En dag som sikkerhedsanalytiker

Hvordan er arbejdet som sikkerhedsanalytiker i en Detection & Response afdeling?

Et arbejde som sikkerhedsanalytiker i cybersikkerhedsfaget indeholder en bred vifte af opgaver, der bl.a. dækker over informationssikkerhed og en stor del risikostyring. Der arbejdes ikke blot med kundernes interne systemer, men man benytter og bidrager også til det store fællesskab, hvor alle har det fælles mål at bekæmpe cyberkriminaliteten ved hjælp af threat intelligence, OSINT, offentlige blocklister.

Sikkerhedsanalytikerens opgave er i sin enkelthed at forhindre uautoriseret adgang til virksomheders IT-systemer og at minimere risikoen for kompromittering af fortroligheden, integriteten og tilgængeligheden.

Som sikkerhedsanalytiker startes dagen med en solid kop kaffe, for dernæst at skabe et overblik over nattens hændelser. Morgenrutinen indeholder også en briefing, hvor medlemmer af teamet samles, for at drøfte de vigtigste eller kritiske alarmer, som er håndteret af ”natholdet”. Hvis hændelser kræver opfølgning eller yderligere analyse, overdrages opgaven til dagsholdet.

En stor del af dagen går herefter med at analysere data og alarmer fra kundernes IT- og sikkerhedssystemer. Det er sikkerhedsanalytikerens primære opgave, og det er det beredskab og ansvar man varetager for kunderne, så de kan få tiden til at fokusere på deres kerneforretning tilbage.

Et kendt og respekteret begreb for sikkerhedsanalytikere, er alert fatigue. Altså at man overvældes af antallet af alarmer. Det er ofte det der rammer organisationer med manglende tid, værktøjer og ekspertise, og det er ofte den direkte årsag til, at alarmer ikke håndteres og de sande positiver dermed ikke opdages.

I Conscias Cyber Defense afdeling anvedes et avanceret SOAR (Security Orchestration, Automation and Response) system, som ultimativt gør os i stand til at kunne fokusere på de vigtigste opgaver, imens de trivielle analyseopgaver håndteres automatisk. SOAR systemets opgave er at sortere, prioritere og lave automatiserede arbejdsgange på alarmer for til sidst, hvis nødvendigt, at oprette de sager som sikkerhedsanalytikerne skal arbejde videre med. SOAR systemet giver sikkerhedsanalytikeren de bedste forudsætninger for at kunne arbejde så effektivt som muligt.

SOAR-systemets Orchestration modul sikrer, at de vigtigste alarmer bliver præsenteret for sikkerhedsanalytikeren først. Det er også orchestration modulet, der ser ligheder mellem hændelser, og samler hændelser som omhandler det samme i den samme sag. Og så foretager modulet korrelering af flere forskellige logkilder, så de enkelte sager informationsberiges i videst muligt omfang.

Automation modulet i SOAR-systemets kan både anvendes til indledende analyser og til yderligere informationsindsamling. En yderst værdifuld funktion for sikkerhedsanalytikeren, da mange manuelle arbejdsgange bliver en del af en playbook som automatisk og nedsætter den tid analyserne typisk tager. Eksempler på manuelle arbejdsgange man undgår, kunne være opslag på filnavne, hashværdier, domænenavne og brugernavne på diverse OSINT-platforme, og at afsøge internettet for analyserapporter som kan hjælpe til at nå en hurtigere konklusion på en hændelse.

SOAR-systemets Response modul gør, at den tid det tager at respondere på alarmer nedsættes væsentligt. Hurtigt og effektivt respons er en absolut nødvendighed for at mindske ”blast radius” på alvorlige sikkerhedshændelser. Det kunne f.eks. være at blokere en ukendt IP, et domæne eller isolere maskiner eller dele af infrastrukturen.

Ideelt set bør sikkerhedsanalytikeren kun arbejde i et enkelt interface, som har indhentet og samlet alt nødvendig information, så sikkerhedsanalytikeren har den bedste mulighed for at kunne lave korrekte analyser og konklusioner, og her er SOAR systemet en stor hjælp.

Sikkerhedsanalytikeren skal også holde sig opdateret på de seneste informationer om trusler og trusselsaktører. Derfor skal der i løbet af dagen læses nyheder, blogposts og research fra de kilder som teamet finder troværdige og af acceptabel kvalitet. Eksemplerne er informationer om nye angreb, nyt malware eller nye sårbarheder som potentielt kan blive udnyttet. Alt sammen information, der skal kategoriseres og integreres i det daglige analysearbejde, så kunderne kan stole på, at teamet har den nødvendige viden til at kunne varetage opgaven.

Herudover byder arbejdsdagen ofte på uforudsete hændelser, der kræver enkelte medlemmers eller hele teamets opmærksomhed. Det kan være en kritisk alarm fra et sikkerhedssystem hvor alvorligheden kræver at der bliver handlet hurtigt og effektivt. Så skal hovedet holdes koldt og man skal kunne handle og arbejde under øget pres. Og det er her man særligt mærker, at man har et fantastisk team af dygtige sikkerhedsanalytikere, incident responders, og engineers, som alle bidrager til at man når i mål på bedste vis.
Det handler først og fremmest om at forhindre angreb så tidligt så muligt. Men når et angreb er succesfuldt, er det vigtigt at have metoder til hurtig detektering og klare processer der sikrer hurtig handling. Angrebet skal inddæmmes og spredning i infrastrukturen skal forhindres. Efter inddæmning af angrebet, skal truslen fjernes fra infrastrukturen og risikoen for at angrebet kan starte igen skal elimineres. Der indsamles undervejs i processen viden og informationer fra maskiner, brugere og systemer således at teamet kontinuerligt bliver klogere på angrebets omfang, metoder, og taktikker. Det er vigtigt at man finder stedet hvor truslen blev introduceret, således man kan forhindre nye angreb.

Når ulykken er standset, og man har sikret, at nye angreb ikke kan forekomme, er opgaven at få organisationen tilbage til normalen igen. Der kan betyde, at maskiner og systemer skal re-installeres – et arbejde, som kan være særdeles omfattende. Den normale drift er en vigtig faktor for virksomheder, da nedetid ofte er ensbetydende med store tab.

Der er næsten altid vigtige læring fra kritiske hændelser og den læring skal virksomheden anvende for at blive klogere på hvor det gik galt og hvordan en lignende situation kan undgås fremover. Og skulle en lignende situation opstå, så er det også vigtigt, at virksomheden har taget viden til sig om processer og procedurer, der ikke var optimale. På den måde kan virksomheden optimere på arbejdsgange, så en ny situation kan håndteres endnu bedre end den forrige.

I Conscias Cyber Defense team er vi forberedte og vi øver os ofte på vores håndtering af alvorlige sikkerhedshændelser, så vi er i den bedst tænkelig form til at kunne hjælpe virksomheder, der rammes af cyberangreb. Vi uddanner os, og holder os opdaterede på nye teknologier, trusler, aktører og angrebstyper.

Sikkerhedsanalytikeren skal være heldig hver dag og hele tiden – hackeren skal kun være heldig en gang for at finde en indgang til virksomhedernes infrastruktur.

En dag som sikkerhedsanalytiker

Andre blogindlæg om samme emne

Conscia Tech Chat: VPN og Prisma Access Browser med Kristian von Staffeldt

Hvad er social engineering – og hvorfor er det interessant?

Conscia Tech Chat: Security Service Edge med Alexander Andersen

Conscia – hvaffor en fisk?

Tekniske forudsigelser for 2025

WiFi-7: Den nye standard for WiFi

Kvantecomputere og IT-sikkerhed: Hvad bør du tænke over

Splunk ser i krystalkuglen for 2025

Managed Detection and Response – Avanceret sikkerhedsovervågning for din virksomhed

Hold dig opdateret

Relevant indhold om samme emne

V2 Security 2025 – København

IGNITE 2025 Connect and reflect

Conscia Tech Chat: VPN og Prisma Access Browser med Kristian von Staffeldt

Sådan får du: Enkel og effektiv sikkerhed – allerede i browseren