Artikel top billede

Dansk software støvsuger dine digitale fodaftryk

Netværksanalyse med fundament i big data-teknologi gør dit netværk helt transparent og kan sætte personer og navne på sikkerhedsproblemerne.

Interview: Den danske software-virksomhed LogPoint har lokaler på øverste etage i en ejendom, der er placeret i en anonym sidegade på det ydre Østerbro i København.

Og anonymitet er også et af kodeordene for den kode, som firmaet udvikler.

Under de skrå loftvægge udvikles der netværksovervågning i big data-klassen med certificeringer, der blåstempler salg til både efterretningstjenester og militær, som arbejder i det skjulte.

"Vi er dog primært rettet mod kommercielle kunder. Vi startede i finanssektoren, men i dag spænder vi bredt og eksempelvis det offentlige er en af vores største kunder, men vi har også kunder blandt politi og efterretningstjenester," siger firmaets CEO Jesper Zerlang, da Computerworld møder ham og hans tekniske chef under loftbjælkerne.

Sikkerhed på en ny måde

Software-huset har ikke udviklet et sikkerhedsprodukt i traditionel forstand, men har i stedet valgt at analysere hele netværket og alle de digitale fodaftryk, der sættes i - og omkring netværket.

De mange data køres herefter gennem et hav af algoritmer, der kan finde fejl, unøjagtigheder eller anden mistænkelig adfærd i de hændelser, som suser gennem netværkskablerne.

Når der dukker uregelmæssigheder op, bliver de netværksansvarlige gjort opmærksom på, at her er der noget, der skal kontrolleres.

Lidt firkantet sagt har LogPoint bygget en netværkssladrehank i sværvægterklassen.

"En helt banal situation kan være, at en bruger logger på netværket med sin kode, uden at hans adgangskort er blevet registreret i medarbejdersystemet. Mistænkeligt fordi vedkommende ikke er mødt på arbejde, men anvender sit login. Så får man en advarsel," fortæller Jesper Zerlang.

Og LogPoint kan faktisk benytte alle informationer, så længe de er digitale, i deres netværksanalyser.

Begrebet kaldes Security Information Event Management eller bare SIEM.

"Kort fortalt er det log-management med analyse," fortæller Christian Have, der er teknisk chef i LogPoint.

Fra konsulenthus til Nepal

Firmaet startede egentlig som et konsulenthus, men i 2008 blev konsulentdelen neddroslet, og i stedet blev det til et fokuseret software-firma.

"I takt med at datamængderne bare vokser og vokser, så vi en forretningsmodel i at analysere disse data i realtid," siger Jesper Zerlang.

I dag sidder omkring 25 personer og idéudvikler i Europa, samt 45 folk i Katmandu i Nepal, der omsætter det hele til kodelinjer.

"Vi har ikke outsourcet opgaven, men har oprettet et datterselskab med dansk ledelse i Nepal. Personalet er således ansat af os. Det er den moderne måde at udvikle software på," siger Jesper Zerlang.

Nepaleserne er et meget stolt folkefærd, og det har krævet en helt speciel form for kommunikation.

Men kulturforskellene er blevet taklet med godt humør, og der er specielt et punkt, der har været med til at holde udfordringerne fra døren.

"Vi har ansat en dansker, der taler sproget, og som har boet i Asien i massevis af år. Det er en lidt ældre fyr, der kommer 30 timer om ugen, hvor han bygger en kulturel bro mellem parterne," siger Jesper Zerlang.

Seneste fjer i hatten for LogPoint er en NATO-godkendelse, så firmaets produkt kan indgå i cyber defence-løsninger indenfor militæralliancen samt hos militær og politistyrker.

Med NATO-certificeringen følger der en række lokale sikkerhedskrav, der skal opfyldes, og det har blandt andet betydet, at personalet skal baggrundstjekkes og, at virksomheden skal flytte til nye lokaler. De eksisterende er simpelthen ikke sikre nok.

"Det har været en hård proces at opnå certificeringen, men det har betydet, at vi er gået fra at være en entreprenør-virksomhed til en etableret international software virksomhed."

Alt kan registreres

For at bygge en kodebaseret netværkssnushane modtager LogPoint data fra alle digitale kilder. Informationer dybt inde i økonomisystemet, i firewallen, SCADA-systemer eller fra medarbejderens nøglekort.

"Og i princippet kan vi anvende alle digitale data."

I praksis sendes en kundes logfiler over på en LogPoint analyseserver - en proxy-server for logfiler. Overførslen sker før den originale logfil er gemt på lokalt på en server - og sker derfor på dannelsestidspunktet hukommelsen.

Det gør man for at undgå manipulation med filerne. Herefter analyseres data i LogPoints software.

Firmaet hemmelighed er, at de kan oversætte indholdet af logs fra alle mulige programmer og leverandører til et fælles sprog, som man kan analysere på.

"På den måde kan man eksempelvis spore en IP-adresse i alt fra firewall'en til økonomisystemet."

Ved at berige analyserne med eksterne data som eksempelvis informationer fra Active Directory (AD) kan man igen filtrere indhold og handlinger helt ned på personniveau.

Kan man også søge efter nøgleord i mails, indhold i dokumenter eller deep packet inspection?

"Ikke direkte, men vi har aftaler med andre software partnere, der kan. Alt indsamlet indhold kan vi analysere i vores software for at give det fulde billede."

På baggrund af de regler (Key Point Indicators), der er opstillet af programmets bruger, vises resultaterne i relevante dashboards, altså i en grafisk brugerflade med diagrammer eller figurer, for at give et hurtigt overblik til såvel ledelsen som til sikkerhedschefen og selv it-specialisterne i selve driften.

"På den måde kan avancerede data præsenteres i relevante ledelsesrapporter. Det er ligesom Excel."

Paradoks og diskussion

Giver det behov for love og regler, når almindelige virksomheder kan overvåge så detaljeret?

"Det er en diskussion, der skal tages af politikerne. Men når denne form for overvågning bliver udbredt i virksomheder, så vil det også præge resten af samfundet. Men det er en politisk diskussion, vi leverer et proaktivt forsvar mod de problemer, der kan opstå i et netværk," siger Jesper Zerlang, og fortsætter:

"Vi har satset på analyse af store datamængder, og den stigning vi hele tiden oplever viser, at vi har valgt rigtigt. Ifølge analysehuset Forrester bliver den samlede datamængde i hele 2003 genereret på 10 minutter i 2014."

Men der er et paradoks, når man udvikler overvågningssoftware baseret på analyse.

"På den ene side ønsker folk, at deres personlige data er private. På den anden side vil man gerne have, at hospitalet har alle oplysninger om en, når man bliver indlagt. Det er en modsætning."

Ifølge Jesper Zerlang handler det om, at oplysningerne kun anvendes af de rigtige personer. Kan man holde den plan, så er begge paradoksets parter blevet tilgodeset.

"For os handler det om, at finde frem til frem til uregelmæssigheder og gøre opmærksom på dem. Man må acceptere at blive stoppet af politiet, hvis man kører for stærkt. På samme måde må man acceptere, at blive stoppet, hvis man bryder de digitale regler."

Men hvordan ser I på det paradoks, at jeres software kan bruges til både 'uheldig' overvågning og sikkerhed?

"Vi ser det som en forretningsmulighed. Vi leverer software, der kan gøre virksomheder trygge. Hvis kunden gør sine brugere opmærksom på, at uregistrerede opslag i eksempelvis en patientjournal bliver registreret, så er det en ganske fin politik, til at give autoriseret personaleadgang."

Overvågning handler altså om tillid i virksomheden.

"Når folk ved, hvad betingelserne er, så forvalter de også systemerne mere korrekt. Hvis man bare stiller systemerne til rådighed, så vil de også blive misbrugt. Det handler om adgang til data for de personer, der fagligt skal bruge adgangen."

Læs også:
Næste generation af BI-løsninger bliver som at stirre direkte ind i fremtiden

Microsoft: Cloud vil ændre den måde alle arbejder på - også i Microsoft

BI som du aldrig har prøvet det før: Her er de nye løsninger