Visibilitet – vem gör vad?

av | okt 9, 2020 | Cybersäkerhet, Nätverk och komunikation

Göran Blomquist IT-säkerhetskonsult

Identitet, loggning och visibilitet.

Insamling.

Min vän och kollega Dan Snis pratade för en tid sedan om identitet. Nu när vi vet vilka vi är så kan det vara på sin plats att diskutera ”vem gör vad”. I dag finns det mängder med hjälpmedel och system för att samla in logg. Ingen nämnd, ingen glömd. Det är av vikt att kunna samla in logg från olika källor så vi inte svävar i blindo när vi felsöker eller letar efter funktionalitet mellan klient och applikation. Data som passerar genom lager av brandväggar, lastbalanserare, switchar och annat utrustning måste vi kunna logga och tolka. Helst med automatik då vi vill undvika att skriva regler för varje enhet.

Korrelering

Har vi någon större nytta av hundratals terabyte data som ligger och skräpar? Kommer vi någonsin att använda vår logg som nattlektyr? Vad är det vi vill se?

Loggar från en switch ger oss vlanid, mac (kanske lite mer beroende på vilken switch vi pratar om). Brandvägg kan ge oss vilken applikation klient ansluter mot, applikation, vilken säkerhetszon, ip-adress. Har vi ”Next Generation”- funktionalitet påslagen i vår brandvägg kan vi hämta vilken identitet vår klient har via LDAP, Radius Accounting eller ansluta vår brandvägg till Microsoft AD så vi kan titta på Kerberos tickets.
Vi tar våra loggar från Windows Eventlog för att möjliggöra ”Singel Sign On” och addera användarnamn till logg, IAM eller andra källor där vi adderar grupptillhörighet och användare. Men om vi inte kan korrelera dessa uppgifter kommer vi inte att få en komplett bild.

Vi behöver ett system som kan hämta information från alla våra källor och korrelera informationen i ett event. Först då vet vi vilken port eller accesspunkt, vilken mac, vilken ip-adress och vilket användarnamn, vilken grupptillhörighet, vilka rättigheter, tjänster, websidor och vilka applikationer som används. Inte bara var ifrån, utan det är också viktigt att logga när en händelse har skett. Det ger oss möjlighet att felsöka mer effektivt eftersom vi då slipper leta i flera verktyg.

Om vi har kontroll på våra loggar och har system som på ett intelligent sätt kan tyda logg så ger det oss en möjlighet att förhindra incidenter.

Insamling och korrelation av data är en förutsättning, men räcker det verkligen? Är det allt vi kräver av våra logglösningar? Är vi intresserade av all logg?

Jag återkommer till detta i nästa blogginlägg, ”stay tuned”!

/Göran Blomquist

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Log4Shell – så skyddar du dig

Log4Shell – så skyddar du dig

Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell. Vad är då log4shell och varför är det en så allvarlig sårbarhet? Log4shell är namnet på själva attacken, sårbarheten ligger i ett...

Next Gen Account Manager

Next Gen Account Manager

Om Cuebid Cuebid är ett tillväxtföretag och har sedan starten 2009 växt till en väletablerad och nationell aktör inom nätverk-och säkerhetstjänster som kompletteras med 24/7 helpdesk-och supporttjänster, kompetensledande konsulter, IT utbildningar och ett starkt sälj-...

region stockholm säkrar sina tjänster

region stockholm säkrar sina tjänster

Sveriges största regionala vårdgivare säkrar sina tjänster med ökad prestanda och tillförlitlighet till lägre kostnad. Cuebid har bidragit med design och arkitektur, konsult- och specialistkompetens vid installation, konfiguration, uppgraderingar och incidenter,...

Applikationssäkerhet – vems ansvar är det?

Applikationssäkerhet – vems ansvar är det?

En gång i en grå forntid så hade man en ganska naiv syn på IT-säkerhet, men man insåg med tiden att man var tvungen att revidera den synen. Saker som brandväggar och antivirusskydd på klienter blev en normal del av IT-miljön men allteftersom de metoder som används av...

Låt den rätte komma in (eller ut)

Låt den rätte komma in (eller ut)

Min kollega och vän skrev för ett par veckor sedan om vikten att kunna återställa förlorat data och vikten av att ha planerat för återställning, design och automatisering för att kunna återställa data. Och som Fredrik nämner så är det bara en pusselbit i kampen mot...

VMworld 2021: ”We’re proud to announce…”

VMworld 2021: ”We’re proud to announce…”

Aldrig tidigare har jag vart med om så mycket nyheter under VMworld! Ett tag blev det nästan komiskt att varje talare på den inledande ”General Session” och respektive keynote sa just frasen ”We’re proud to announce…”. General Session var för övrigt var en av de bästa...