IBM hindrar WannaCry

– När en kommun utsattes för en ransomwareattack med WannaCry blev resultatet att hemtjänsten under flera dagar fick utföra patientbesök med manuella rutiner. Det var två år sedan som flera organisationer drabbades ungefär samtidigt och nya ransomware som utnyttjar kända och okända sårbarheter uppstår hela tiden, säger Mathias Persson Ölander, säkerhetsexpert på IBM.

Lidingö stad drabbades våren 2019 av virusangrepp, som bland annat orsakade förlorad arbetstid och omfattande merarbete för it-avdelningen som fick återställa datorer, i vissa fall flera gånger då viruset spreds tillbaka till redan återställda maskiner.

279 dagar

Den här dystra listan kan göras lång. Cyberattacker med bland annat ransomware, phishing mot nyckelpersoner, eller överbelastningsattacker är en del av vardagen på Sveriges alla it-avdelningar.

Attackerna sker som regel utanför kontorstid och många är inledningsvis automatiserade. Därför är de heller inte speciellt resurskrävande för hjärnorna bakom attackerna.

– Genomsnittstiden för att upptäcka, hantera och återställa efter ett dataintrång är 279 dagar. De flesta organisationer har en god teknisk skyddsförmåga med bland annat brandväggar, antimalware, och identitetshantering.

– Det finns alltså goda förutsättningar att värja sig mot kända hot och verktyg för att återställa data och system, men få jobbar så proaktivt som de borde mot det okända, säger Mathias Persson Ölander.

Analysen avgörande

Organisationens loggdata från identitetssystem, databaser, nätverk, klienter och servrar är grunden för ett heltäckande säkerhetsarbete. Det är viktig information men för effektiv övervakning behöver den analyseras. Processen att i realtid analysera loggar med nätverksdata och annan data, koppla ihop händelser, kategorisera, prioritera och rapportera incidenter kallas SIEM, Security Information and Event Manager, det vill säga säkerhetsövervakning.

Organisationens SOC, Security Operations Center, är navet av it-analytiker och annan expertis, samt deras tekniska analysresurser som SIEM. För en övervakning dygnet runt kan det krävas en SOC-bemanning på cirka 20 personer och det är inte realistiskt för många verksamheter.

– IBM:s SIEM-plattform Qradar konsoliderar logghändelser, nätverksflödesdata och detaljerad enhetsinformation från tusentals klienter, system och applikationer distribuerade över nätverket. Plattformen har inbyggd analys för användarbeteende och machine learning för att nämna några funktioner som kan upptäcka obehörig och oönskad aktivitet.

Rätt fokus

Den skriande bristen på säkerhetskompetens är en utmaning också för ett genomtänkt SIEM-arbete.

– Min rekommendation till små och medelstora organisationer är att fokusera på sin förmåga att hantera incidenter. För övervakning och analys är det klokt att samarbeta med externa leverantörer som erbjuder SIEM som tjänst.

Viktiga verktyg

Mathias Persson Ölander betonar betydelsen av kontinuerlig övervakning med en viktig brasklapp.

– Övervakningen är bara så effektiv som incidenthantering tillåter. Arbetsgången vid ett riktigt larm bör följa ett systematiskt arbetssätt, som omfattar ärendehantering, planer för rekommenderade åtgärder till exempel vid malware eller phishing och rapportering om vad som gjorts till den myndighet som organisationen svarar till.

Kör som eliten

Även inom cybersäkerhet och incidenthantering gäller Ingmar Stenmarks gamla sanning ”ju mer jag tränar, desto mer tur har jag”. Det gäller att öva på olika incidenter inför en riktig kris.

– Träna med ledningsgruppen, en omfattande kris är en verksamhets- och inte en it-fråga. Ju mer övning, desto snabbare ryggmärgsreaktioner när det verkligen gäller för då finns det sällan tid att vara analytisk.

Vill du ta del av Voister Paper om SOC och SIEM? Maila nyheter@voister.se