UPPTÄCKA

Jämna ut kampen och se hoten innan de slår till

Cybersäkerhetsförmågorna – en praktisk modell för ett starkare försvar

Vi tror inte att Cybersäkerhet handlar inte om enstaka produkter eller lösningar – Vi tror att det handlar om förmågor. Närmare bestämt tre grundläggande Cybersäkerhetsförmågor – SKYDDA, UPPTÄCKA och HANTERA. Genom att utgå ifrån och stärka dessa över tid, kan din organisation effektivt minska risken för allvarlig påverkan vid ett angrepp.

UPPTÄCKA – dina digitala röntgenglasögon

Cyberangrepp sker inte som ett blixtnedslag – de utvecklas över tid. Många attacker inleds i det tysta: angriparen samlar information, testar tillgångar och rör sig försiktigt genom miljön. Även om det i vissa fall kan gå väldigt snabbt, så sker det oftast i flera steg. Ju tidigare vi upptäcker ett intrång, desto större möjlighet har vi att begränsa skadorna.

Många tänker att kampen är orättvis och att angripare enbart behöver hitta en enda liten sårbarhet för att kunna ta sig in, medan vi måste ha koll på hela miljön hela tiden, så att inte en sårbarhet uppstår. Det är visserligen en tuff kamp, men genom att ha en stark förmåga att kunna upptäcka hot och avvikelser så kan du jämna ut kampen. Så fort en angripare gör ett minsta felsteg i miljön skall du veta om det, direkt.

Så ju fler och bättre sensorer du har, desto större är chansen att du reagerar snabbt och kan agera innan ett angrepp orsakar större skada.

Men, för att undvika att inte se skogen för alla träd, så innefattar denna förmåga även din möjlighet att se helheten, fokusera på det som är relevant och att alltid ha full kontroll och insyn… dygnet runt, året om!

UPPTÄCKA – Som ett bra larm- och övervakningssystem

Förmågan att UPPTÄCKA handlar om att veta när något håller på att hända – inte först när skadan redan är skedd. I ett hus innebär det larm, rörelsedetektorer, kameraövervakning, dörr- och fönstersensorer, en granne som har koll när du är borta – och för att öka chansen att upptäcka avvikelser snabbt, ett uppkopplat larm som aktivt övervakas dygnet runt av en larmcentral där experter fokuserat arbetar med att övervaka och agera på risker.

Ju fler och bättre sensorer och larm du, desto större är chansen att du vet om det snabbt och kan agera innan ett inbrott eller en brand orsakar större skada. Detsamma gäller i IT-miljön – utan övervakning och insikt, är man blind för hoten tills det är för sent.

Förmågan UPPTÄCKA är den viktigaste förmågan när det gäller att ligga i takt med de ständigt utvecklande hotlandskapet. Genom att använda den senaste informationen kring nya cyberhot kan du snabbt identifiera och agera på avvikelser och mönster som tyder på att att angrepp kan vara i görningen.

Förmågan Upptäcka vs
Hur ett angrepp ofta går till

Om SKYDDA-förmågan fungerar mer proaktivt, med fokus på att stoppa ett angrepp innan det sker och begränsa möjligheterna för an angripare att ta sig vidare, så fokuserar UPPTÄCKA-förmågan på att snabbt identifiera icke normalt och icke önskvärt beteende i miljön. Har man byggt upp en stark UPPTÄCKA-förmåga så ökar förutsättningarna att upptäcka ett hot eller angrepp redan angriparen har lycktas ta sig in. UPPTÄCKA-förmågan täcker särskilt fasen:

  • Under intrånget – då angriparen etablerar sig och letar efter känsliga mål
  • Före påverkan – för att avbryta attacken innan verksamheten påverkas
  • Vid återkommande angrepp – för att upptäcka försök till återinfektion eller sidoförflyttning

Vilka är de vanligaste bristerna när det gäller förmågan UPPTÄCKA?

Avsaknad av aktiv övervakning för digitala angrepp

Man har inga verktyg eller resurser för att aktivt kunna upptäcka cyberhot. Många har funktioner för att upptäcka fysiska störningar, som problem med nätverksförbindelse och hårdvarufel, men det är inte samma verktyg och system som letar efter rent digitala hot som t ex ett angrepp då systemen i sig fortfarande fungerar till synes helt korrekt. Angrepp upptäcks ofta av en slump eller först när angriparen gör sig till känna.

Man har ingen aktiv 24/7 övervakning på plats

Även om man har verktyg för cyberövervakning (SOC-verktyg) implementerade så saknar man ofta personal som övervakar dessa dygnet runt och som kan agera direkt på eventuella hot.
En stor del av alla angrepp sker på kvällar och helger, då angriparna vet att de har en större chans att få arbeta ostört länge, tills någon är på plats för att både upptäcka och agera.

Överbelastning av loggar

Man samlar in loggar för att kunna övervaka IT-miljön aktivt, men utan rätt filtrering och smarta verktyg som hjälper till att hitta misstänkta mönster finns en stor och tydlig risk att man drunknar i mängden information och där missar det viktiga. Här blir AI ett viktigt hjälpmedel för att snabbt kunna upptäcka även de minsta avvikelserna.

Saknad av korrelation och analys

Man har många system med olika övervakningsfunktioner, men saknar en aggregerad och central vy där man snabbt kan se och tolka helheten. Små signaler i olika system blir svåra att sätta samman, även om de är delar av ett och samma angrepp. Det blir väldigt svårt att hålla koll på och tolka den samlade hotbilden.

Otillräcklig kompetens för incidentbedömning

Användare och system har för mycket tillgång och man gör ingen skillnad på roll och person. En person som har högsta behörigheter miljön eller olika system, använder allt för ofta samma konto för det dagliga arbetet (mail, teams, surfa, etc) som för att administrera miljön/systemen. Kan man komma åt kontot, kan man snabbt ta över hela miljön.

Avsaknad av larm- och åtgärdsrutiner vid misstänkta händelser

Det saknas förberedda och tydliga arbetsrutiner för hot misstänkta händelser skall hanteras och prioriteras. Angripare förlitar sig på att du skall fatta snabbe ej genomtänkta beslut och att du är mer benägen att betala lösensummor om du upplever kaos och panik. Ett sätt att hantera det är genom att vara förberedd, vilket är inledningen till nästa Cybersäkerhetsförmåga – HANTERA

Så stärker vi er UPPTÄCKA-förmåga:

Några av de viktigaste byggstenarna vi hjälper till att införa är:

  • Security Operations Center (SOC) och Managed Detection and Response (MDR)
    24/7 övervakning av loggar, nätverk och enheter – med expertanalys och snabb respons.
  • EDR, NDR, XDR
    Avancerade verktyg som övervakar klienter, nätverk och molntjänster i realtid.
  • DNS-skydd och trafikövervakning
    Stoppar angrepp redan vid försöket till kommunikation med angriparen.
  • Logghantering och korrelation (SIEM)
    Samlar och analyserar händelsedata från hela miljön för att hitta dolda hot.
  • Intelligenta lösning (Threat Intelligence/Defense)
    Gör det möjligt att agera på kända indikatorer och taktiker i realtid.
  • Honungsfällor
    Aktiva “fällor” (fiktiva system) som ser ut som attraktiva system. Om någon rör vid dem så går larmet.

Läs mer om våra tjänster inom respektive Cybersäkerhetsförmåga

Fördjupa dig inom Cybersäkerhetsförmågorna:

SKYDDA

Förmågan att bygga upp ett starkt skydd med flera lager, som kraftigt försvårar intrång och effektivt begränsar rörlighet för angripare.

HANTERA

Förmågan att kunna agera kraftfullt, snabbt och metodiskt när en säkerhetsincident inträffar.

Cybersäkerhets-förmågorna

En övergripande introduktion till Cuebids metodik kring de tre grundläggande cybersäkerhetsförmågor och den första principen för Cybersäkerhet.

Tidslinjen för ett angrepp

En övergripande beskrivning kring hur ett vanligt angrepp går till och hur du kan koppla de cybersäkerhetsförmågorna till detta för att skapa förståelse och insikter.

Topp 4
åtgärder

Kom igång med Cybersäkerhetsarbetet – Fyra åtgärder som gör skillnad direkt

Behöver ni hjälp med att ta tag i er IT-säkerhet?

Vi förstår. Det är mycket att hålla koll på – hoten förändras ständigt, regelverken likaså, och tiden räcker sällan till. IT-säkerhet kan kännas överväldigande, men ni behöver inte lösa allt själva. Vi hjälper er att ta första steget.

Fyll i formuläret så kontaktar vi dig.
Vanligtvis inom 1-2 arbetsdagar.