Har din bedrift kjørt Verisure testen for digital sikkerhet?

Tematikk:

Dette er IKKE en produktreklame for Verisure, men et eksempel på hvordan integrasjoner og automasjon bidrar til effektivisering og bedret sikkerhet.

«Du vil bli angrepet»

«Alle» sier dette. Statistisk og sannsynlighetsmessig kan dette diskuteres, men prosenten er høy for sannsynlighet. Det viktigste er å være ydmyk og alltid anta 100% at man vil oppleve et innbrudd. Bare da kan man forberede seg godt. Dette er grunnlaget for å skape god sikkerhet. Antar man det motsatte legger man opp til katastrofe.

Integrasjon og automasjon (Verisure)

Får du automatisk melding om dårlig batteri i en sensor i ditt hus sammen med bekreftelse på at nytt batteri er sendt i posten? Det gjør jeg, fra Verisure. Smart for Verisure business. Bra for min sikkerhet.

Verisure testen i deres foretak

Ved en sikkerhetsrelatert hendelse i foretaket eller bedriften, får du og dere automatisk melding om en dette? Blir denne hendelsen automatisk adressert? Det er det store spørsmålet i dagens trusselbilde.

Din bedrifts sikkerhetsovervåking

Stadig flere kjører sikkerhetsovervåking (https://en.wikipedia.org/wiki/Security_operations_center), enten internt i egen organisasjon eller som en tjeneste. Hvilke krav har dere til en denne? Hvordan reviderer dere at den leverer til kravene? Det aller viktigste er kravene man stiller. Dette krever bestillerkompetanse, men man kommer ikke unna allikevel. Ansvaret kan ikke diskuteres, da dette ligger hos ledelsen i ethvert foretak.

Det er mange tilbydere og løsninger, og de er IKKE like.

Alarmer, logger og SIEM

Man sikrer at alarmer og logger samles på er trygt sted. Deretter sikrer man at en SIEM løsning «følger» med på disse dataene, enten ved å ha en egen SIEM løsning eller en SOC leverandør sin SIEM løsning. Og så tenker man at man er «home free». Vel. Hvilke krav har man stilt til denne «SIEM» løsningen? Viktig å ikke gjøre seg selv en bjørnetjeneste og la dette bli en sovepute.

Mange tenker nok logger og SIEM for hendelseshåndtering. Med dagens trusselbilde må man være mye mer proaktiv. Man må anta villede handlinger fra uvedkommende som gjør målrettede angrep, eller misbruker sårbarheter med profitt som mål. Tid er en viktig parameter i denne virkeligheten, da oppdagelse og reaksjon kan ha stor innvirkning på konsekvens.

Ikke la SOC’en bli en sovepute

Mange tenker nok at å ha en SOC er det endelige svaret alene. Men det er ikke enkelt å være SOC. Ingen kunder er like. Det er offentlige, private, store og små kunder og foretak. Det er datasenter, det er tjenesteutsatte løsninger og det er skyløsninger. Det er standard løsninger og det er egenutviklede løsninger. Hvordan skal en SOC kunne være ekspert på alle disse? Har man sikret at SOC’en har tilgang til logger fra alle systemer og løsninger, i eget datasenter, i datasenteret til tjenesteleverandøren og i skyen (både fra SaaS, PaaS, IDaaS, IaaS og mer).

Hvilke krav stiller din SOC til deg? Stiller de krav? De burde stille krav, da de burde være en sikkerhetspartner minst like mye som en leverandør. Still krav om at de må være en sikkerhetspartner på toppen av å være en leverandør.

Har dere tatt 2 timers øvelsen?

MTTD. Mean Time To Detect. Hvor lang tid vil det ta å oppdage en uønsket hendelse?

Sett av 2 timer til diskutering internt for å kartlegge evne til å oppdage? Start prosessen, få sårbarheten på bordet, og start jobben med å adressere dem. Hvor kan ting skje? Hva kan skje? Hvor godt forberedt er man på å oppdage uønsket aktivitet?

Test SOC’en regelmessig (Verisure testen)

Får du automatisk og raskt melding ved en hendelse som helt klart krever menneskelig oppmerksomhet? Skjer det en automatisk «mitigering» av aktiviteten?

Det er de store spørsmålene.

Gjør tester. Lag uønsket aktivitet som må oppdages, regelmessig, i forskjellige systemer, på forskjellige måter. Verifiser at disse oppdages, men også reageres på. Verifiser at prosedyrer og rutiner er på plass hos SOC, men også internt i organisasjon og ledelse.

Chaos engineering

Chaos Monkey (https://en.wikipedia.org/wiki/Chaos_engineering) is a tool invented in 2011 by Netflix to test the resilience of its IT infrastructure. It works by intentionally disabling computers in Netflix’s production network to test how remaining systems respond to the outage.”

Netflix bygde et verktøy for å lage tilfeldige problemer, og rundt dette sikre løsninger for å håndtere det automatisk.

Tenk et Chaos Monkey verktøy i sikkerhetsverdenen. Lage tilfeldige hendelser og verifisere evne til oppdagelse og reaksjon.

Skalerbarhet

Verifiser skalerbarhet og reaksjonsevne. Mennesker evner ikke å håndtere dagens mengde av hendelser. Det er bare en ting som kan håndtere mye og respondere raskt, nemlig maskiner. Dette krever helt nye ting av en SOC. Dette gjør seg ikke selv da mennesker må lage en helt annen plan enn det som typisk har vært forventet av en SOC. Mennesker må tilpasse seg dagens trusselbilde og lage systemer og løsninger som skalerer og evner å håndtere og reagere, raskt. Det er viktig at du som “bestiller” er klar over dette ved kravstilling, bestilling, kontraktskriving og revisjon.

En SOC er IKKE en SOC! Dette handler IKKE bare om produktet, men først og fremst om dere som bestiller, og deretter sikkerhets- og samarbeidspartneren man velger for å levere en SOC tjeneste. Hvilke krav stiller man til kvaliteter og verdier?

Krav ved etablering av av SOC

Her er en liste med krav ved etablering av en SOC. Det er mange ting å tenke på som er viktige for totalen, og kostnaden

Konklusjon

Dagens trusselbilde er skummelt (noe man har sagt de siste 30 år). Utviklingen de siste 10 årene går rett opp digitaliseringsmessig, men da også trusselmessig. Sårbarhetene øker i takt med digitaliseringen, og tiden det tar for kriminelle å gjøre skade går ned. Tid er derfor en meget viktig parameter. Vær ydmyk og anta at noen ikke bare vil gjøre skade på dine verdier, men også evner å gjøre det.

Start med en intern diskusjon (tabletop øvelse), uavhengig av en SOC, der dere diskuterer evne til å oppdage uønsket aktivitet så raskt som mulig. Dette vil få mange sårbarheter opp på bordet, og det er bra, for da kan man gjøre noe med det.

Kjør Verisure testen, regelmessig.

Chaos engineering – Wikipedia

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Har din bedrift kjørt Verisure testen for digital sikkerhet?

Facebook
Twitter
LinkedIn

More to explorer