Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Visibilitet står højt på listen, når danske virksomheder investerer i cybersikkerhed. Og med god grund.
Virksomhedernes it-infrastruktur bliver hele tiden større og mere sofistikeret med stadig mere komplekse sammensætninger af cloudsystemer, SaaS-løsninger og et stigende antal devices og endpoints.
Samtidig har corona-pandemien sat turbo på udbredelsen af hjemmearbejde og gjort virksomhedernes digitale fodaftryk større.
Det gør infrastrukturen sværere at overskue og vanskeligere at beskytte.
Effektiv cybersikkerhed kræver, at man har et konstant overblik over suspekte hændelser i infrastrukturen. Visibilitet.
Derfor er det også afgørende, at virksomhedernes sikkerhedsteams har værktøjer, der kan skabe visibilitet ved at gøre det både muligt, nemt og hurtigt at indsamle og sammenholde relevant sikkerhedstelemetri. På tværs af endpoints, e-mail, routere, gateways, proxies og authenticationteknologi.
Det øgede fokus på visibilitet blev blandt andet understreget i en survey fra IDC (december 2020), hvor mere end to tredjedele af de adspurgte it-beslutningstagere vurderede, at ni forskellige telemetriløsninger alle var “brugbare” eller “meget brugbare”, når formålet var at opdage trusler.
Men selv om det kan lyde, som om man bare skal investere i flest mulige visibilitetsløsninger for at sikre CISO’ens nattesøvn, så udvikler de mange siloer af visibilitet sig nemt til et mareridt.
Indsigt er nøglen
Når man tilføjer flere telemetri-kilder oven på hinanden for at øge visibiliteten, opstår der samtidig en stor risiko for at øge mængden af falsk-positive advarsler og alarmer.
Det viser sig i selvsamme IDC-survey, hvor svaret “for mange advarsler er falsk positive” blev udpeget som den hyppigste årsag til, at en virksomhed ikke undersøger alle advarsler og alarmer.
En rundspørge (april 2021) blandt 100 danske it-beslutningstagere satte udfordringen med øget visibilitet endnu mere på spidsen.
De adspurgte danske virksomheder har i gennemsnit 25 forskellige sikkerhedsløsninger med alarmer i brug. Samtidigt.
Bliver overvældet af de mange alarmer
I den kontekst er det måske ikke så overraskende, at 58 procent af virksomhederne siger, at deres team bliver overvældet af de mange alarmer.
66 procent sagde desuden, at de ikke føler sig overbeviste om, at deres organisation er i stand til at prioritere alarmerne og reagere hensigtsmæssigt på dem.
Begge surveys vidner om, at øget visibilitet ikke bør være et mål i sig selv.
Det gør ikke nødvendigvis en virksomheds sikkerhedsteam klogere, hvis visibiliteten ikke kobles med øget indsigt.
Så skaber visibilitet i stedet stress og frustration.
En virksomhed har ikke bare brug for at se alle potentielle trusler i realtid og detaljer i ni forskellige konsoller.
Den har brug for kvalificeret hjælp til at analysere og stoppe de trusler, der er reelle.
Samtidig har sikkerhedsteamet brug for at blive klogere på, hvad årsagen til både de reelle og de falsk positive trusler er, så virksomheden kan blive bedre til at forebygge dem i fremtiden.
Et holistiske take på visibilitet
Virksomheder, som allerede har et veletableret security operations-center (SOC), har ofte et fundament at bygge videre på.
De har typisk både manpower, værktøjer og kompetencer, de kan bruge til koble visibilitet med indsigt og handling.
Problemet er størst i de virksomheder, som kun har et mindre eller slet intet SOC.
Det er typisk de små og mellemstore virksomheder.
De er i forvejen underbemandede i it-sikkerhedsafdelingen og mangler de nødvendige kompetencer til at håndtere sikkerhedsalarmerne.
Derfor er de i fare for at drukne i data og støj, hvis de i håbet om at sikre sig mod cyberangreb hovedløst investerer i flere parallelle løsninger med det formål at øge visibiliteten.
For den type af virksomheder handler det om at tøjle visibiliteten og give den retning.
Retningen kommer ved at tage en mere holistisk tilgang til flowet fra visibilitet over analyse til handling.
Et holistisk take
Her har IDC peget på blandt andet Extended Detection and Response (XDR), som giver et mere holistisk take på visibilitet.
XDR er en ny type teknologi, som flere sikkerhedsproducenter allerede udbyder.
Målet med XDR er at hjælpe de små og mellemstore virksomheder med at opkvalificere deres sikkerhedsteam uden nødvendigvis at udvide det.
XDR bygger på AI, som ikke bare øger visibiliteten i blinde, men tværtimod er udviklet med det formål at give færre, men mere kvalificerede alarmer.
Og netop den effekt, færre alarmer, vil gøre en store forskel ikke bare for virksomhedens sikkerhed, men også for medarbejdernes trivsel i de mange danske virksomheder, hvor de mange retningsløse sikkerhedsalarmer i dag giver et alt for stort arbejdspres.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
