Korleis halde oversikta i ein jungel?

I fyrste blogginnlegg skreiv eg at dei fleste organisasjonar i dag har eit vell av sikkerheitsløysningar. Det er svært sjeldan at 2 ulike bedrifter har nøyaktig same oppsett, då det òg er sjeldan at bedrifter har dei same utfordringane og står ovanfor dei same truslane.

 

Me nordmenn er eit oppegåande folkeslag, som er svært lite nøgde med å gjere eit dårleg kjøp. Difor brukar me gjerne lang tid når noko nytt skal kjøpast inn, uavhengig om det er ein robotstøvsugar eller -klippar, TV eller joggesko. Det er sagt at me nordmenn brukar lengre tid på å vurdere når me skal kjøpe joggesko enn når me kjøpar hus. Dette tankesettet tek me med oss inn i arbeidslivet.

For oss som jobbar med IT-sikkerheit, eller jobbar vert feil å sei – IT-sikkerheit er nemleg ikkje ein jobb, det er ein lidenskap og ein livsstil. Du trekker kanskje på smilebandet no, men fakta er at skal ein halde seg oppdatert på både nye truslar og verkty og metodar for å nedkjempe desse – ja så er det ikkje nok å gjere dette berre mellom 8-16.

Attende til saken – for oss som har IT-sikkerheit som ein livsstil, så er det ein abnorm jungel ein skal forholda seg til når nye løysningar skal vurderast:

 

 

Det er akkurat her den store utfordringa ligg. Innanfor kvart av desse områda, er det produsentar og løysningar som skil seg ut – som gjer det betre enn alle andre, innanfor sitt område. Desse vert gjerne omtala som best of breed.

Dette tek oss til det som skapar hovudverket, spesielt for dykk som skal administrere desse løysningane i eit nettverk.
Svært få av dei ulike produsentane har løysningar som samarbeida på tvers av andre produsentar, verken kva gjeld funksjonalitet eller utveksling av informasjon. Dette gjev fleire utfordringar; det kan medføra at ein lyt gjera endringar i oppsett og policy i fleire løysningar då dei har overlappande funksjonalitet, det er ikkje utveksling av informasjon slik at den trusselen som ein av løysningane flaggar som farleg (men som den mot normalt ikkje klarar å gjera noko med), det har ein anna løysninga eliminert, eller ein trussel som eit filter flaggar som SÆRS alvorleg er i realiteten heilt ufarleg då nettverket ditt ikkje inneheld den teknologien som freistas utnytta.
Det vert umogleg å halde oversikt, umogleg å forstå kva status faktisk er og ein får ikkje maksimalt utbytte av alle dei løysningane ein har investert i.

  • Lat oss sjå på dette som å bygge ein murvegg der ein let vera å bruke støyp mellom mursteinane. Murveggen kan sjå solid ut, og ein murstein i seg sjølv er ganske solid. Men det skal ikkje så mykje til før murveggen kollapsar og ein står att med ein haug med ganske solide mursteinar i eit håplaust kaos.

SIEM (Security Incident & Event Manager, red. anm.) vert ofte trekt fram som vegen å gå for å få oversikt. Lat meg først seie at dette er heilt klårt ein god veg å gå! Men for mange vert det ein umogeleg reise; det er komplisert og tungt å implementere, krev mykje administrasjonstid for å hente ut maksimal verdi og SIEM er absolutt ikkje eit verkty som ein set inn og gløymer (omtalt som fire and forget, red. anm.). Det lyt brukas heile tida, der ein kontinuerleg justera reglar og alarmverdiar. Dermed er det mange organisasjonar som vegrar seg for å implementere SIEM, sjølv kor mykje positivt dette kunne ha gjeve dei.

  • Kva om det fanst ein mellomveg, ein løysning som kan gje full oversikt over kva som skjer i sikkerheitsløysningane dykkar – uavhengig av kva farge og namn dei skulle ha? Og som kan «krydra» dette med meir etterretningsinformasjon frå ein stor global organisasjon og mogleggjera automatisering på tvers av løysningar?

Det er akkurat her Cisco no tek ein klår plass. Med lanseringa av Cisco SecureX på Cisco Live US 16-17ande juni i år, er dette no ein moglegheit. Det er ikkje berre ein moglegheit, det er vorte ei sanning. For Cisco har nemleg valt å tilby dette GRATIS til alle som har gyldig avtale på ein av Cisco sine sikkerheitsløysningar.

  • For godt til å vera sant? Kan i grunn vera einig med deg der. Dette burde heilt klårt ha koste ein god del, sidan verdien for administratorar er STOR!

Det heile handlar i botn og grunn om å dela kunnskap. Ved å gjere det, vert me (dine sikkerheitsløysningar, red. anm.) alle smartare og betre rusta til å ta gode sjølvstendige val.

Cisco SecureX vert levert som sky-teneste, inkludert rollebasert tilgang med multifaktor-autentisering, og er basert på ein open plattform. Med dette vil 3dje parts sikkerheitsløysningar òg kunne inkluderast i oppsettet (vil inkludere ein del ferdige API-ar, alternativt kan ein enkelt kode dette sjølv). Ein kan no samle og samanlikne sikkerheitshendingar på sekundar, og ikkje minst, dette gjev deg moglegheita til å automatisere ein mengder med arbeidsflyt som tidlegare kravde hands-on utføring. For de av dykk som allereie kjenner til Threat Respons og Defense Orchestrator, er desse integrert/ delvis integrert i SecureX. Etter planen vil begge løysningane verta fullt integrert.

 

 

Korleis vil SecureX betre IT-sikkerheita mi spør du?

  • Betre oversikt på tvers av heile sikkerheits-infrastrukturen. Der ein før måtte veksle mellom ulike grensesnitt kan ein nå få tilgang til all denne informasjonen i eit grensesnitt.
  • Lettare å automatisere arbeidsflyt som går på tvers av løysningar ved at ein no kan gjere dette ein stad og på denne måte auke effektiviteten og presisjonen.
  • Meir samarbeid mellom team sidan alle no ser/ kan sjå det same.
  • Maksimer utbytte ved å la løysningar samarbeide mot tidlegare jobbe kvar for seg.

MERK; dette er ikkje ein erstatning for verken SIEM eller SOAR, men eit verkty som hjelp deg godt på vegen. SecureX kan integrerast mot dei fleste leverandørane innanfor SIEM og SOAR.

Får å gå attende til bilete av mursteinsveggen utan støyp – SecureX vil vera støypen mellom mursteinane. Den sørge for at alt heng saman, vert meir solid og vert verkeleg den muren av sikkerheitsløysningar ein treng i dag.

Avslutningsvis; det beste for våre kundar er å gjere det maksimale ut av dei løysningane som allereie er på plass. Og samstundes sørge for at infrastrukturen vert ein integrert del av sikkerheita – ikkje berre vera berar av informasjon av data.

Ynskjer du å vita meir om SecureX, meld deg på webinaret som våre kollegaer i Slovenia held (vert helde på engelsk) ved å følge denne linken. Alternativt kan du ta kontakt med Magnar Barsnes. Du har òg moglegheit til å delta på Cisco Live US då dette vert gjort digitalt i år.

Inntil neste gong tastaturet grip tak i meg; med ynskjer om ein strålande og sikker helg vidare!

 

 

 

 

  • Magnar Barsnes, Forretningsutvikler Sikkerhet

Kontakt oss

Magnar Barsnes
Magnar Barsnes har jobbet i IT-sikkerhetsbransjen siden 2006, og har innehatt mange ulike roller deriblant foredragsholder, mentor, løsningsrådgiver, fagselger og kundeansvarlig. I Conscia er han ansvarlig for sikkerhetssatsningen og utvikle denne videre fra et salgsperspektiv.