Den gængse vej mod bedre sikkerhed har gennem mange år været at bygge sine forsvarsværker højere og højre.
Men i erkendelse af at de it-kriminelle hele tiden er et skridt foran, så er oprydningen efter sikkerhedsuheld kommet i fokus i it-afdelingerne.
Denne del af sikkerhedskæden kan selvfølgelig ikke stå alene, men skal gå hånd i hånd med de mere traditionelle sikkerhedstiltag i netværket.
Den retrospektive sikkerhed er sådanset ikke en ny ide, eksempelvis har Czech Technical University i Prag arbejdet med teknologier til denne form for sikkerhedsbeskyttelse i mere end ti år. Arbejdet blev dengang sendt i udbudt af den amerikanske hær og flåde, der ønskede at se nærmere på mulighederne.
Grund-ideen i det, man kalder network behavior analysis (NBA), bestå i at anvende kunstig intelligens og machine learning - altså automatiske processer - til at holde øje med trafikken i netværket og gå på jagt efter den mistænkelige trafik.
Cloud-teknologien har samtidig tilføjet en ekstra dimension til teknologien, da sikkerhedsleverandørerne nu hurtigt og effektivt kan samle sikkerhedsproblemer frahele internettet i en pulje, som så kan bruges til at opdatere de enkelte virksomheders netværk i næsten realtid.
En af de virksomheder, der slår på tromme for retrospektiv sikkerhed, er Cisco.
Christian Heinel, der er sikkerhedsekspert i den virksomhed fortæller, at det langt hen ad vejen handler om kommunikation mellem traditionelle og nye sikkerhedsteknologierne - præcis som kommunikationen mellem forretning og it er vigtig.
"Hvis vi skal imødegå den voksende trussel, bliver vi nødt til at gøre som hackerne, der flittigt kommunikerer med hinanden. Derfor skal virksomheder sørge for, at deres sikkerhedsløsninger taler sammen, så de kan supplere hinanden og derved kan beskytte virksomheden mere effektivt," siger han.
På den måde kan den præventive sikkerhed eksempelvis i form af virksomhedens firewall eller antivirus-program kommunikere med de teknologier, der skal tage over, hvis der går hul på netværket.
På jagt efter det unaturlige
Jagten på problemer i netværket er baseret sig på kunstig intelligens, machine learning og statistiske modeller.
Da sikkerhedsfirmaerne indsamler enorme mængder af data om sikkerhedsproblemer i skyen, så er løsningerne som udgangspunkt også cloud-baserede.
Teknologien går først på jagt i netværket for at lede efter afvigelser.
Når der opdages mistænkelig trafik, så kan resultaterne fra netværket sammenlignes med indholdet i den store sky-baserede database med sikkerhedsproblemer for at se, om der er tale om ulovlig indtrængen eksempelvis i form af malware i netværket.
"Det, der er fælles for en virksomheds ansatte er, at de bruges netværket i et ret fast mønster. Når man analyserer på trafikken, så vil langt hovedparten være ganske almindelig trafik, men hvis der eksempelvis er en udgående forespørgsel, på et bestemt tidspunkt hver dag så bør alarmklokkerne lyde. På denne måde kommer man også uden om signaturer, og man behøver ikke åbne pakkerne, der jo også ofte vil være krypterede. Det er en lukket model i det enkelte firma."
Malware lever i 100 dage
Trafikkarakteristika opfanges typisk gennem log-data, hvor teknologien hurtigt kan sortere alt den lovlige trafik fra.
Den trafik, der så bliver tilbage, analyseres så for at finde eventuelle problemer. Opklaringsarbejdet handler således om, hvor trafikken går hen, hyppighed og lignende faktorer.
"På den måde kan man stadfæste om afvigelserne er malware eller ej. Derved kan man meget hurtigt opdage sikkerhedsproblemer, der ellers kan leve meget længe i et netværk, når de først er kommet ind."
Ifølge Cisco går der i gennemsnit 100 dage fra virksomheder bliver inficerede med ukendt malware til de opdager den.
Samtidig kan teknologien sætte spotlight på den eller de steder, maskiner eller brugere, der opstår mistænkelig trafik omkring.
Bare for at slå det fast. Denne teknologi virker kun, når det er gået galt?
"Ja, det er korrekt. Det handler om at finde usikkerheder i netværket så hurtigt som mulig, for at få dem ud af verden uden at de ødelægger for meget."
Der findes flere forskellige udgaver af disse løsninger, men et af de parametre som de forskellige sikkerhedsfirmaer konkurrerer om, er hastigheden. Hvem kan hurtigst opdage problemerne.
Er det i retning af retrospektiv sikkerhed eller NBA, at sikkerheds-branchen nu bevæger sig
"Ja, absolut. Teknologier som antivirus, netværksfiltre eller firewalls fejler hver dag. Derfor er det nødvendigt at rydde op efter de trusler, der slipper igennem. Mange firmaer flytter også budget fra det præventive til retrospektive område," siger han, og fortsætter:
"Der er en grænse for, hvor høje mure man kan bygge omkring sit netværk."
Er det ikke en falliterklæring, at opgive sit forsvar og acceptere, at netværket er hullet?
"Der er nok enighed om, at præventiv sikkerhed aldrig bliver 100 procent sikker. Hvis det er præmissen, så giver det rigtig god mening at følge op på sikkerheden på denne måde. Samtidig er teknologien velegnet til eksempelvis at overvåge IoT-enheder, der ofte vil have et simpelt trafikmønster, hvor man hurtigt vil opdage uregelmæssigheder," fortæller Cisco-manden.
Læs også:
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde
Ransomware-banditterne er i direkte krig med hinanden bag frontlinjen - det kan faktisk gavne dig
Sikkerhedsekspert advarer: Vi er i gang med at smadre det internet, vi kender i dag
