Hvordan oppdage kjente og ukjente angrep

For å oppdage kjente og ukjente angrep er man avhengig av å samle inn og analysere loggdata og hendelser fra det meste av virksomhetens økosystem. Man er som «threat hunter» avhengig av å ha tilgang til informasjon fra alle systemer og data som mulig kan ha blitt benyttet som et ledd i et angrep.

Noen typiske kilder vi bruker vil være logger fra sikkerhetsløsninger som EDR, XDR, Brannmur og VPN, men også logger fra Azure AD, Microsoft 365, og Windows Event logg.

Ukjente trusler er for oss som jobber med sikkerhet de mest interessante truslene å jobbe med. Dette vil være trusler vi ikke har sett tidligere, kanskje ingen har sett tidligere, fordi angriperne brukere helt nye metoder, teknologi og sårbarheter.

Dette er en type trussel som kanskje ikke blir oppdaget ved bruk av automatiserte detekterings løsninger, men som krever at vi har mennesker som analyserer dataene som er samlet. Samtidig som eventuelt helt nye ukjente trusler er de meste spennende for en analytiker, er det også disse som gjør at vi må jobbe konstant med oppdatering av kompetanse, kunnskap om trusler og utvikling av verktøy for å sikre våre kunder.

For å avdekke kjente trusler kan vi i stor grad benytte oss av automasjon og «threat-intelligence», kjente indikatorer som automatisk kan brukes for å gjenkjenne IP-adresser, filer eller annen kjent oppførsel. De kjente truslene benytter ofte kjente metoder, og utnytter kjente sårbarheter.

Men for mange norske virksomheter så kan selv disse kjente truslene være en utfordring å oppdage. Mye av årsaken til dette er at alt for få virksomheter forholder seg til loggdata, og hvordan de skal oppdage et datainnbrudd.

Om en trussel er kjent eller ukjent har ingen stor betydning den dagen man oppdager at man har blitt utsatt for et dataangrep, man må derfor lete etter begge kontinuerlig.

Vi mener at det viktigste for alle virksomheter er at de har en plan, en form for «Threat-detection» som passer for seg. Det kan være at man har en egen SOC og masse intern kompetanse.

Denne artikkelen er ikke skrevet for disse.

For mindre Norske selskaper så kan det være passende med en enklere agentbasert sikkerhetsovervåking som varsler om og stopper de fleste kjente og ukjente trusler. De litt større virksomhetene, de som ikke er store nok til å ha egen SOC men som absolutt bør være forberedt på å bli utsatt for dataangrep bør i dag ha evnen til å oppdage både kjente og ukjente trusler, rutiner for hendelseshåndtering, tilgang til kompetanse og et Incident Response Team.

I våre rutine for hendelseshåndtering til våre kunder skriver vi som første punkt at man må planlegge og forberede seg på hendelser:

For å kunne oppdage og håndtere hendelser må man ha etablert systemer som gjør det mulig å detektere, analysere og respondere på hendelser. Sørg for at bedriften har etablert verktøy, løsninger og rutiner som gjør det mulig å oppdage hendelser raskt nok.