Det får du i artiklen
- Læs hvordan Dubex arbejder med dataovervågning i deres sikkerhed.
- Se hvorfor det kan få centeret til at styrte i grus at råbe 'ulven kommer'.
Dubex-medstifteren Jacob Herbst, fortæller om arbejdet med logning og overvågning for deres kunder, mens vi går ned ad gangene i sikkerhedsvirksomhedens hovedkvarter i Søborg.
Vi drejer til højre og går gennem et rum, hvor loftslamperne tænder, idet vi træder ind. Men lyset når aldrig helt ned i lokalet trods den korte afstand fra loftet.
For enden af det fire-fem skridt lange lokale, banker Jacob Herbst på en metaldør. Rundt om dørhåndtaget er der sat klistermærker med billeder af små tegneserie-vira, der minder alle om at spritte af.
Et højlydt urværk, jeg ikke kan få øje på, mens vi står der, tæller præcist ni sekunder. Så ruller den tunge skydedør besværet til side ved håndkraft, og bag den står cyber security-analytikeren Daniel Handler og byder os velkommen.
Dét Dubex-stifteren har inviteret pressen indenfor i, er sikkerhedsvirksomhedens nylancerede Cyber Defence Center. Centeret har til opgave ikke kun at opspore og alarmere kunder om trusler og mulige angreb. De skal også kunne reagere på de sikkerhedssituationer, der opstår sammen med kunden.
På forhånd har afdelingen forberedt sig, inden Computerworlds journalist skulle dukke på. Det handler ikke kun om mundbind og rigelige mængder håndsprit, som naturligvis også er en del af oplevelsen. Alle skærme i lokalet er støvsuget for følsomme oplysninger – og er det så længe, jeg opholder mig i lokalet. Forsvar er et spørgsmål om sekunder
Selve forsvarscenteret er et aflangt rum, der til daglig består af 12 medarbejdere og omtrent 56 computerskærme.
Det er kun halvdelen af medarbejderne, der møder ind på kontoret for tiden. Resten arbejder hjemmefra.
Hassan Kallas, der er Chief Services Officer i Dubex er en af de fremmødte i dag. Han rejser sig fra sin plads i det nederste venstre hjørne, da vi kommer ind.
Han bekræfter, at de fra deres nye Cyber Defence Center overvåger al data, der løber gennem de virksomheder, de har i kundeporteføljen. De installerer fysisk udstyr hos kunden, der kopierer strømmen af logningsdata til servere hos Dubex.
Centeret har bemanding på 24 timer i døgnet, og hver eneste sten vendes i de indkomne datamængder, i den konstante søgen efter mistænkelig adfærd. Jo mere data, jo bedre et overblik får de, fortæller Kallas. ”Alt hvad der kan tændes som maskine, lægger spor.”
Data og observationer kommer ind i det Hassan Kallas kalder nær realtid, som betyder, at der er nogle millisekunders forsinkelse på. Den tid betyder meget.
For i det øjeblik, en angriber går i gang med sit arbejde, kan det være et spørgsmål om minutter – eller sekunder – før det kan være så sent at reagere, at det allerede har fået fatale konsekvenser.
Der skal for eksempel ”ikke mange sekunder til fra man smider en maskine ud på nettet, før den bliver angrebet af folk, der gerne vil misbruge den,” fortæller Hassan Kallas.
Fjendens våben
Dubex tilbyder services som MDR (Managed Detection and Response), Managed SIEM, trusselsvarslinger, phishingtest, penetrationstest, Red Team-øvelser, sårbarhedsscanninger, Incident Response samt en lang række sikkerhedsservices.
I virksomhedens overvågningsprogrammer opdateres der hele tiden med forskellige mekanismer, der skal få systemet til at gøre udslag, når den ser noget der ligner eksempelvis malware, ransomware eller orme.
Og metoden til det er at blive klog af skade. Ens egen eller andres. Hver gang man får ny information om, hvordan en type orm eller anden skadelig software viser sin adfærd, så opdaterer man systemet til at kigge efter dén adfærd.
Man lærer altså systemet – usecase for usecase – hvordan nye trusler også kan se ud.
Viden om nye trusler og deres ageren kommer ind i centeret gennem forskellige kanaler samt eksterne og interne kilder.
”Alle disse informationer er ekstremt vigtige,” siger Hassan Kallas. ”Hvis vi ikke har dem, så har vi ikke noget herinde.”
Og hver gang nye usecases kommer til, så vil den nye viden naturligt nok også tilføre flere alarmer, der kommer ind i centeret. Når ulven kommer
Og netop det store antal alarmer giver et helt særligt ansvar. For når de sender alarmer ud til kunderne, så skal de være sikre på, at det er alarmer, der er ”noget kød på”, som Jacob Herbst formulerer det.
Ellers ender de i en Peter-og-ulven-problematik, hvor for mange falske alarmer kan bedøve kundens modtagelighed for at reagere.
Og netop den uopmærksomhed vil i sidste ende gøre forsvarscenterets hovedopgave til det rene sisyfosarbejde. På den måde er centerets eget forarbejde med alarmerne afgørende for, at selve centerets eksistens har mening, når de næste skridt skal tages.
Kallas fortæller, at centerets mål er, at kun 2 procent af de alarmer, som det sender ud til kunderne, er dét de betegner som ”falske positive” – altså en reel usædvanlig adfærd, som eksempelvis kan være forårsaget af kundens egne medarbejdere.
De sidste 98 procent skal være alarmer, som kunden skal kunne se meningen i at reagere på.
En glidende overgang med en specifik skæringsdato
Den officielle lanceringsdato for Cyber Defence Centeret er 21. januar 2021, men egentligt har overgangen til at blive et forsvarscenter været en langsom udvikling, forklarer Hassan Kallas.
Det er Dubex’s Security Analytics Center (SAC), der blev oprettet for cirka fem år siden, som i januar blev omdøbt til Cyber Defence Center. Og forskellen fra før navneskiftet til efter har i en periode været til at overse. Men startede man for fem år siden i analysecenteret, så ved man, at arbejdsopgaverne på få år blev flere og mere presserende.
Historien om Cyber Defence Centeret er nemlig også historien om den generelle udvikling i behovet for cybersikkerhed i det danske erhvervsliv.
Cybersikkerhed har været i en rivende udvikling, og den alvor som virksomhederne går til området med i dag, er modnet meget siden Jacob Herbst sammen med medstifterne Klaus Kongsted og Gorm Mandsberg tilbage i 1997 etalrerede Dubex.
Herbst husker hvordan det dengang var svært bare at overbevise virksomhederne om, at en almindelig firewall var nødvendigt.
”Dengang skulle der lig på bordet før man reagerede.” I dag er virksomhederne blevet bedre til at lære af andre i branchens fejl. Godt hjulpet på vej af medierne, mener Hassan Kallas. Historier om angreb og virksomheder, der er blevet langt ned, har fyldt mere de seneste år.
Men hvorfor give et center, der i forvejen var godt i gang med ikke bare analysearbejde, men også hjælp til kunderne om at reagere på de indkomne alarmer, et nyt navn og kalde det en relancering?
Hvorfor ikke bare fortsætte som hidtil? For Jacob Herbst handler det om at stadig flere skal få øjnene op for risikoen ved at være en virksomhed i et digitalt erhvervsliv.
”Hvis vi ikke gjorde et stort nummer ud af det, ville det ikke give genklang helt op i bestyrelseslokalerne. Og det er der beslutningerne om virksomhedens sikkerhed bliver taget.”
Den tunge metaldør ruller igen i bag Jacob Herbst og mig, og vi står igen i rummet, hvor lyset ulmer lige under loftet.