Af Nikolaj Andersen Wølck, Solution Architect, Conscia
SIEM, SOAR, Automation, Machine learning osv. Jeg kunne blive ved med at nævne buzzwords i lang tid.
IT og i særdeleshed IT-sikkerhed bliver mere og mere kompleks, og i takt med at kompleksiteten stiger, har vi heldigvis tusindvis af smarte løsninger, som vi kan kaste efter problemerne. What’s not to like?
Det skulle da lige være det samme: antallet af management interfaces, forskellige aftaler med leverandører, supportaftaler der udløber på forskellig tid, osv. … Jeg tror faktisk, denne liste er lige så lang som den første. 🙂
Kan vi gøre det smartere eller nemmere?
I Conscia er vi jo glade for Cisco, det skal ikke være en hemmelighed, og derfor er jeg også ret farvet. Men ud over at snakke teknik, bruger vi faktisk meget tid på at snakke om værdien af løsningen, og om I (kære læser) har tiden, der skal til for at få det fulde udbytte af løsningen?
Hvis man kigger i Ciscos sikkerhedsrapport fra 2018, kan man læse, at kun 26% af problemstillingen kan løses med teknik, resten skal løses af mennesker og processer.
Når vi nu ved, at der skal mennesker og processer til for at komme længere med IT-sikkerhed, kan vi så gøre noget for at ”lette” arbejdsgangen? For dem, der har hørt lidt om Ciscos sikkerhedsprodukter de sidste to år, burde Cisco Threat Response (CTR) ikke være en nyhed. Et værktøj, der binder flere produkter sammen vha. API’er, lader brugeren søge på tværs af produkterne og blokerer domæner og SHA256-værdi på tværs af platforme (Firewall, Umbrella, endpoints og spamfilter osv.)
Med CTR kan en bruger relativt hurtigt få stort indblik i:
- Hvor startede et angreb
- Hvor mange er ramt
- Hvilke relationer var der imellem de komponenter, der blev brugt
- Er der tale om noget, der ikke er set før
Alt dette er supersmart og relevant, når man skal dykke ned i de aktuelle hændelser og trusler, som virksomheden kæmper med. Men hvad med alle de andre IT-sikkerhedssystemer?
Ciscos nyeste produkt – SecureX – ser ud til at kunne løse en del af de problematikker, som mange står med.
Hvad er det så, SecureX tilføjer?
SecureX er ligesom et CTR et værktøj baseret på API’er og kommunikation mellem andre systemer. Hvor CTR fokuserer meget på trusselshåndtering, tilbyder SecureX overvågning af flere produkter, og ikke kun produkter fra Cisco.
Så når man logger ind i SecureX, vil man kunne få et overblik over de forskellige systemer, man har tilknyttet.
Det kunne eks. være:
- Hvilke top-5 trusler ser vi i AMP for Endpoints
- Hvilke operativsystemer er ikke opdateret i DUO
- Root-cause-analyse fra AMP for endpoints
- Antal af IPS-events fra Firepower
- Statistiske grafer fra Umbrella
Altså et oversigtsbillede over rigets tilstand. Har man produkter, som ikke er lavet af Cisco, kan man med API’er lave integration til SecureX og få præsenteret det data, man mener, er relevant.
Når der opstår alarmer, bliver disse vist i SecureX, herfra kan man så logge direkte ind i det system, som har set hændelsen eller fortsætte arbejdet i CTR.
Er det så bare en ny GUI til CTR?
Nej, udover adgangen til de forskellige systemer, får man et overblik over antallet af hændelser, som er langt større og bedre end det, vi har set tidligere. Men i SecureX er der også mulighed for at automatisere processer baseret på forskellige scenarier. Eksempler kunne være:
- Vi oplever, at antallet af VPN-forbindelser til vores firewall overstiger et niveau, vi anser som normalt. Så kan SecureX sende en besked i Webex Teams og informere om det.
- Antallet af DNS-forespørgsler i kategorien Phishing stiger. Det kunne tyde på, at der måske er en målrettet Phishing-kampagne. Søg efter den bestemte URL i CTR og se hvilke og hvor mange mails det drejer sig om.
- Vi oplever en masse interne portscanninger i Stealthwatch. Find de klienter, der foretager dem, og isolér dem med AMP for Endpoints.
Mulighederne er mange, og der er helt sikkert bedre eksempler end dem, jeg lige kunne komme på. Men når vi begynder at automatisere vores sikkerhed, samt bruge data på tværs af systemer, så står vi altså stærkere.
Hvad koster det så?
Ligesom CTR følger SecureX med, hvis du har et Cisco sikkerhedsprodukt. Det kunne være Umbrella, AMP for Endpoints, Firepower eller noget fjerde.
SecureX skulle blive frigivet d. 30. juni, så for dem der ikke holder sommerferie på det tidspunkt, er der lidt at gå i gang med.
God sommer til alle.
Conscia Detection & Respons
Kniber det med at skaffe de rette kompetencer og ressourcer til trusselshåndtering i din infrastruktur, så har Conscia dedikerede sikkerhedsfolk med solid erfaring. Conscia tilbyder Managed Security, som vi også kalder Conscia Detection & Response, og giver dig synlighed over værdien af din investering.