Larmhantering, events och åtgärder måste automatiseras!

av | okt 21, 2020 | Cybersäkerhet, Nätverk och komunikation

Göran Blomquist IT-säkerhetskonsult

Så hittar vi avvikelser i vår loggdata, och gör rätt åtgärder.

Mera Visibilitet

Naturligtvis beror det på vilket syfte vi har med vår logg och vad vi vill se. Vi har kunder som använder Elk, Elasticsearch och Kibana för att kategorisera logg från olika källor samt egna filter-definitioner för att kunna plocka fram exakt den logg som är aktuell för kunden och kundens utrustning i fråga för att snabbt fatta beslut. En del exempel är enormt snygga men det kräver sin man/kvinna att konfigurera. Vi som inte är så kluriga får kanske använda kommersiella alternativ.

Automatisering

Fortfarande – är vi intresserade av all logg? Troligen inte, utan i de flesta fall är vi intresserade av avvikelser från det normala. Vad är det som inte är normalt och hur skall vi förhålla oss till det? Ett exempel är en analysator från Fortinet som många av våra kunder använder och som vi själva nyttjar för logg-analys från vår datacentermiljö. FortiAnalyzer ger oss inte bara möjlighet att se logg. FortiAnalyzer har också en modul för att hantera och reagera på händelser.

Forti Analyzer

En händelse kan vara flera felaktiga inloggningsförsök från samma klient, infekterad PC / MAC, access mot en skadlig applikation, anslutningsförsök mot C&C Botnet eller kanske bara en VPN-tunnel som har gått ner. Beroende på vilket larm kan vi konfigurera vilken ”action” vi vill ta. Är det en VPN-tunnel som gått ner vill vi kanske ha ett larm i vårt ärendehanteringssystem, har vi klienter som försöker ansluta mot ett botnet vill vi kanske skicka ett mail till säkerhetsansvarig. Ett annat exempel är när Ransomware upptäckts och vi vill isolera klienten så fort vi kan och det vill vi göra oavsett om vi ligger och sover, fikar eller intar en god middag.  Fortinet har den möjligheten att återkoppla till brandvägg, switch eller accesspunkt för att isolera klient och förhindra vidare spridning av krypteringsvirus eller andra otäckheter.

Detta görs via FortiFabric. FortiFabric har möjlighet att integrera med andra tillverkare via API och det finns mängder av redan fördefinierade ”connectors” från kända tillverkare. Konfigurationen av reaktion på händelser görs via ”Event Handler” och ”SOC Modulen” via så kallade ”playbooks” som är ett grafiskt interface för att tydliggöra händelser och vilken action som skall tas.

security-fabric

Baseline

Det finns tyvärr en hel del trafik som vårt perimeterskydd inte kan se på grund av kryptering eller att det inte går att avgöra om trafik är god eller ond. Om vi vill se och upptäcka alla hot så måste vi först veta hur vi beter oss i normala fall. Det har inte så mycket med att storebror ser dig och att vi loggar all trafik, utan det handlar om att reagera på avvikelser. För att undvika ”false positives” så krävs det rätt mycket logg och från flera källor på samma sätt som det krävs ett betydande underlag när man gör en statistisk undersökning. Det är också av stor betydelse att det finns en automatiserad process i de SIEM-verktyg vi använder och att vi blir varnade när något avviker från normalt beteende.

Klassiskt exempel: Nisse ansluter till arbetet via SSLVPN (vilket händer titt som tätt) så än så länge är det ingenting konstigt. Anslutning sker från ett annat land, inte heller så konstigt… Malta! Jo, där finns ju fantastiska vandringsvägar, fina hotell, ett Casino…. Kanske inte heller så konstigt, men det blir en ökad ”riskpoäng” i tex Exabeams SIEM-verktyg och vi har en varning i systemet, men fortfarande inte något konstigt. Men Nisse var ju inloggad för 2 timmar sedan… hur hann han dit? Nu vill jag att det skall lysa RÖTT! I ett perimeterskydd är all denna verksamhet ”legal” och genererar inga varningar. Ett annat exempel är inloggningsförsök mot företagets ekonomisystem från en användare som inte är med i gruppen ”ekonomi-admins”. Varning igen!… Uppladdning av filer! Inga problem, men till en filserver som han aldrig tidigare anslutit till. Nej – nu vill jag att Nisses användarkonto stängs av och att användaren kastas ut från vårt nät! Och det vill jag trots att jag sover, spelar kort eller äter en god middag.

Larmhantering, event-korrelering och åtgärd måste automatiseras!

Exempel på SIEM lösningar är Exabeam,  FortiSIEM, Auvik med fler. Vill ni veta mer? Prata med oss på Cuebid så hjälper vi gärna till.

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Next Gen Account Manager

Next Gen Account Manager

Om Cuebid Cuebid är ett tillväxtföretag och har sedan starten 2009 växt till en väletablerad och nationell aktör inom nätverk-och säkerhetstjänster som kompletteras med 24/7 helpdesk-och supporttjänster, kompetensledande konsulter, IT utbildningar och ett starkt sälj-...

Applikationssäkerhet – vems ansvar är det?

Applikationssäkerhet – vems ansvar är det?

En gång i en grå forntid så hade man en ganska naiv syn på IT-säkerhet, men man insåg med tiden att man var tvungen att revidera den synen. Saker som brandväggar och antivirusskydd på klienter blev en normal del av IT-miljön men allteftersom de metoder som används av...

Låt den rätte komma in (eller ut)

Låt den rätte komma in (eller ut)

Min kollega och vän skrev för ett par veckor sedan om vikten att kunna återställa förlorat data och vikten av att ha planerat för återställning, design och automatisering för att kunna återställa data. Och som Fredrik nämner så är det bara en pusselbit i kampen mot...

VMworld 2021: ”We’re proud to announce…”

VMworld 2021: ”We’re proud to announce…”

Aldrig tidigare har jag vart med om så mycket nyheter under VMworld! Ett tag blev det nästan komiskt att varje talare på den inledande ”General Session” och respektive keynote sa just frasen ”We’re proud to announce…”. General Session var för övrigt var en av de bästa...

Kaseyaattacken i retrospekt

Kaseyaattacken i retrospekt

När jag gjorde värnplikten, känns som hundra år sedan nu, så fanns det en allmänt vedertagen ”sanning”. Fienden skulle landsätta sina trupper i Sverige på midsommarafton, när minst halva befolkningen var satt ”ur stridbart skick”.  Det här var bland det första...

Har du koll på ditt nät?

Har du koll på ditt nät?

Hur många switchar har jag? Hur belastad är min Internetförbindelse? Vilka av mina enheter kör en viss release av programvara? Listan kan nästan göras oändlig… Att ha ett bra övervakningsverktyg är inget man skall underskatta, det kan underlätta och stötta din...