SecurityWorldMarket

2023-01-26

Debatt: ”Alla vill ha överblick över sin IT – men glömmer nätverket”

Roman Cupka har under mer än 15 år arbetat med nätverk, infrastruktur och cybersäkerhet. På senare år har han fokuserat på säkerhetsarkitektur och speciellt på nätverksövervakning, dataanalys och automatiserad incidenthantering.

Vad är förklaringen till att vi sett så många allvarliga dataintrång den senaste tiden? En av orsakerna är att många företag inte hunnit genomföra de förändringar som krävs när medarbetarna jobbar på distans, trots att pandemin började för flera år sedan. Idag är bristen på överblick över nätverket det största problemet för många.

Så inleder Roman Cupka , seniorkonsult på Progress, den debattartikel som följer nedan.

Än så länge har flytten till att jobba på distans tillsammans med molnmigrationen inneburit mindre kontroll över verksamhetens viktiga data. Många IT-ansvariga vet detta: De tyckte de förlorade kontrollen när pandemin började och de har ännu inte fullt ut återfått den.

Idag vet vi dessutom att distansarbetet och användningen av molntjänster kommer fortsätta. Inte på grund av viruset utan för att många medarbetare vill ha det så – rentav kräver det. En annan viktig trend är att många verksamheter lägger mycket fokus på kapitalanvändning och kostnader för verksamheten.

Visibilitet har varit ett buzzword i flera år

För att få kontroll har företagen satsat på visibilitet. Detta blev mirakelmedicinen och så har det nu varit i flera år.

Företagen skaffade sig alltså de verktyg som behövdes för att se vad som sker på enheter och i molnet. På så sätt kunde mer intrång via till exempel mobilen upptäckas.

För intrång sker främst via enheterna. Nätbaserade applikationer är också en källa till osäkerhet, till exempel genom falska inloggningar på olika molntjänster.

Den döda vinkeln finns kvar

De senaste åren har alltså perimeterskydden och perimeteröverblicken stärkts, trots att det samtidigt varit mycket tal om Zero Trust. Delvis är det ett budgetproblem, delvis har detta trots allt upplevts vara den mest akuta åtgärden som behövts genomföras. Trenden är dock samtidigt att perimeterskyddet försvinner, bland annat eftersom den digitala transformationen och molnet gör att till och med en mobiltelefon har blivit en del av perimetern.

Tyvärr kan dessa lösningar inte ge en överblick som når överallt, utan det kvarstår en del rätt så mörka vrår. För när något tar sig in på enheter eller molnet så vet du inget om vad som sedan händer på nätverket när användare och servrar använder applikationer och lagrar data.

För att få full överblick krävs det även att nätverket övervakas – i realtid och på ett intelligent, automatiskt sätt. Detta kan utnyttjas av cyberbrottslingarna.

Vad som helst kan ske på nätverken

Den laterala förflyttningen genom nätverket är ofta en viktig av intrången. Angriparna letar sig fram mellan olika delar av nätverket, t.ex. från IT-system till OT-system eller vice versa.

Utan överblick vet man bara att något har hänt i ett av systemen men det är näst intill omöjligt att ta reda på varifrån intrånget kom i realtid. Därmed finns det heller ingen möjlighet att avgöra om ett intrång snart också kommer märkas på annat håll i verksamheten.

Det behövs alltså bättre alternativ som ger möjlighet att upptäcka misstänkta händelser och utreda vad som hänt när ett intrång har skett. Delvis eftersom hotet kan finnas kvar på nätverket, där det förändras och förflyttar sig. Dessutom vill man undersöka och ta reda på så många detaljer som möjligt om hur intrånget kunde ske.

Dagens intrång är alltför sofistikerade för gårdagens lösningar

Intrången är idag ofta väldigt softistikerade. Det kan handla om helt nya Zero Day-attacker eller om social engineering där man kartlägger medarbetare och använder så kallad spear phishing, alltså lösenordsfiske som är riktat till en specifik person, för att hitta en lucka i skyddet. En motiverad angripare med gott om resurser kommer vanligtvis hitta en väg in.

Vad behövs för att stoppa intrången och förhindra att attackerna sprids i nätverket? Det räcker inte med bara brandväggar och endpointsskydd (EDR eller XDR). Idag blir även nätverksövervakning (NDR) en allt viktigare del av att ha fullständig överblick, och som dessutom är nödvändig för övervakning och analyser i realtid av nätverket.

I slutänden så fungerar övervakningen och styrningen av säkerheten (som t.ex. med SIEM) bara bra om man har tillgång till data av hög kvalitet – och inte bara från endpoints utan även från nätverket. Det blir då också mycket enklare att automatisera säkerheten, och allt från att förebygga attacker till att upptäcka och stoppa dem.

Alternativet är att fortsätta leva med en hög nivå av intrång. Cyberbrottslingarna vet idag mycket väl hur de ska agera för att ha störst sannolikhet att gömma sig. Det är ett av skälen till att de använder nätverket så mycket.

Roman Cupka
Seniorkonsult, Progress


Nyheter från startsidan
Till "Företagsnyheter"  

Leverantörer
Ändra marknad
Global North America Middle East United Kingdom Sweden Norway Denmark
Till toppen av sidan