Kom med bag metaldøren til nyt cyber-forsvarscenter i Søborg: ”Vi overvåger jo alt data"

Reportage: I en branche, hvor computerne er lige så skattede medarbejdere, som de it-kyndige specialister, er et nyt forsvarscenter opstået. Det er Dubex, der giver sin analyseenhed et ekstra ben. Computerworld har været forbi i de søborgske sikkerhedslokaler for at se det nyindviede cyberforsvarscenter.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Læs hvordan Dubex arbejder med dataovervågning i deres sikkerhed.
  • Se hvorfor det kan få centeret til at styrte i grus at råbe 'ulven kommer'.
1.218
6:15 min
”Vi overvåger jo alt data, de overhovedet har.”

Dubex-medstifteren Jacob Herbst, fortæller om arbejdet med logning og overvågning for deres kunder, mens vi går ned ad gangene i sikkerhedsvirksomhedens hovedkvarter i Søborg.

Vi drejer til højre og går gennem et rum, hvor loftslamperne tænder, idet vi træder ind. Men lyset når aldrig helt ned i lokalet trods den korte afstand fra loftet.

For enden af det fire-fem skridt lange lokale, banker Jacob Herbst på en metaldør. Rundt om dørhåndtaget er der sat klistermærker med billeder af små tegneserie-vira, der minder alle om at spritte af.

Et højlydt urværk, jeg ikke kan få øje på, mens vi står der, tæller præcist ni sekunder. Så ruller den tunge skydedør besværet til side ved håndkraft, og bag den står cyber security-analytikeren Daniel Handler og byder os velkommen.

Dét Dubex-stifteren har inviteret pressen indenfor i, er sikkerhedsvirksomhedens nylancerede Cyber Defence Center. Centeret har til opgave ikke kun at opspore og alarmere kunder om trusler og mulige angreb. De skal også kunne reagere på de sikkerhedssituationer, der opstår sammen med kunden.

På forhånd har afdelingen forberedt sig, inden Computerworlds journalist skulle dukke på. Det handler ikke kun om mundbind og rigelige mængder håndsprit, som naturligvis også er en del af oplevelsen. Alle skærme i lokalet er støvsuget for følsomme oplysninger – og er det så længe, jeg opholder mig i lokalet. Forsvar er et spørgsmål om sekunder
Selve forsvarscenteret er et aflangt rum, der til daglig består af 12 medarbejdere og omtrent 56 computerskærme.

Det er kun halvdelen af medarbejderne, der møder ind på kontoret for tiden. Resten arbejder hjemmefra.

Hassan Kallas, der er Chief Services Officer i Dubex er en af de fremmødte i dag. Han rejser sig fra sin plads i det nederste venstre hjørne, da vi kommer ind.

Han bekræfter, at de fra deres nye Cyber Defence Center overvåger al data, der løber gennem de virksomheder, de har i kundeporteføljen. De installerer fysisk udstyr hos kunden, der kopierer strømmen af logningsdata til servere hos Dubex.

Centeret har bemanding på 24 timer i døgnet, og hver eneste sten vendes i de indkomne datamængder, i den konstante søgen efter mistænkelig adfærd. Jo mere data, jo bedre et overblik får de, fortæller Kallas. ”Alt hvad der kan tændes som maskine, lægger spor.”

Data og observationer kommer ind i det Hassan Kallas kalder nær realtid, som betyder, at der er nogle millisekunders forsinkelse på. Den tid betyder meget.

For i det øjeblik, en angriber går i gang med sit arbejde, kan det være et spørgsmål om minutter – eller sekunder – før det kan være så sent at reagere, at det allerede har fået fatale konsekvenser.

Der skal for eksempel ”ikke mange sekunder til fra man smider en maskine ud på nettet, før den bliver angrebet af folk, der gerne vil misbruge den,” fortæller Hassan Kallas.

Fjendens våben
Dubex tilbyder services som MDR (Managed Detection and Response), Managed SIEM, trusselsvarslinger, phishingtest, penetrationstest, Red Team-øvelser, sårbarhedsscanninger, Incident Response samt en lang række sikkerhedsservices.

I virksomhedens overvågningsprogrammer opdateres der hele tiden med forskellige mekanismer, der skal få systemet til at gøre udslag, når den ser noget der ligner eksempelvis malware, ransomware eller orme.

Og metoden til det er at blive klog af skade. Ens egen eller andres. Hver gang man får ny information om, hvordan en type orm eller anden skadelig software viser sin adfærd, så opdaterer man systemet til at kigge efter dén adfærd.

Man lærer altså systemet – usecase for usecase – hvordan nye trusler også kan se ud.

Viden om nye trusler og deres ageren kommer ind i centeret gennem forskellige kanaler samt eksterne og interne kilder.

”Alle disse informationer er ekstremt vigtige,” siger Hassan Kallas. ”Hvis vi ikke har dem, så har vi ikke noget herinde.”

Og hver gang nye usecases kommer til, så vil den nye viden naturligt nok også tilføre flere alarmer, der kommer ind i centeret. Når ulven kommer
Og netop det store antal alarmer giver et helt særligt ansvar. For når de sender alarmer ud til kunderne, så skal de være sikre på, at det er alarmer, der er ”noget kød på”, som Jacob Herbst formulerer det.

Ellers ender de i en Peter-og-ulven-problematik, hvor for mange falske alarmer kan bedøve kundens modtagelighed for at reagere.

Og netop den uopmærksomhed vil i sidste ende gøre forsvarscenterets hovedopgave til det rene sisyfosarbejde. På den måde er centerets eget forarbejde med alarmerne afgørende for, at selve centerets eksistens har mening, når de næste skridt skal tages.

Kallas fortæller, at centerets mål er, at kun 2 procent af de alarmer, som det sender ud til kunderne, er dét de betegner som ”falske positive” – altså en reel usædvanlig adfærd, som eksempelvis kan være forårsaget af kundens egne medarbejdere.

De sidste 98 procent skal være alarmer, som kunden skal kunne se meningen i at reagere på.

En glidende overgang med en specifik skæringsdato
Den officielle lanceringsdato for Cyber Defence Centeret er 21. januar 2021, men egentligt har overgangen til at blive et forsvarscenter været en langsom udvikling, forklarer Hassan Kallas.

Det er Dubex’s Security Analytics Center (SAC), der blev oprettet for cirka fem år siden, som i januar blev omdøbt til Cyber Defence Center. Og forskellen fra før navneskiftet til efter har i en periode været til at overse. Men startede man for fem år siden i analysecenteret, så ved man, at arbejdsopgaverne på få år blev flere og mere presserende.

Historien om Cyber Defence Centeret er nemlig også historien om den generelle udvikling i behovet for cybersikkerhed i det danske erhvervsliv.

Cybersikkerhed har været i en rivende udvikling, og den alvor som virksomhederne går til området med i dag, er modnet meget siden Jacob Herbst sammen med medstifterne Klaus Kongsted og Gorm Mandsberg tilbage i 1997 etalrerede Dubex.

Herbst husker hvordan det dengang var svært bare at overbevise virksomhederne om, at en almindelig firewall var nødvendigt.

”Dengang skulle der lig på bordet før man reagerede.” I dag er virksomhederne blevet bedre til at lære af andre i branchens fejl. Godt hjulpet på vej af medierne, mener Hassan Kallas. Historier om angreb og virksomheder, der er blevet langt ned, har fyldt mere de seneste år.

Men hvorfor give et center, der i forvejen var godt i gang med ikke bare analysearbejde, men også hjælp til kunderne om at reagere på de indkomne alarmer, et nyt navn og kalde det en relancering?

Hvorfor ikke bare fortsætte som hidtil? For Jacob Herbst handler det om at stadig flere skal få øjnene op for risikoen ved at være en virksomhed i et digitalt erhvervsliv.

”Hvis vi ikke gjorde et stort nummer ud af det, ville det ikke give genklang helt op i bestyrelseslokalerne. Og det er der beslutningerne om virksomhedens sikkerhed bliver taget.”

Den tunge metaldør ruller igen i bag Jacob Herbst og mig, og vi står igen i rummet, hvor lyset ulmer lige under loftet.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Test af super-NAS og 10 gigabit netværk: Flyt terabyte af data med op til 1.000 megabyte i sekundet

0 Premium-indhold

Forsinket inddrivelsessystem har nu kradset skattegæld ind for 10 milliarder kroner - 400 offentlige kreditorer koblet på

0 Premium-indhold

Martin Thorborg frygter, at vi knækker internettets rygrad i klapjagten på Facebook: “Det er måske mere relevant at kigge på, hvordan vi får nogle skattekroner ud af de røvhuller“

0 Premium-indhold

Faxe Kommune prøver igen efter to kuldsejlede forsøg: Sender ERP-udbud i markedet for tredje gang

0 Premium-indhold

Coronakrisen satte ild under den danske e-handel i 2020: Rekord-omsætning på 154 milliarder kroner


Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Her skal du passe på: Rapport fra cyberkrigens frontlinje
I 2020 blev cyberangreb hyppigere og stadig mere alvorlige, og i CrowdStrike Services Cyber Front Lines Report 2020 har du læse, hvor udfordringerne er størst.