1 Säkerställ förmågan att upptäcka säkerhetshändelser

Säkerhetsloggar som används i övervakningen bör skapas och skyddas mot obehörig åtkomst eller ändring.

Risker vid bristande övervakning

På samma sätt som organisationer använder larm och bevakning för att upptäcka inbrott eller brand i sina lokaler, måste liknande åtgärder implementeras för att identifiera intrång eller oavsiktliga händelser i it-miljön. Bristande övervakning kan leda till att angripare obemärkt kan hålla sig kvar, att skadlig kod sprids oupptäckt, eller att andra oönskade aktiviteter kan fortgå. Många cyberangrepp upptäcks inte förrän verksamheten märkbart påverkas – och i värsta fall upptäcks de inte alls.

Loggning och analys av säkerhetsloggar är viktiga verktyg för att:

• upptäcka och utreda felaktig eller obehörig användning,
• reagera på och genomföra åtgärder för att begränsa oönskade händelser,
• säkerställa spårbarhet för att försvåra möjligheten att dölja felaktig användning.

Exempel från verkligheten

Under en cyberattack drabbades ett stort detaljhandelsföretag av ett intrång som resulterade i att betalningsinformation för cirka 40 miljoner kunder stals. Angriparna utnyttjade en sårbarhet hos en tredjepartsleverantör för att få tillgång till företagets it-system. Där installerade de skadlig programvara i kassasystemet, som samlade in kundernas kortinformation under den hektiska julhandeln.

Trots att företagets säkerhetssystem hade larmat om ovanlig aktivitet vidtogs inga åtgärder i tid. Den bristande uppföljningen av varningarna och ineffektiv säkerhetsövervakning gjorde att attacken pågick i flera veckor innan den upptäcktes. Resultatet blev en stor läcka av kredit- och betalkortsinformation, vilket orsakade betydande ekonomiska och ryktemässiga skador för företaget.

Rekommenderat arbetssätt

Organisationen bör etablera en funktion för säkerhetsövervakning, ofta kallad SOC, Security Operations Center. En SOC kan drivas med egen personal eller som en tjänst från en extern leverantör, beroende på verksamhetens behov och resurser.

En effektiv övervakning använder både manuella och automatiserade metoder för att analysera loggar. Automatiserade funktioner, som larmar vid avvikelser, tar tid att utveckla och kräver noggrann testning. För att upptäcka avvikelser är det också viktigt att ha en god förståelse för både system och hur de används i verksamheten.

Planera för loggning av säkerhetshändelser. En säkerhetslogg bör innehålla information om var, när och hur en händelse inträffade samt vem som utförde den. Exempel på händelser som kan loggas är:

• lyckade och misslyckade inloggningar,
• privilegierade aktiviteter,
• förändringar i säkerhetsinställningar och behörigheter,
• nätverksförändringar och inkoppling av ny utrustning,
• händelser som påverkar loggfunktionen, och
• åtkomst till eller ändringar av känslig eller viktig information.

De insamlade loggarna bör skickas till en central tjänst för lagring och analys. Denna tjänst bör vara fristående och fungera även om övriga it-system blir otillgängliga.

Genom att ha ett separat system för logghantering kan loggar fortsätta samlas in och analyseras, även vid intrång eller andra störningar, vilket förhindrar att angripare kan manipulera eller radera loggarna.

Se till att system har tillräckligt med lagringsutrymme för loggar och att loggfiler roteras regelbundet så att de inte fylls upp. Loggarna ska sparas enligt gällande lagar och verksamhetens behov. Behörighetskontroller måste säkerställa att obehöriga inte kan se eller ändra loggarna. Synkronisera alla system som loggar mot samma tidskälla och tidszon för att underlätta analys och korrelation mellan loggar.

Om övervakningen upptäcker händelser som tyder på brottslig verksamhet bör organisationen överväga att göra en polisanmälan.