En større firewall eller sikkerhedspakke er ikke nok i dag
Af: Jesper Krogh, seniorkonsulent i Infrastructure, Cloud & Security hos Globeteam
Som håndværker kan man købe sig til dyre (og gode) værktøjer. Men hvis man ikke benytter dem korrekt, får man ikke den fulde værdi af værktøjerne. Det samme gør sig gældende for en it-sikkerhedsekspert: Hvis ikke deres værktøjer bliver benyttet korrekt, sikrer man heller ikke sin virksomhed korrekt.
I dagens trusselsbillede er det ikke nok bare at købe en større firewall eller sikkerhedspakke. Indblikket i virksomhedens infrastruktur bestemmer, hvor meget – eller hvor lidt – vi kan se af mistænkelig aktivitet. Og dermed også hvor gode vi er til at forudsige angreb, og hvor gode vi er til at reagere på angreb. I det perspektiv kan det næsten ikke understreges nok, hvor vigtigt et opdateret, tværgående overblik over alle komponenterne i it-miljøet er.
Konteksten for denne småfilosofiske indledning er min daglige gang hos sikkerhedsteams i både det private og offentlige Danmark. Her møder jeg mange dygtige sikkerhedshåndværkere. Men jeg møder også mange, som er udfordret af det sikkerhedssetup, de opererer under. Gennem årene er der blevet implementeret et hav af forskellige sikkerhedsprodukter for at imødekomme forskellige behov, og det har resulteret i en række udfordringer.
For det første er det ikke altid, at et sikkerhedsprodukt er blevet implementeret korrekt – her kan der både være tale om fejlkonfigurationer og funktionalitet, der ikke er slået til. For det andet taler porteføljen af sikkerhedsprodukter ikke altid sammen – det vil sige, at det helhedsblik på virksomheden, som alle er enige om, at de gerne vil have, rent teknisk ikke kan understøttes af virksomhedens underliggende værktøjer. For det tredje betyder det manglende overblik, at man ikke har nok fokus på Detect-fasen. Fordi myriaden af sikkerhedsprodukter er svær at overskue, får man ikke kigget grundigt nok på, hvilke komponenter der egentlig ligger på en server, og hvad de foretager sig.
Flyt fokus og sæt ind tidligere
Set over en bred kam har ovenstående haft den konsekvens, at mange sikkerhedsteams har en overvejende reaktiv tilgang til sikkerhedsarbejdet. Det er i virkeligheden meget naturligt. Når man ikke har særligt gode forudsætninger for at fange tegn på trusler eller hændelser på et tidligt tidspunkt, investerer man flere ressourcer i den indsats, der skal begrænse skadevirkningerne af en sikkerhedskompromittering.
Jeg kunne godt tænke mig at vende den tilgang om, så sikkerhedsteams blev langt bedre til proaktivt at hjælpe deres forretning. Det er lige præcis dér en integreret sikkerhedsmodel kommer i spil. Med de rigtige værktøjer til SIEM (Security Information and Event Management) og XDR (Extended Detection and Response) kan sikkerhedsteams opbygge en stærkere evne til at opdage ulykker, før de sker, og spore mistænkelig aktivitet på tværs af den digitale infrastruktur.
Ved hjælp af Microsoft Sentinel og Microsoft Defender-produkterne kan man eksempelvis blive gjort opmærksom på, hvilke komponenter der skal opdateres, hvilke komponenter der er blevet fejlkonfigureret, om der er software der skal fjernes osv. Kobler man den forbedrede monitoreringsevne sammen med Sentinel-løsningens SOAR-kapabilitet (Security Orchestration, Automation and Response) med automatiseret respons på hændelser og trusler, får man den holistiske tilgang til sikkerhedsarbejdet, som både forretningen og it-ledelsen selv efterspørger. Der er mange prædefinerede events i Microsoft Sentinel, og det store team af sikkerhedseksperter hos Microsoft tilføjer løbende flere. I stedet for at virksomhedens eget sikkerhedsteam hændelse for hændelse skal finde ud af, hvordan de vil reagere på en aktivitet, har Microsoft allerede genkendt hændelsen og foruddefineret, hvad der skal ske. Det sparer rigtig meget tid.
Integreret sikkerhed er ikke en Big Bang-implementering
Globeteams rolle, når vi implementerer en integreret sikkerhedsmodel, er at levere den nødvendige viden og knowhow til projektet, så man styrker sikkerhedsniveauet, men samtidig holder forbruget af ressourcer på et fornuftigt niveau. Måske har en virksomhed allerede nogle af de teknologier og sikkerhedsløsninger, der er brug for, hvis bare de bliver anvendt korrekt? Måske er der monitoreringsfunktionalitet, som skal være tændt i stedet for slukket? Måske er det kun nogle af Microsofts sikkerhedsprodukter, der skal benyttes, for ikke at kompromittere den stabile drift af forretningskritiske applikationer?
Vi lægger en langsigtet plan for sikkerhedsarbejdet og prioriterer en blød overgang til den nye, integrerede verden. Vi foretager ikke en Big Bang-implementering, hvor man med det samme smider tidligere sikkerhedsløsninger – og dermed også investeringer – over bord. Vi kaster et holistisk blik på virksomhedens sikkerhedsmodel og de produkter, der understøtter den. Nogle produkter vil det give mening at beholde, mens andre bliver udfaset over tid, når licensen alligevel udløber.
Sådan forsøger vi altid at gribe et projekt an: Vi begynder i det hjørne, hvor udfordringen er størst, og så arbejder vi os stille og roligt frem mod den ønskede målsætning i den hellige treenighed mellem forretningskrav, it-behov og økonomi.
Læs her, hvordan vi kan hjælpe med at implementere en integreret sikkerhedsmodel
