Hela världen pratar om IT-säkerhet. Inte en dag går utan rubriker om cybersäkerhet och inte utan anledning. Cyberbrott har blivit kännbara för alla, stora som små. Verksamheter som drabbats av ransomware betalar enorma lösensummor och får massiva kostnader för att återhämta sig efter incidenterna. Kunder brukade säga att de inte hade något värdefullt för en hackare, men dagens verklighet visar att alla kunder har något av värde för en cyberbrottsling. Så var ska du börja om du vill förbättra IT-säkerheten i din organisation? Jag rekommenderar tre enkla steg:
1 – Sluta köpa fler brandväggar
IT-säkerhet handlar om så mycket mer än brandväggar och om brandväggar var lösningen på alla IT-säkerhetsproblem hade vi inte haft ransomware. Jag känner inte till några av våra kunder som har haft ransomware som inte också haft en väl konfigurerad brandvägg. Men verkligheten är att det mesta av investeringarna för att förbättra IT-säkerheten spenderas på skydd och förebyggande teknik.
Som alla andra IT-ämnen handlar IT-säkerhet om mer än teknik, den handlar också om människor och processer. Så cybersäkerhet bör ta itu med triaden av människor, process och teknik men den bör också fokusera på de fem faserna i NIST-cybersäkerhetsram:
- identifiering
- förebyggande
- detektion
- respons
- återhämtning
Så lägg inte era pengar i bara en av de fem faserna.
2 – Bedöm först – förbättra IT-säkerheten sen
Du kan bara göra effektiva prioriteringar och investeringar om du vet var du är och var du vill vara. Du kan göra detta på ett detaljerat och extremt besvärligt sätt, eller så kan du ta den lättare versionen – jag vet vilken du väljer !!! (Och det gör jag med).
Gör en säkerhetsbedömning baserad på en av de ledande cybersäkerhetsramarna som CIS Controls. CIS Controls (tidigare känd som CIS20) har just 
uppdaterats till version 8.0 och återspeglar bästa praxis och beprövade metoder för att minska cybersäkerhetsrisker.
Som du antagligen förstått av ovanstående är jag ett stort fan av KISS-principen (Keep It Simple Stupid), och säkerhetsbedömningen med CIS Controls kan faktiskt göras på ett ganska enkelt sätt. Du behöver inte spendera många veckor på att göra bedömningen, men (beroende på verksamhetens storlek) så borde några dagar räcka och ge dig en bra utgångspunkt för din investering i att förbättra IT-säkerheten.
Och medan du håller på med det, börja utveckla ransomware-planer (BCP / DR-planer) som du också testar som simuleringar. Försök att simulera att din Active Directory (AD) är nere – inte så lätt, eller hur? Allt för ofta ser vi att kunder antingen inte planerat eller aldrig tränat med en simulerad en ransomware-attack, och det är verkligen synd eftersom det blir dyrt för dem senare.
3 – Investera i Managed Detection & Response
Det sista rådet jag kan ge är övervakningen av din IT-miljö. Statistiken säger att den genomsnittliga hackaren är inne i nätverket i mer än 200 dagar. Tänk om vi istället kan stoppa honom strax efter några timmar eller till och med någon dag. Då kommer han oftast inte att hinna smitta ditt nätverk som avsett.
Naturligtvis kan du hyra en riktigt avancerad Security Operations Center (SOC)
för att få en Managed Detection and Response (MDR)-tjänst men du kan också göra det själv. Det största problemet med att göra det själv är investeringen i programvara och hårdvara för att upptäcka och reagera och sedan investera i skickliga människor för att utföra analysen 24/7 – och frågan är också om du kan hitta dessa skickliga resurser. Kostnaden för denna investering kan vara ganska hög och i min erfarenhet är kostnaden för MDR ofta 1/3 av kostnaden för att göra det själv. Så cybersäkerhet måste vara ganska strategiskt för att du ska betala det extra för interna tjänster.
Vi tror också att EDR är det bästa valet för att ge synlighet i din IT-miljö. Alla infektioner sker i slutpunkterna/hos klienterna och när nätverkstrafiken är krypterad är det ganska svårt att upptäcka i nätverket. Detta bevisas också av Mittre-utvärderingarna där alla ledande säkerhetsleverantörer testar hur de kan förhindra attacker från en specifik hotaktör. Alla de bästa lösningarna är baserade på EDR och inte brandväggar och nätverks-IPS – ta en titt på https://mitre-engenuity.org/attackevaluations/
Följande tabell visar vår uppskattning av den synlighet vi får från olika säkerhetsdatakällor, och jag hoppas att detta tydligt anger varför vi är så fokuserade på Endpoint Detection and Response (EDR).
Jag hoppas att ovanstående tre förslag kan ge dig input för att förbättra din cybersäkerhet. jag vet att förslagen inte kan genomföras över en natt – men du måste börja resan.
Webinar om att förbättra IT-säkerheten
