Læs også:
Fejl 40 er blandt de værste sikkerheds-mareridt
Ved du hvad, der sker i dit netværk? Hvis ikke, så er svaret indenfor rækkevidde.
Det finder du i dine log-filer, der fortæller alt om dine datas bevægelser.
Logfilerne i et travlt netværk kan være gigantiske og uoverskuelige, men der er masser af informationer, som ikke mindst er til gavn for it-sikkerheden.
Det første stykke mod forståelse af log-filer handler om strukturering.
"Ved at samle informationerne i en overskuelig brugerflade kan man hente masser af nyttige informationer om den daglige trafik, login-fejl eller til statistik," fortæller Peter Jelver, der er specialist i log-filer og teknisk chef i firmaet eSec.
Han peger dog på, at alt det, der ikke er normalt, faktisk er mere interessant.
"Det er i afvigelserne, man finder svar på svagheder i sikkerheden. Når netværkstrafikken adskiller sig fra det normale, kan det nemlig være tegn på it-kriminalitet."
"Hvis din firewall pludselig rummer oplysninger om trafik på mærkelige porte eller til mystiske servere, kan det være et tegn på, at du ikke længere har kontrollen over trafikken. Det er typisk botnet-aktivitet, der kræver handling," fortæller han.
Log-fil-analyse skal ses som et supplement til den eksisterende it-infrastruktur med blandt andet antivirus og firewalls.
"Det er en passiv beskyttelse, men den er effektiv, når de andre sikkerhedsfunktioner ikke slår til, eller når der skal efterforskes," siger Peter Jelver.
Du kan selv følge loggen
Peter Jelver peger på, at danske virksomheder kan blive meget bedre til at bruge log-filerne i deres sikkerhedsarbejde.
"Firmaerne er godt rustet med antivirus og lignende sikkerhed, men log-filerne kan ofte virke som et uoverskueligt projekt at give sig i kast med."
Han peger dog på, at det ikke er den store tekniske udfordring, men i stort omfang handler det om manglende viden på området.
"Alle kan købe standard-software, der kan filtrere og analysere på log-filerne. Det kan sammenlignes med et spam-filter. Problemet er, at få det konfigureret, så det passer til netværket, så der ikke slipper for mange falske positiver igennem. Det kan drukne projektet," vurderer han.
Det handler også om, at få uddannet medarbejderne eller alternativt at outsource opgaven.
"Den automatisering, der foregår i programmerne er god, men ikke tilstrækkelig. Der skal en menneskelig vurdering hen over i de kritiske tilfælde, og det kræver, at man ved, hvordan der skal handles, når problemerne opstår. Ellers er log-overvågning ligegyldig."
Derfor anbefaler han, at man giver den fornødne uddannelse af brugerne samt stiller personer til rådighed for opgaven.
"Man skal være opmærksom og hele tiden følge med. Det er mange firmaer løbet sur i, fordi det kræver mange folk," siger han.
Log-overvågning kan implementeres i firmaet ved at købe standard-software som installeres lokalt. Der er også cloud-tjenester, hvor virksomhedens logfiler samles og præsenteres i et brugerinterface.
Desuden kan man naturligvis købe hele pakken med opbevaring, analyse og alarmering fra et konsulenthus, hvis man har behov for det.
Hvad har du i din log i dag?
Der er sket et skifte i de angreb, som rammer firmaerne i dag i forhold til tidligere.
"For nogle år siden var det primært angreb mod huller i programmer eller orme. I dag er det langt mere populært at slå til mod Apache-servere med PHP-programmer. Vi er gået mod, at de net-kriminelle forsøger at tiltvinge sig adgang til databaseindhold, hvilket eksempelvis Sonys problemer er et eksempel på," fortæller Peter Jelver.
Han vurderer samtidig, at de største sikkerhedsproblemer som han finder i log-filerne skyldes script kiddies, som bruger hacker-programmer, der kan købes på nettet og de såkladte fejl-40, hvor brugeren handler forkert.
"Der er mange angreb fra 'teenageværelset', og det fylder meget i virksomhederne, mens angreb fra mere professionelle kilder ofte handler om at få adgang til kreditkortoplysninger eller konti. Vi ser desuden angreb eller spionage fra stater, men det har vi heldigvis ikke så meget af i Danmark."
