Rejäla skydd runt företagets nätverk behövs, men räkna inte med att stoppa allt. Frågan är, vad gör du om en inkräktare tar sig in? Det gäller att även ha koll på vad som händer på alla datorer som är anslutna till nätverket.

IT-säkerhet är komplext, det är svårt att ha koll på alla aspekter som är viktiga. Och det är kostsamt för den som inte lyckas, med nertid som följd. Enligt analysföretaget Gartner kostar det i medeltal 2,9 miljoner kronor per timme för ett företag om dess nätverk är nere.

Det är med andra ord viktigt att skydda sitt nätverk. Men det räcker inte
– Många företag har lagt ner stora resurser på att konstruera skydd för sina nätverk, som till exempel brandväggar. Men de har svårt att se vad som händer på datorerna om en inkräktare ändå lyckas ta sig in i deras nätverk, säger Lars Bornholm, lösningsarkitekt på säkerhetsföretaget SecureLink.

Inkräktare kan göra vad som helst

Om skydden mot inkräktare inte fungerar, vilket med all sannolikhet kommer att ske någon gång, gäller det alltså att snabbt skaffa sig en bild av vad som händer på alla datorer, för att kunna agera på rätt sätt. Annars kan en inkräktare potentiellt göra vad som helst, som att sabotera system, stjäla data, och så vidare.

Lars Bornholm, lösningsarkitekt på SecureLink.

Svårigheten med att få en bild av vad som händer är att allt som sker, sker extremt snabbt och att det krävs analys av stora mängder data. Det här ställer inte bara stora krav på teknisk utrustning, utan även på tillgång till mänsklig expertis. Eller för att tala klarspråk, säkerhetsekvationen går inte ihop.

Det finns flera olika parallella strategier för att lyckas få koll på aktivitet både i nätverket och på klienter. Den absolut viktigaste är att snabbt urskilja vilka aktiviteter, med tillhörande data, som är värda att larma om eller att granska vidare. Sättet att göra det effektivt är att bygga övervaknings- och analyslösningar på smarta algoritmer, som finjusteras med hjälp av AI-tekniken maskininlärning.

Hinner stoppa intrång

När antalet aktiviteter att granska minskas handlar det inte minst om att sortera bort så kallade falska positiva larm, alltså aktiviteter som uppfattas som skadliga trots att de inte är det och medför onödigt granskning. Det omvända gäller förstås också, att undvika att klassificera skadliga aktiviteter som ofarliga.

LÄS MER: Så fungerar Targeted Threat Intelligence as a Service

Om urvalet av aktiviteter att granska närmare minskas blir chansen att hinna granska dem större och det krävs färre människor i processen. Det ökar chansen dramatiskt att hinna agera i tid för att stoppa intrång.

SecureLink använder bland annat Cybereasons lösning för att göra det här på klientdatorerna. Det görs genom att installera ett program på alla anslutna enheter i ett nätverk och sedan skicka data till en central punkt för sammanställning och analys. Den centrala punkten kan finnas i molnet eller installerad i ett företags egna datacenter.

Automatisering en fördel

Lars Bornholm framhäver den höga graden av automatisering som en fördel med Cybereason, liksom visuella representationer av data som är enkla att förstå. Det minskar inte minst behovet av mänskliga insatser i säkerhetsarbetet.

Men jobbet stannar inte där:
– Data från Cybereason förs över till vår övergripande tjänst, tillsammans med till exempel loggdata från brandväggar, katalogtjänster och annan utrustning. Genom att analysera dem tillsammans kan man få en bättre bild av vad som händer, säger Lars Bornholm.

Det finns alltså flera nycklar till framgång för att hantera intrång: snabbhet, precision, smarta algoritmer, automatisering och tillgång till flera relevanta datakällor, både för nätverkstrafik och klientaktivitet. För den som lyckas bli resultatet bättre affärer, genom färre intäktsbortfall och lägre kostnader för katastrofhantering.

Läs mer om hur SecureLink arbetar med Cybereason