Advitum Svarar – Hur hanterar man en IT incident?

Publicerad 7 oktober 2022 i Advitum Svarar, Blogginlägg

Denna blogg kommer att ta upp frågan hur man hanterar en IT-incident när den har inträffat. På följande länk kan du också läsa om hur man kan förebygga att en IT-incident inträffar.

Ett kostnadseffektivt sätt att skydda ditt företag mot intrång

Bloggen är till för dig som vill veta de olika stegen man behöver ta i samband med ett intrång och i bloggen kommer kostnader kopplade till en IT-incident beröras.

Utmaningen

Visibillitet

Att överhuvudtaget identifiera problemet är första utmaningen. Sökbara loggar som gör att du snabbt kan följa incidenten är viktigt och ligger till grund för att du ens känner till att det finns en incident att hantera.

Väljer man bort att göra problemen synliga så väljer man automatiskt att göra problemen större. Att snabbt kunna agera och att snabbt kunna agera rätt är högst prioriterat vid IT-incidenter.

Struktur

Hur ser de interna processerna ut idag för hantering av IT-incidenter?

Har er organisation en roll som är incident manager? Vet den personen hur man skall göra när man ser att servrar börjar bli krypterade? Finns det policys för hur man skall göra? Finns det en disaster recovery plan?  

Frågorna blir snabbt många och det är något man måste förbereda innan det är skarpt läge. Då kommer resurserna som faktiskt kan sätta in åtgärder att vara upptagna med att lösa incidenten. 

Åtgärder

logpoint

En viktig åtgärd vid en incident är att snabbt kunna identifiera vart attacken kommer ifrån och sätta in motåtgärder. Oftast handlar det om att härleda ett avvikande beteende till en specifik användare eller endpoint. När man löst incidenten kan man fundera över vilka åtgärder som kan stoppa liknande incidenter i framtiden. 

Automatisering

När man har en mängd olika åtgärder att sätta in så känner sig organisationen rustad för att hantera de incidenter som kommer in men ofta ser man då att stora mängder tid går åt att hantera dem.

I vissa organisationer kan det då växa en motvilja till att lägga så mycket tid som man faktiskt behöver på att hålla organisationens IT-säkerhet på rätt nivå. Man vill absolut inte hamna i en situation där man ser vad som behöver göras och vet vad som behöver göras men att det inte finns resurser tillgängliga.

Automatisering av incidenter kan vara ett steg som minskar arbetsbördan på sikt. Allt kan och skall inte automatiseras men en del saker kan vara önskvärt. Syns till exempel malware i miljön och endpoint skyddet berättar att det inte har lyckats sätta det i karantän så varför inte automatiskt isolera den enheten nätverksmässigt tills dess att någon faktiskt kan ta in maskinen och göra djupare analys av problemet?

Det finns lösningar för detta men inget är gratis, inget kommer utan arbetsinsats så en medvetenhet inom organisationen är en direkt förutsättning. 

Lösningen

Visibilitet får man genom att faktiskt se vad som händer i IT miljön. Det kan man ju göra även utan att man investerar i t.ex. ett SIEM system för att hantera loggar men att leta runt i miljön är ett tidskrävande arbete och framförallt svårt att själva knyta ihop olika loggar från flera system till en och samma händelse. 

Med ett SIEM-verktyg som kan rapportera avvikelser i både trafik-, hälso- och användaraktivitet kan man snabbt få en överblick av en incident men även kunna arbeta med detta proaktivt innan händelsen uppstår. 

Moderna endpoint skydd fungerar tillsammans med övriga säkerhetslösningar och föder till exempel automatiseringsplattformar med information som gör att man kan bygga bra regler för vad som skall hända vid till exempel ett utbrott av malware.

Fördelar 

En incident kan bli mycket kostsam för företaget och direkt påverka tillverkning eller leverans av tjänster. Att identifiera vilka steg som behövs ta när det väl inträffar en incident kan minska nedtiden och snabba på återgången till normal verksamhet och minska badwill och inkomstbortfall.

Advitums erfarenheter

Vi har erfarenheter av att driva säkerhetsarbete hos en mängd olika kunder, allt från offentliga verksamheter som kommuner och landsting till säkerhetsklassade verksamheter, men samma tankesätt och processer som fungerar för stora organisationer fungerar även i de mindre.  

Kostnadsstruktur

  • Implementationskostnader, licenskostnader och eventuella kostnader för tjänster kring övervakning. 
  • Eventuellt behöver man även se över sina egna kompetenser internt i organisationen. Behöver man hjälp utifrån? Behöver man rekrytera? 

Vad gör vi nu?

Vad är ett lämpligt nästa steg? Ta kontakt med våra konsulter eller er kundkontakt på Advitum, vi kan hjälpa er se över nuläge, lägga upp en strategi och sedan finnas med er hela vägen genom implementation och fortsätta som rådgivare eller resurser när ni är igång.

Kontakta Seth Lindholm för att få hjälp med nästa steg.  

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.