Grunnprinsipper for IKT-sikkerhet 2.0
Etabler sikkerhetsovervåkning
Målet med prinsippet: Virksomheten overvåker sine IKT-systemer og samler inn relevante data for å oppdage sikkerhetshendelser og legge et grunnlag for analyse av data.
Hvorfor er dette viktig?
Innsamling og analyse av sikkerhetsrelevant data kan bidra til å oppdage sikkerhetshendelser tidlig, vurdere skadeomfang og hendelsens karakter og forstå hendelsesforløpet. Tilgang på tilstrekkelig data kan være avgjørende for at virksomheten skal kunne gjenopprette normaltilstand og hindre gjentakelse av en hendelse, og det vil være viktig i forbindelse med etterforskning.
Mangelfull sikkerhetsovervåkning og deteksjon i informasjonssystemer, samt mangelfull sammenstilling og analyse av sikkerhetsrelevante data gjør at angripere kan skjule tilstedeværelse, handlinger og aktiviteter i virksomhetens informasjonssystemer. Selv om en virksomhet vet at systemer og maskiner har blitt infiltrert, vil de være blinde for detaljene i hendelsen dersom virksomheten ikke har etablert tilstrekkelige sikkerhetsovervåkning.
Anbefalte tiltak: Etabler sikkerhetsovervåkning
| ID | Beskrivelse |
|---|---|
| 3.2.1 | Fastsett virksomhetens strategi og retningslinjer for sikkerhetsovervåkning. Følgende bør beskrives: a) Formål med og bruksområdet til innsamlet data. b) Hvilke data som skal samles inn. c) Sikker oppbevaring av data (også oppbevaring og behandling av data i forbindelse med rettslig prosesser). d) Kapasitetsplanlegging for lagring av innsamlet data. e) Tilgangsstyring til innsamlet data. f) Sammenstilling av logger fra virksomhetens forskjellige enheter og tjenester. g) Sletting av data. h) Revisjonsintervall for strategien (minst en gang i året og ved spesielle hendelser, f. eks. etter en større hendelse som dataangrep). |
| 3.2.2 | Følg lover, reguleringer og virksomhetens retningslinjer for sikkerhetsovervåkning. a) Undersøk hvilke lover og regler virksomheten må forholde seg til. b) Ta stilling til hvor lenge innsamlet data skal og kan lagres. c) Informer ansatte om hva som samles inn, hva det skal benyttes til og hvordan data skal behandles. |
| 3.2.3 | Avgjør hvilke deler av IKT-systemet som skal overvåkes. Det kan være bl.a. følgende. a) Deler av systemet som er mest kritisk eller som inneholder den mest konfidensielle informasjonen (både operativsystem, database og applikasjon). b) Enheters operativsystemer. c) Interne nøkkelpunkt hvor data flyter gjennom. d) Nøkkelpunkt mellom interne og eksterne systemer, for eksempel ut mot Internett. e) Sikkerhetsprodukter (AVS, IDS, IPS, FW, mm.) i informasjonssystemene. f) System for sikkerhetskopiering og gjenoppretting. |
| 3.2.4 | Beslutt hvilke data som er sikkerhetsrelevant og bør samles inn. For delene nevnte i 3.2.3 bør man som minimum samle inn a) data relatert til tilgangskontroll (vellykkede og mislykkede pålogginger) på enheter og tjenester og b) administrasjons- og sikkerhetslogger fra enheter og tjenester i IKT-systemene. For klienter bør man i tillegg som minimum registrere c) forsøk på kjøring av ukjent programvare (ref. 2.3.2) og d) forsøk på å få forhøyede systemrettigheter («privilege escalation»). |
| 3.2.5 | Verifiser at innsamling fungerer etter hensikt. a) Kontroller at logginnstillinger fungerer og at det som skal innhentes blir innhentet. b) Sørg for at alle systemer som jevnlig lagrer sikkerhetsrelevant data har tilstrekkelig lagringsplass slik at nødvendig data ikke går tapt. c) Benytt et standardisert format slik at data enkelt kan leses av tredjeparts logganalyseverktøy. |
| 3.2.6 | Påse at innsamlet data ikke kan manipuleres. a) Arkiver og signer loggene digitalt med jevne mellomrom for å sikre loggintegritet. b) Sørg for tilstrekkelig tilgangsstyring på logger og implementer funksjonalitet som oppdager forsøk på manipulering eller sletting av logger. c) Påse at alle komponenter er synkronisert mot en og samme tidskilde. d) Samle relevante data og konsolider dem til en database slik at de er tilgjengelige for analyse (se prinsipp 3.3 - Analyser data fra sikkerhetsovervåkning). |
| 3.2.7 | Gjennomgå og konfigurer innhenting av sikkerhetsrelevant data og den sentrale loggdatabasen jevnlig i tråd med strategien slik at det kun innhentes og tas vare på relevante data. Fjern innsamlede data som ikke lenger har noen operasjonell eller sikkerhetsmessig relevans. |
Utdypende informasjon
Det er viktig å kartlegge virksomhetens mest kritiske systemer og data slik at overvåkning, innsamling og deteksjon gjøres på de riktige stedene i informasjonssystemene. Det er viktig at uautoriserte handlinger, sikkerhetsbrudd og sikkerhetstruende hendelser kan oppdages så tidlig som mulig slik at skade kan minimeres, om ikke forhindres.
Identifisering av kritiske systemer og data er nødvendig for å etablere evne til å samle inn relevant informasjon om systemer og aktiviteter som kan bidra til at hendelser oppdages.
Uønsket aktivitet i eget nettverk er utfordrende å oppdage, og dersom angripere får fotfeste vil de forsøke å maskere mest mulig av aktivitetene som legitim trafikk. Sikkerhetsrelevant data bør derfor brukes for å gi en oversikt over normaltilstanden, slik at avvik kan oppdages. Videre gjør den stadig økende bruk av ende-til-ende-kryptering fra trusselaktører at innhenting av sikkerhetsrelevant data fra endepunkter også bør prioriteres, i tillegg til innhenting av generell nettverkstrafikk.
Logger er viktige for hendelseshåndtering og rasjonell drift av informasjonssystemer, men må også benyttes med varsomhet og beskyttes godt. Sikkerhetsrelevant data kan inneholde konfidensiell informasjon om den enkelte medarbeider og behovet for lagring og tilgang må til enhver tid veies opp mot behovet for personvern.
Sikkerhetsovervåkning på klienter blir ofte oversett. Svært mange angrep starter der sluttbrukere behandler epost og surfer web. Man ser ofte at det mangler viktige logger fra klienter for å forstå tidlige faser i et hendelsesforløp. Det kan derfor ofte være behov for mer detaljert data fra klienter, se 3.2.4.
Sikkerhetsrelevante data skal bidra til å ivareta autentisitet, konfidensialitet, integritet, tilgjengelighet, ansvarlighet og tillit i informasjonssystemene. Dataen må innhentes og håndteres på en slik måte som også inngir tillit til det som står i loggen, til at det som skal innhentes faktisk blir innhentet og at dataen ikke er manipulert. Den sikkerhetsrelevante dataen skal kun benyttes til å ivareta sikkerheten i IKTsystemer og bør lagres lenge nok tid til at man kan oppdage og kartlegge uønsket aktivitet i etterkant av en hendelse. Videre må behovet for at data potensielt kan være relevant i fremtidig etterforskning, skadevurdering og trendanalyser inngå i vurderingen for hvor lenge data skal oppbevares.
For at sikkerhetsrelevant data skal kunne brukes effektivt bør de sentraliseres og konsolideres for å kunne vurderes, analyseres og dermed gjøre det mulig å reagere riktig på sikkerhetstruende hendelser.
Lenker