Security Analytics

– Flexibelt och användarvänligt BI-verktyg som hjälper dig fatta rätt beslut.

Vad innebär Security Analytics?

Korta svaret:

Ökad effektivitet och minskad risk för Dig och Ditt företag!

Det något längre svaret:

Flera saker, men framförallt är Security Analytics:

- En möjlighet till radikalt förbättrad effektivitet i säkerhetsarbetet genom att minska ledtider ochunderlätta för den personal som ansvarar för jobbet.
- En metod och ett verktyg för att väsentligt underlätta framtagandet av den information som behövs genom att kombinera Business Intelligence med säkerhetsdata (i vid bemärkelse) i sitt sammanhang.
- Analyser och rapporter som underlättar förståelse, anpassade till olika beslutsfattare såsom VD/ledningsgrupp, säkerhetsansvariga och systemägare.
-Rapporter anpassade för övrig/utförande verksamhet.

Tillvägagångssättet för att förbättra hanteringen av sårbarheter och avvikelser är kortfattat:

+ Ta reda på och dokumentera det verkliga nuläget.
+ Tillse att ledningen får info om, förstår läget samt efterfrågar fortsatt uppföljning.
+ Inventera befintlig hantering/process. Normalt saknas den eller behöver förbättras…
+ Skapa eller förbätta verktyg som underlättar rapportering till ledningen samt, inte minst, anpassade rapporter till de tekniker som ska göra jobbet.


* Exempel på verktyg:
rådata +BI-verktyg = anpassade rapporter till respektive målgrupps behov -> effektivare hantering…!

Security Analytics kan användas till inte bara avvikelser utan även till mycket annat som t.ex. IAM/behörighetshantering när man behöver inventera och styra upp behörigheter.

Det (mycket) längre svaret:

Skälet till att denna text framförallt handlar om effektiv hantering av sårbarheter och avvikelser beror på att många företag släpar efter med att stänga/patcha avvikelser, vilket kan kosta pengar…
En enda sårbarhet/avvikelse ledde t.ex. tillkostnader för Maersk på mer än 2 miljarder kronor.
(källa: https://www.youtube.com/watch?v=Tqe3K3D7TnI&feature=youtu.be,tid: 2:25 – 7:36)

Visualiseringen visar att ”oops”/grön och ”poor security”/blå ökar dramatiskt 2017 och 2018. Röd = ”hacked”.
Källa
https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks.

Då Dataskyddsförordningen/GDPR började tillämpas 25 maj 2018 tillkom risken att drabbas av kostnader relaterade till GDPR. Ekonomiskt tillkom därmed ytterligare incitament genom att även dataläckage kan generera avsevärda kostnader.

Ganska många svenska och nordiska företag har en flora av tusentals för att inte säga tiotusentals olika datorer, operativsystem, programvaror, applikationer etc.

Normalt använder alla företag ett antivirusverktyg som kontinuerligt uppdaterar en central databas med larm om att dator x har smittats och behöver åtgärdas.

Många kör även sårbarhetsscanningar med verktyg som letar efter kända säkerhetshot.

Man använder också verktyg som scannar utrustning och applikationer för att hitta avvikelser från hur det borde vara enligt respektive godkänd standard för säker konfiguration (IT Security Baselines).

Gemensamt för dessa olika verktyg är att de genererar listor, normalt långa med hundra- till tiotusentals rader beroende på storleken på företagets IT-miljö. Varje rad i en lista innehåller som ett minimum alltid IP-adress och en beskrivning på sårbarheten.


Scannern ger oss data om vad det är för sårbarhet. Däremot kan inte scannern ge oss den övriga tillkommande information som behövs för att åtgärda avvikelsen.

Ytterligare arbete med insamling av fakta behövs för att kunna avgöra prioritering, hur, när och vem som ska åtgärda avvikelsen. Detta är både tidsödande och omfattande, och stjäl därmed effektivitet från säkerhetsarbetet.

Exempel på vilka uppgifter som brukar vara nödvändiga utöver IP-numret;
- Vilket eller vilka system körs på datorn/servern?
- Vem är systemägare för avstämning av
- när kan systemet tas ned för åtgärd
- var i organisationen hör systemägaren hemma, för ev debitering av insatsen

Ytterligare intressant information kan vara om systemet är
- affärskritiskt
- används av kunder

Ytterligare arbete med insamling av fakta behövs för att kunna avgöra prioritering, hur, när och vem som ska åtgärda avvikelsen. Detta är både tidsödande och omfattande, och stjäl därmed effektivitet från säkerhetsarbetet.

Exempel på vilka uppgifter som brukar vara nödvändiga utöver IP-numret;
- Vilket eller vilka system körs på datorn/servern?
- Vem är systemägare för avstämning av när kan systemet tas ned för åtgärd?
- var i organisationen hör systemägaren hemma, för ev debitering av insatsen?

Ytterligare intressant information kan vara om systemet är
- affärskritiskt
- uppkopplat mot internet/internet facing
- använt av kunder/customer facing
- installerat på en server som är dags att byta ut eller uppgradera

Detta är några delar som är intressanta att ha med när åtgärderna ska prioriteras så att en lågrisk-sårbarhet kan prioriteras över en medelrisk-sårbarhet om den första hittats på en internetansluten server med ett affärskritiskt system medan den senare finns på en ej uppkopplad server utan viktiga system.

Artikeln publicerad i överenskommmelse och samverkan med Per-Erik Eriksson, prettygoodsecurity.se.

Vill du veta mer?

Fyll i kontaktformuläret nedan så hjälper vi dig komma igång med PowerPage. Du kan även boka in en kostnadsfri konsultation för att få en bättre inblick i hur PowerPage kan hjälpa dig nå dina mål.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.