De færreste cyberangreb starter med blinkende røde lamper. Faktisk er det ofte de farligste angreb, der larmer mindst.

De ligner helt almindelige aktiviteter. En bruger logger ind. En PowerShell-kommando bliver kørt. En legitim systemfil bliver brugt til rekognoscering. Hver individuel hændelse virker uskyldig – men ser man dem samlet, fortæller de en helt anden historie.

Det var netop dét scenarie, vi demonstrerede på vores ‘assumed breach’-session på V2 Security i København. Her blev et system kompromitteret live for at vise, hvordan moderne cyberangreb i stigende grad bygger på phishing, stjålne identiteter og brugen af legitime værktøjer, der allerede findes i miljøet.

Og det er præcis her, mange traditionelle sikkerhedsopsætninger begynder at få problemer.

For hvis hver enkelt hændelse isoleret set ser “normal” ud – hvordan skelner man så mellem legitim aktivitet og begyndelsen på et angreb?

 

Hvis alt er kritisk, er intet vigtigt

I mange år har tilgangen til sikkerhedsovervågning været forholdsvis simpel: Saml så meget data som muligt og byg alarmer på alt, der ser mistænkeligt ud.

Det gav mening i et mere forudsigeligt trusselsbillede. Problemet er bare, at virkeligheden har ændret sig.

I dag drukner mange sikkerhedsteams i notifikationer. Hundredvis eller tusindvis af alarmer skal vurderes hver eneste dag. Resultatet? Alert fatigue.

Når alt blinker rødt, bliver det svært at skelne de reelle trusler fra baggrundsstøjen. Prioriteringen bliver sværere, responstiden længere, og risikoen for at overse de vigtigste hændelser stiger markant.

Samtidig er angriberne blevet dygtige til at gemme sig i helt normal aktivitet.

Når vi analyserer moderne sikkerhedshændelser, ser vi typisk tre udfordringer gå igen:

  • Små spor bliver overset: Angribere bruger ofte værktøjer, der allerede findes på maskinerne. Hvis alarmer kun trigges af “ekstreme” hændelser, opdages den stille rekognoscering sjældent.
  • For mange alarmer skaber støj: Mange hændelser vurderes isoleret. Resultatet er, at de vigtigste signaler drukner i mængden.
  • Manglende kontekst: En alarm fortæller ofte kun, at noget skete – ikke nødvendigvis sammenhængen og hvorfor hændelsen er risikabel i kombination med andre aktiviteter på samme bruger eller host.

Det er netop derfor, risk-based alerting (RBA) er begyndt at fylde mere i moderne sikkerhedsarbejde.

 

Fra enkeltstående hændelser til samlet risiko

I stedet for at reagere på én enkelt aktivitet forsøger RBA at se på det samlede billede.

Med RBA tildeles hændelser løbende en risiko-score. En mistænkelig loginaktivitet giver måske en lav score. En såkaldt “LOLBin”-eksekvering lidt højere. Kommunikation mod et usædvanligt endpoint højere endnu.

Når den samlede risiko for en bruger eller en host overstiger et bestemt niveau, sker detektionen/alarmeringen.

Fordelen er ikke nødvendigvis færre hændelser. Fordelen er (bedre) kontekst. Det interessante er nemlig sjældent den enkelte aktivitet – men kæden af aktiviteter.

Det giver blandt andet:

  • Færre falske positiver: Sikkerhedsteams bruger mindre tid på isolerede hændelser uden reel risiko.
  • Bedre prioritering: De mest kritiske hændelser bliver tydeligere og hurtigere at reagere på.
  • Mere præcis detektion: Analytikeren får et samlet billede af hændelsesforløbet frem for enkelte datapunkter.

 

EDR alene er sjældent nok

Endpoint Detection and Response (EDR) er blevet en vigtig del af mange organisationers sikkerhedssetup – og med god grund. Men moderne angreb bevæger sig på tværs af identiteter, endpoints, netværk og cloud-tjenester.

Derfor handler effektiv detektion i stigende grad om at samle signalerne ét sted og skabe overblik på tværs af miljøet.

Når endpoint-data kombineres med centraliseret logindsamling og risikobaseret detektion, bliver det langt nemmere at opdage de angreb, der forsøger at ligne almindelig aktivitet.

Samtidig stiller frameworks som NIS2 ikke kun krav til politikker og dokumentation, men også til evnen til at opdage, prioritere og reagere på sikkerhedshændelser.

Her giver en risikobaseret tilgang god mening, fordi den hjælper med at fokusere indsatsen dér, hvor risikoen reelt er størst.

 

Moderne detektion handler om overblik

At bevæge sig mod risk-based alerting kræver ikke nødvendigvis, at hele jeres sikkerhedssetup skal (om)bygges fra bunden.

For mange handler det først og fremmest om bedre synlighed, mere intelligent brug af logs og et sikkerhedsteam, der er trænet til at tænke i angrebsmønstre frem for enkelte alarmer.

Teknologien spiller naturligvis også en rolle. Platforme som Splunk bruges ofte til netop denne type arbejde, hvor store mængder data omsættes til mere præcise detektioner og bedre beslutningsgrundlag.

Hvis du er nysgerrig på, hvordan risk-based alerting fungerer i praksis og vil høre hvordan vores SOC benytter netop RBA-værktøjer i hverdagen, tager vi gerne en uforpligtende snak om moderne detektion og sikkerhedsovervågning.