Suksessfulle hendelser skjer i tillatt trafikk. Og de ligger i loggene deres, om dere har dem
Alle systemer fungerer jo, så da er vel alt ok? Har dere faktisk sjekket?
Indicator of Compromise (IoC)
Eller på norsk, en indikator på kompromittering, innbrudd eller hendelse.
- Dere er på internett.
- Dere er digitale.
- Dere vet at truslene eksisterer.
- Dere vet at man alltid har sårbarheter.
Til sammen danner dette risiko. For å adressere denne risikoen finner man tiltak, typisk ved sikkerhet, på alt fra mennesker og prosesser til teknologi. Kanskje tjenesteutsetter man eller kjøper tjenester i skyen. Ting er komplekst, men sikkerheten er allikevel meget sentral og viktig.
Hva om noe uønsket skjer? Hva om en trusselaktør finner en sårbarhet hos dere, bevisst eller ubevisst? Hva om denne aktiviteten identifiseres av sikkerhetsteknologien og IoC-signaturer? Hva gjør man med disse indikatorene på kompromittering eller innbrudd?
Logger vs alarmer
Logging brukes som et begrep om det å lagre informasjon om ting som skjer. Loggene brukes svært sjelden, typisk etter en hendelse. Men deler av loggene er alarmer. Og alarmer, tilsvarende innbruddsalarmen i huset eller bilen din, eller i et kjernekraftverk, bør og må få oppmerksomhet.
Følger dere med på alarmene i datasystemene? IoC-ene. Indikatorene på at dere kan ha uønskede hendelser på gang? Disse kan komme fra serverne, PC-ene, nettverket med brannmurene eller fra skytjenestene. Hva med alarmer fra deres tjenesteleverandør? Har tjenesteleverandøren alarmering på plass? Får dere informasjon om alarmer som skjer hos tjenesteleverandøren?
Suksessfulle hendelser skjer i tillatt trafikk
Normal aktivitet skjer. Den skjer i tillatt trafikk. Den skjer i løsninger vi mennesker har satt opp og gitt tillatelser i, og det er i denne trafikken suksessfulle hendelser skjer. Det er veldig viktig å ikke tillate for mye.
Man har sikkerhet og man tenker at denne stopper skadelige hendelser. Vel, den gjør og skal gjøre det. At ting stoppes, gjør angrepet/ innbruddet/ tyveriet/ skadegjøringen mislykket. Men hva om de kriminelle ikke gir seg. Hva om de bare fortsetter? Hva om de rett og slett logger inn med noens brukernavn og passord eller misbruker en ukjent sårbarhet? Hva om de gjør aktivitet der det mangler sikkerhet og alarmering? Da går typisk ingen alarmer og skade kan begynne å skje. Men de som angriper utløser nesten alltid en eller flere alarmer i forsøkene.
En alarm (IoC) kan være en viktig indikator på at noe er i ferd med å skje. Er det en phishing alarm eller en skadevare alarm? Er det en alarm om at noen prøver å misbruke en sårbarhet? Er det en innbruddsalarm som indikerer at noen prøver å logge inn, men har feil brukernavn og passord? Det kan være mange forskjellige alarmer, men de er der for en grunn. Følg med på dem. Kan dere ikke gjøre det selv, så bør man få hjelp til å følge med på dem for å se om det skjer noe mistenkelig i den tillatte trafikken. Det er mulig å sikre alarmering på avvik fra normal adferd i tillatt trafikk også.
Det er forskjell på alarmer og logger. I alarmene ligger de mislykkede angrepene. I loggene ligger de suksessfulle.
Nasjonal Sikkerhetsmyndighet sier følgende om viktigheten av logging
«Norske virksomheter må forholde seg til et vidt spekter av trusler i det digitale rom. Skade kan påføres IKT-systemene både som følge av utilsiktede handlinger som feil og uhell, men også av tilsiktede handlinger som spionasje og sabotasje. For å beskytte mot trusler av alle typer er det kritisk at virksomhetene kan oppdage og håndtere en hendelse. Etablering og analyse av logger er en forutsetning for effektiv håndtering av hendelser.»
Man må forholde seg til verdier, trusler, sårbarheter, risikoer, risikovurdering, tiltak, sikkerhet, logger og alarmer. Vår oppfordring er å sikre tilstrekkelig logging, for så mye som mulig, så lenge som det er fornuftig for dere - 3, 6, 12 måneder
Følg med på alarmene. Sikre at noe eller noen tar til seg alarmene og reager på dem. Det kan avgjøre om dette blir støy eller katastrofe.
Det er også viktig å sikre at teknologien på servere, klienter, i skyen, hos leverandøren og brannmuren er satt opp i tråd med anbefalinger fra produsent eller uavhengige, som f.eks. Center for Internet Security. Da skal man få full logging, inkludert alarmer. Prøv å samle disse loggene og alarmene et sted. Gjennomfør analyse og integrasjoner på denne informasjonen og sikre at avvik rapporteres til mennesker og systemer som kan ta dette videre til undersøkelse og håndtering.
Det er viktig å ta truslene, sårbarhetene og risikoene på alvor, og ta loggingen og alarmene på alvor. De aller fleste må ha hjelp til dette. Spør om bistand og hjelp.