takt med, at trusselsbilledet ændrer sig. Men når antallet af løsninger og deres kompleksitet stiger, svækkes evnen samtidig til at identificere og reagere effektivt på trusler.
”Selv IT-sikkerhedsafdelinger med ressourcer i koncernklassen har svært ved at bevare overblikket over en vildtvoksende løsningsportefølje. Samtidig er det ekstremt ressourcekrævende at prioritere og håndtere IT-sikkerhed effektivt på egen hånd – vel at mærke i det omfang man overhovedet kan skaffe de rette ressourcer. Før eller siden rammer alle muren,” konstaterer Søren Haven.
Det øger behovet for en ny tilgang til sikkerhedsindsatsen, og derfor har ATEA indgået et nordisk strategisk partnerskab med IBM om at stille komplette, målrettede og branchespecifikke Managed Security Services til rådighed.
Webinar: Tør du håndtere cyberberedskabet på egen hånd?
Konstant indsigt og grundlag for hurtig handling
Den ene del af pakken er er IBM Cloud Pak for Security, som er en åben, automatiseret sikkerhedsplatform, der opretter forbindelse til virksomhedens eksisterende datakilder og miljøer. Det giver konstant indsigt og grundlag for hurtigt at identificere og handle på trusler og potentielt problematiske hændelser.
Den anden del er ATEAs Security Operations Center (SOC), som overvåger og håndterer kundernes IT-sikkerhed i et eksternt miljø.
”ATEAs SOC beskæftiger Nordens største sikkerhedsteam, der arbejder året rundt, 24 timer i døgnet med netværksovervågning, analyse af trusselsbilleder og forebyggelse. Det betyder, at kunderne drager fordel af en sikkerhedsinfrastruktur og et dedikeret hold erfarne specialister, der ikke laver andet end at overvåge meldingerne fra bl.a. IBM Cloud Pak for Security om hver enkelt af de tilsluttede organisationer,” forklarer Lars Kryger, Security Manager, ATEA.
Målrettet sikkerhed med udgangspunkt i organisationens behov
En stor del af indsatsen handler i sagens natur om at identificere og handle på generiske trusler og undersøge, om der eksempelvis er en god grund til, at en privilegeret en sen aftentime logger på fra Minsk. Derfor prioriterer ATEAs sikkerhedsteam at lære den enkelte virksomhed godt at kende, og her er det afgørende at have det rette værktøj til rådighed.
”IBM Cloud Pak for Security gør det nemmere for vores sikkerhedsteam at kortlægge en normaltilstand for hver enkelt organisation. Samtidig får de god hjælp af tjenestens automatisering og AI til at identificere anormaliteter og dermed potentielle trusler,” siger Lars Kryger.
Samtidig må man gøre sig klart, at selv om hele organisationen skal beskyttes, så er det ikke muligt eller ønskeligt at beskytte alle dele lige godt. Derfor handler det for hver organisations vedkommende om at kortlægge, hvilke systemer, data og dele af en virksomhed, der er særligt sårbare eller missionskritiske – samt at prioritere indsatsen herefter. Hvilket er en essentiel del af det arbejde, ATEAs SOC udfører i samarbejde med sine kunder.
Webinar: Tør du håndtere cyberberedskabet på egen hånd?
Branchespecifikke fingeraftryk styrker indsatsen
Samtidig gør samarbejdet med IBM, at ATEAs SOC-kunder kan abonnere på og fleksibelt tilpasse sikkerheden branchespecifikke trusselsprofiler og angrebsmønstre.
”For ud over generiske trusler, som kan ramme alle virksomheder, er der tendens til at angreb på eksempelvis finansielle virksomheder deler karakteristika, som gør dem lidt lettere at identificere. Her er så at sige nogle ”fingeraftryk”, man med fordel kan holde øje med – lige som man skal holde øje med, hvordan de ændrer sig,” tilføjer Lars Kryger. Både han og Søren Haven understreger dog, at det er umuligt at afværge samtlige angreb.
”Men vi tager rigtig mange angreb i opløbet. Og når et angreb går ind og eksempelvis kompromitterer en adminkonto, har et effektivt, erfarent og velfunderet SOC-team de bedste forudsætninger for at detektere angrebet, før det når at få konsekvenser. Det er ganske væsentligt,” siger Søren Haven.
For der går i snit 240 dage fra hackeren trænger ind til angrebet effektueres, og i langt de fleste tilfælde har virksomheden ingen anelse om, hvad der er på vej, før skaden er sket og angriberne har låst centrale systemer ned.
”Så hvis vi detekterer og lukker angrebet ned efter tre dage i stedet for tre eller seks måneder, så har vi gjort et godt stykke arbejde – og potentielt sparet virksomheden for en rasende masse penge og besvær,” konstaterer Søren Haven.