SecureX – Does X mark the spot?

Af Nikolaj Andersen Wølck, Solution Architect, Conscia

SIEM, SOAR, Automation, Machine learning osv. Jeg kunne blive ved med at nævne buzzwords i lang tid.

IT og i særdeleshed IT-sikkerhed bliver mere og mere kompleks, og i takt med at kompleksiteten stiger, har vi heldigvis tusindvis af smarte løsninger, som vi kan kaste efter problemerne. What’s not to like?

Det skulle da lige være det samme: antallet af management interfaces, forskellige aftaler med leverandører, supportaftaler der udløber på forskellig tid, osv. … Jeg tror faktisk, denne liste er lige så lang som den første. 🙂

Kan vi gøre det smartere eller nemmere?

I Conscia er vi jo glade for Cisco, det skal ikke være en hemmelighed, og derfor er jeg også ret farvet. Men ud over at snakke teknik, bruger vi faktisk meget tid på at snakke om værdien af løsningen, og om I (kære læser) har tiden, der skal til for at få det fulde udbytte af løsningen?

Hvis man kigger i Ciscos sikkerhedsrapport fra 2018, kan man læse, at kun 26% af problemstillingen kan løses med teknik, resten skal løses af mennesker og processer.

Når vi nu ved, at der skal mennesker og processer til for at komme længere med IT-sikkerhed, kan vi så gøre noget for at ”lette” arbejdsgangen? For dem, der har hørt lidt om Ciscos sikkerhedsprodukter de sidste to år, burde Cisco Threat Response (CTR) ikke være en nyhed. Et værktøj, der binder flere produkter sammen vha. API’er, lader brugeren søge på tværs af produkterne og blokerer domæner og SHA256-værdi på tværs af platforme (Firewall, Umbrella, endpoints og spamfilter osv.)

Med CTR kan en bruger relativt hurtigt få stort indblik i:

  • Hvor startede et angreb
  • Hvor mange er ramt
  • Hvilke relationer var der imellem de komponenter, der blev brugt
  • Er der tale om noget, der ikke er set før

Alt dette er supersmart og relevant, når man skal dykke ned i de aktuelle hændelser og trusler, som virksomheden kæmper med. Men hvad med alle de andre IT-sikkerhedssystemer?

Ciscos nyeste produkt – SecureX – ser ud til at kunne løse en del af de problematikker, som mange står med.

Hvad er det så, SecureX tilføjer?

SecureX er ligesom et CTR et værktøj baseret på API’er og kommunikation mellem andre systemer. Hvor CTR fokuserer meget på trusselshåndtering, tilbyder SecureX overvågning af flere produkter, og ikke kun produkter fra Cisco.

Så når man logger ind i SecureX, vil man kunne få et overblik over de forskellige systemer, man har tilknyttet.

Det kunne eks. være:

  • Hvilke top-5 trusler ser vi i AMP for Endpoints
  • Hvilke operativsystemer er ikke opdateret i DUO
  • Root-cause-analyse fra AMP for endpoints
  • Antal af IPS-events fra Firepower
  • Statistiske grafer fra Umbrella

Altså et oversigtsbillede over rigets tilstand. Har man produkter, som ikke er lavet af Cisco, kan man med API’er lave integration til SecureX og få præsenteret det data, man mener, er relevant.

Når der opstår alarmer, bliver disse vist i SecureX, herfra kan man så logge direkte ind i det system,  som har set hændelsen eller fortsætte arbejdet i CTR.

Er det så bare en ny GUI til CTR?

Nej, udover adgangen til de forskellige systemer, får man et overblik over antallet af hændelser, som er langt større og bedre end det, vi har set tidligere. Men i SecureX er der også mulighed for at automatisere processer baseret på forskellige scenarier. Eksempler kunne være:

  •  Vi oplever, at antallet af VPN-forbindelser til vores firewall overstiger et niveau, vi anser som normalt. Så kan SecureX sende en besked i Webex Teams og informere om det.
  • Antallet af DNS-forespørgsler i kategorien Phishing stiger. Det kunne tyde på, at der måske er en målrettet Phishing-kampagne. Søg efter den bestemte URL i CTR og se hvilke og hvor mange mails det drejer sig om.
  • Vi oplever en masse interne portscanninger i Stealthwatch. Find de klienter, der foretager dem, og isolér dem med AMP for Endpoints.

Mulighederne er mange, og der er helt sikkert bedre eksempler end dem, jeg lige kunne komme på. Men når vi begynder at automatisere vores sikkerhed, samt bruge data på tværs af systemer, så står vi altså stærkere.

Hvad koster det så?

Ligesom CTR følger SecureX med, hvis du har et Cisco sikkerhedsprodukt. Det kunne være Umbrella, AMP for Endpoints, Firepower eller noget fjerde.

SecureX skulle blive frigivet d. 30. juni, så for dem der ikke holder sommerferie på det tidspunkt, er der lidt at gå i gang med.

God sommer til alle.

Conscia Detection & Respons

Kniber det med at skaffe de rette kompetencer og ressourcer til trusselshåndtering i din infrastruktur, så har Conscia dedikerede sikkerhedsfolk med solid erfaring. Conscia tilbyder Managed Security, som vi også kalder Conscia Detection & Response, og giver dig synlighed over værdien af din investering.

Læs mere om Conscia Detection & Response

Mere om sikkerhed

Computerworld Strategic IT Security 2021

Strategic IT Security 2021

I samarbejde med Jobindex inviterer Computerworld til en interaktiv, digital konference den 22. april 2021. Her tager Conscia dig med på en rejse, der skal...
Read more

Effektivisering og automatisering af IT-sikkerhed med SOAR

Du vil i dette webinar lære om løsninger, der får sikkerhedselementerne i IT-infrastrukturen til at arbejde mere effektivt og automatiseret, samt hvordan din virksomhed bliver...
Read more

Computerworld Digital Summit Days 2021

Kom og "mød" Conscia ved Computerworlds digitale konference fra d. 23.-25. marts 2021. Programmet byder på en masse interessante sessioner hvor Conscia også bidrager med...
Read more

Kom i mål med en end-2-end sikkerhedsløsning i datacentret

Mange virksomheder finder - naturligt nok - segmentering og micro-segmentering svært. Oplev hvordan en Algosec løsning kan hjælpe med at komme i mål med et...
Read more
Se alle blogindlæg