Målet med prinsippet: Virksomheten oppdager skadelige aktiviteter som påvirker informasjonssystemer, data og tjenester gjennom analyse av sikkerhetsrelevante data.

Hvorfor er dette viktig?

Å oppdage uautoriserte handlinger og sikkerhetstruende hendelser kan være utfordrende, og i noen tilfeller er det avhengig av flaks, en observant bruker eller tips fra eksternt hold. Systematisert prosessering, gjennom sammenstilling og analyse av innhentet data vil bidra til å øke sjansen for å avdekke hendelser. Analysen vil også bidra til å forstå hendelser på tvers av strukturer og komponenter i IKT-systemet.

Virksomheten bør være i stand til å finne kjente trusler i egen infrastruktur, ha kompetanse til å benytte automatiserte verktøy og forstå hvordan verktøyene kan utnyttes best mulig. Verktøyene bør benytte seg av innsamlet data og verifisere dette («Indicators of Compromise» - IoC) for å oppdage kjente trusler.

Anbefalte tiltak: Analyser data fra sikkerhetsovervåkning
Anbefalte tiltak: Analyser data fra sikkerhetsovervåkning
IDBeskrivelse
3.3.1Lage en plan for analyse av data fra sikkerhetsovervåkning, herunder: Avgjøre om virksomheten selv skal bygge opp analysekompetanse, eller om dette skal kjøpes. a) Prioritet, frekvens og ressursbruk på analysearbeidet. b) Verktøy, tjenester og mekanismer for søk, prosessering og analyser. c) Forvaltning og videreutvikling av fagområdet, inkludert: i) signaturbaserte verktøy, ii) normaltilstanden i informasjonssystemet, iii) metodikk og automatisert prosessering av innhentet sikkerhetsrelevant data og iv) re-konfigurering av innhenting av sikkerhetsrelevant data. e) analyseverktøy, teknologi og algoritmer «anvendt maskinlæring» d) Rapportering e) Hendelseshåndtering
3.3.2Etabler og vedlikehold kompetanse om normaltilstanden i virksomhetens informasjonssystemer for å kunne oppdage endringer eller unormaliteter som kan indikere uautoriserte handlinger. Normaltilstanden må forvaltes over tid og gjenspeiles av omstillinger og omorganiseringer, oppkjøp, sammenslåing, nedbemanning og endring av driftskonsept. Kunnskapen om informasjonssystemene bør være så god at det er mulig å identifisere avvik som representerer trusler. Dette kan være: a) Dataflyt som er i strid med vedtatt dataflyt i henhold til prinsipp 2.5 - Kontroller dataflyt. b) Data som flyter på unormale tidspunkter og som ikke anses som normal trafikk. c) Unormalt store datamengder som flyter i nettverket.
3.3.3Ta i bruk verktøy som muliggjør manuelle og automatiske søk, samt alarmering basert på kriterier, i all innsamlet sikkerhetsrelevant data. Verktøyet bør automatisk kunne sammenstille data fra forskjellige kilder for å lettere kunne avgjøre om hendelsen er reel (ikke falsk positiv) samt omfang og karakter. Benytt kunnskap om normaltilstanden (se 3.3.2) og trusler (se 3.3.4) til å forbedre søk og kriterier for alarmering i verktøyet – som vil bidra til å kunne oppdage tidligere ukjente trusler.
3.3.4Innhent og bearbeid trusselinformasjon fra relevante kilder slik at denne kan benyttes ved vurdering av potensielle sikkerhetshendelser. Dette kan være data fra tidligere angrep eller trusselinformasjon fra myndigheter, sektor-CERT-er, sammenliknbare virksomheter eller åpne kilder.
3.3.5Vurder fortløpende om innhentet data er tilstrekkelig relevant og detaljert.
3.3.6 Etabler rutine for eskalering av alarmer, hvem det skal rapporteres til, samt hvilke data som skal tilgjengeliggjøres og hvem det skal tilgjengeliggjøres for i forbindelse med hendelseshåndtering.
3.3.7Benytt analyseverktøy, teknologi og algoritmer (også kalt anvendt maskinlæring) som bidrar til å oppdage og formidle ukjente trusler og unormaliteter i de sikkerhetsrelevante dataene.
Utdypende informasjon

Virksomheter bør ha evne til å nyttiggjøre seg av resultater fra sikkerhetsovervåkningen, se prinsipp 3.2 - Etabler sikkerhetsovervåkning. Slike evner kan innehas av virksomheten eller alternativt kjøpes. Virksomheter bør i tillegg knytte seg til relevant sektor-CERT for analysestøtte og støtte i forbindelse med hendelser.

Trusselinformasjon kan innhentes i mange formater, volum og kvalitet. Det kan samles inn fra åpne diskusjonsfora, samarbeidspartnere, abonnement på tjenester eller fra interne kilder. Trusselinformasjon må viderebehandles etter innhenting ved å trekke ut det som er relevant for virksomhetens IKT-systemer.

Virksomheter bør også ha evnen til å identifisere ukjente trusler ved å kombinerer inngående kjennskap til egne systemer, og sårbarheter, relevant trusselinformasjon og trusselbildet i sektoren. Enkelte angripere vil bruke store ressurser på å unngå å bli oppdaget av standard overvåkningssystemer som anti-virus programvare og signaturbasert IDS («Intrusion Detection Systems»).

For å bidra til prosessering av store datamengder og avdekking av uautoriserte hendelser bør virksomheten også vurdere bruk av «anvendt maskinlæring» - implementering av kjente algoritmer som vil bidra til å finne unormaliteter i de sikkerhetsrelevante dataene.

For en hurtig og effektiv prosess rundt analyse og varsling basert på de innsamlede dataene, bør virksomheten ha automatiserte analyseverktøy som kontinuerlig kalibreres basert på terskelverdier, kunnskap om «normalnivået» i virksomheten, eller kunnskap om truslene i det digitale rom. «Normalnivået» beskriver hva som er et «rent nettverk» og hvilke innstillinger og dataflyt som er vanlig under daglig drift.

Det er vesentlig å oppdage uregelmessigheter og hendelser tidlig for å kunne detektere og håndtere dataangrep (se kategori 4 - Håndtere og gjenopprette).

Virksomhetene bør kontinuerlig forbedre sitt kompetansenivå på prosessering av sikkerhetsrelevant data, herunder forståelse av egne systemer, verktøybruk, truslene og utvikling av metoder for å detektere uautoriserte hendelse.

Lenker

NSM: Samleside mot digital utpressing (løspengeangrep)

NCSC UK Cyber Assessment Framework - C1 Security monitoring