Automatiserade arbetsflöden för säkerhetsärenden och när det är möjligt automatiserade analyser. Med hjälp av Splunk har danska Norlys fått ordning på säkerhetsarbetet. Nu kan företagets experter ägna sig åt kvalificerade uppgifter.
Tibor Földesi som är säkerhetsanalytiker på danska Norlys har liksom de flesta som jobbar med IT-säkerhet ett tufft, för att inte säga övermäktigt, jobb. Norlys är Danmarks största telekom- och energikoncern med 2 500 anställda. Bolaget bildades hösten 2019 efter en fusion mellan energi- och telekomföretagen SE och Eniig.
Den kanske största utmaningen i Tibor Földesis jobb är att analysera alla nätverksaktiviteter som flaggas som misstänkta. Problemet är att information om en stor mängd suspekta aktiviteter genereras från ett stort antal säkerhetslösningar och av andra applikationer. Det står inte i mänsklig makt att hinna analysera dem alla.
Analysinsatser som tog timmar, ibland dagar, tidigare går på 30 sekunder nu.
Tibor Földesi, säkerhetsanalytiker på Norlys.
Förutom den stora mängden information krävs det tidsödande manuellt arbete med att hitta informationen som krävs för att göra analyserna. Det vill till två lösningar som kompletterar varandra: automatisering av både analyserna samt hanteringen av informationen. Och lösningen för automatisering måste fungera sömlöst tillsammans med existerande IT-säkerhetsarkitektur – det handlar om allt från applikationer för intrångsdetektering till verktyg för logginformation.
Stora tidsvinster
Det här insåg man på Norlys och satte i gång ett projekt för att införa en automatiseringsplattform i februari 2019. Den mer formella benämningen på den här typen av plattformar är SOAR, security orchestration, automation, and response. Ordning och reda i IT-säkerhetskaoset, helt enkelt.
– Det har tagit drygt tio månader att få lösningen på plats. En stor del av tidsbesparingen fås av att dokumentationen sköts automatiskt. Jag har varit den enda personen som jobbat med implementationen, de övriga säkerhetsanalytikerna har kunnat ägna sig åt annat, berättar Tibor Földesi.
Vad har resultatet blivit?
– Analysinsatser som tog timmar, ibland dagar, tidigare går på 30 sekunder nu. En vanlig dag kan resultatet av den automatiserade processen bli upp till tio ärenden som behöver undersökas närmare, ibland inga, förklarar Tibor Földesi.
Kort sagt, man har fått kontroll på informationsflödet. Att komma till den punkten har krävt ett stegvis arbete som började med att installera plattformen med funktioner för dokumentation och hantering av ärenden. Sedan har man gradvis beskrivit och automatiserat arbetsflöden. Ett ärende, ofta kallat ticket, är i det här sammanhanget något som behöver undersökas med avseende på IT-säkerhet.
Se webinaret med Tibor Földesi, inspelad på SplunkLive! Stockholm 2019, här
Automatisering gör jobbet
Kontentan är att inga människor behöver besluta vad som göras med mycket av informationen från ett stort antal olika säkerhetsprodukter och andra applikationer. De olika ärendena slussas automatiskt till rätt plats och dokumenteras automatiskt på vägen. Kontroller och analyser utförs automatiskt med rätt verktyg, om det går. Och om det är möjligt buntas flera ärenden ihop och körs satsvis.
En stor del av tidsbesparingen fås av att dokumentationen sköts automatiskt.
Tibor Földesi, säkerhetsanalytiker på Norlys.
Det sista steget var att integrera automatiseringsplattformen, Splunk Phantom, med den överliggande säkerhetsplattformen, Splunk Enterprise Security. Det gör att ärendena nu slussas automatiskt genom de definierade arbetsflödena.
Har det underlättat att automatiseringsverktyget och säkerhetsplattformen kommer från samma leverantör?
– Phantom innehåller lösningar för att integrera med ett stort antal applikationer och tjänster, som Office 365. Och det är enkelt att definiera nya integrationer.
I dag har man på Norlys lyckats med att automatisera hanteringen av enklare ärenden. Nästa steg är automatisering av mer komplicerade ärenden.
– Vårt nästa stora mål är att automatisera hela arbetsflödet. Det är en bit kvar, men vi är ganska nära, säger Tibor Földesi.
Lär dig mer av hur Tibor Földesi och teamet på Norlys fick ordning och reda i it-säkerhetskaoset genom att titta på webinaret ”An Introduction to Incident Response with Splunk Phantom”, inspelad på SplunkLive! Stockholm 13 november 2019.
