Styrk din risikohåndtering af sikkerhedshændelser med CIS kontrollerne

Vi sætter strøm til teorien, når vi stiller skarpt på, hvordan branchespecialister tænker cybersikkerhed. CIS-kontrollerne består af 20 praktiske og målbare kontroller, som tilsammen udgør et rammeværk for cybersikkerhed, og som har hjemme hos Center for Internet Security.

I 2008 gik det op for NSA, at der manglede en fundamental gentænkning af den bedste praksis for cybersikkerhed, og de nedsatte derfor en arbejdsgruppe, der formulerede 20 prioriterede emner, der i dag danner baggrund for et fællesskabsbaseret rammeværk kaldet CIS-kontrollerne.

CIS-kontrollerne består af 20 praktiske, pragmatiske kontroller, som er målbare, og som samtidig kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger.

En af forskellene på CIS-kontrollerne og fx ISO27001 er, at du ikke kan blive certificeret efter CIS, men til gengæld opdateres CIS-kontrollerne løbende, og de indeholder prioriterede lister over, hvad du i praksis skal gøre for at øge din cybersikkerhed.

CIS-kontrollerne er både intuitive og nemme at anvende i praksis, hvorfor vi også har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.

Forudse, styr og håndter sikkerhedshændelser med CIS-kontrol nummer 6, 8 og 16

Risikohåndtering udmøntes ofte i en beregnet kombination af sandsynlighed og konsekvens. Et eksempel på dette kunne være, at du kan nedsætte risikoen for, at en medarbejder klikker på en phishing mail ved målrettet og målbar awareness træning og når det så alligevel sker, kan konsekvens minimeres ved fx at fjerne lokale admin rettigheder og have velfungerende anti-malware løsning.

Det er dog ikke muligt at forhindre alle situationer hvor organisationen kan blive offer for malware (70% kommer udefra i form af ekstern hacking og 30% kommer internt fra organisationen selv) og derfor bliver håndtering af sikkerhedshændelser (Incident Response) et meget vigtigt element i hvordan organisationen håndterer deres it-sikkerhed.

Rettidig information om anomalitet er essentielt for håndtering af sikkerhedshændelser

Hvordan du forudser, styrer og håndterer dine sikkerhedshændelser er direkte afhængigt af, at få rettidig information om tegn på hændelser (på engelsk kaldt Indicators Of Compromise eller IOC), så der kan reageres fornuftigt på disse. Til dette kan CIS kontrollerne bidrage på følgende måde:

• CIS-kontrol nummer 6 – Logning. Målrettet og struktureret opsamling og analyse af logs gør det muligt at se tegn på en begyndelse hændelse og samtidigt kunne ”spole tiden tilbage” for at se hvornår hændelsen startede. Logs kan også samles som Audits fx med ManageEngine ADAudit som nemt afslører anormaliteter i forbindelse med Active Directory. Disse tegn på hændelser (IOC) sendes fra log systemet videre til sikkerhedshændelseshåndteringen.
• CIS-kontrol nummer 8 – Anti-malware. Disse systemer er blandt de første der opdager tegn på en hændelse (og dermed malware aktivitet) og det er vigtigt, at de reagerer på tegn på malware uden at kende den specifikke malware via adfærdsanalyse. Blandt de mange muligheder er fx Sophos, CrowdStrike og Carbon Black. Disse hændelser sendes til log systemet og derfra videre til sikkerhedshændelseshåndteringen.
• CIS-kontrol nummer 16 – Overvågning af konti. Anormal brug af administrative rettigheder og adgang til konti er et væsentligt element i opdagelsen af en hændelse idet 4/5 succesfulde sikkerhedsbrister med datalæk involverer misbrug af rettigheder og konti. Eksempler på løsninger der kan håndtere dette er ManageEngine ADAudit eller Lepide Auditor. Hændelserne sendes til logsystemet og derfra videre til sikkerhedshændelseshåndteringen.

Når jeres sikkerhedshændelseshåndtering modtager en hændelse, så vurderes den og er den tilstrækkelig alvorlig tager SOC teamet (Security Operations Center) over og håndterer hændelsen efter en sikkerhedshændelsesplan som kan udarbejdes efter CIS-kontrol nummer 19. 

Har virksomheden ikke selv et SOC-team kan denne service fås eksternt fx hos Deloitte. Det er vigtigt at SOC teamet løbende tester sikkerhedshændelsesplanen som også bør bestå af en Computer Security Incident Response Plan (CSIRP) og et Computer Security Incident Response Team (CSIRT), hvor specifikke eksempler på hændelser er beskrevet – ofte med udgangspunkt i Mitre ATT&CK rammeværket.

Vil du høre mere om hvordan du håndterer sikkerhedshændelser mest effektivt eller er du nysgerrig på hvilken service vi tilbyder inden for Incident Respond samt SOC-team, så kontakt Christian Schmidt på 30 93 60 09 (chrschmidt@deloitte.dk).