Er du nogensinde blevet kontaktet af din IT-sikkerhedsleverandør omkring en trussel?
Bliver du som kunde reelt kontaktet af din IT-sikkerhedsleverandør, før problemerne opstår? For mange virksomheder er IT-sikkerhed stadig noget, man først bliver opmærksom på, når skaden allerede er sket.
I praksis betyder det, at dialogen ofte først begynder, når et system er utilgængeligt, en bruger er kompromitteret, eller driften er påvirket. Denne reaktive tilgang efterlader både ledelse og IT-ansvarlige uden det nødvendige overblik og med en følelse af at være et skridt bagefter truslerne.
Hos CapMon arbejder vi ud fra en anden tilgang. Vi ser IT-sikkerhed som et fælles ansvar, hvor kontinuerlig overvågning, analyse og tidlig varsling er afgørende. Målet er ikke blot at reagere på hændelser, men at identificere mønstre, unormal adfærd og potentielle trusler i tide og tage kontakt, før de udvikler sig til egentlige problemer.
Efter mere end 20 år i branchen har vi lært én ting med sikkerhed: der sker næsten altid mere i IT-miljøerne, end man umiddelbart tror. Mange hændelser bliver aldrig opdaget, fordi de ikke medfører et nedbrud, men de efterlader stadig spor, risici og potentielle angrebsflader. Det er netop disse indsigter, som systematisk monitorering og analyse kan afdække. For at illustrere dette, vil vi beskrive, hvordan det ser gennemsnitligt ser ud for virksomheder med henholdvis 300-, 1100-, 4000- og 20.000 IT brugere.
Virksomhed med 300 IT-brugere
Med udgangspunkt i en virksomhed med cirka 300 IT-brugere viser statistikken tydeligt, hvor meget der reelt sker i et moderne IT-miljø, ofte uden at det er synligt i dagligdagen.
I løbet af en enkelt måned genereres der i gennemsnit 1,26 milliarder logs på tværs af systemer, applikationer og brugere. Det kan være alt fra loginforsøg og brugeradfærd til systemhændelser og fejlmeddelelser. Langt størstedelen af disse hændelser er ufarlige, men uden intelligent filtrering og analyse er det umuligt at skelne støj fra reelle risici.
Ud af disse milliarder af logs blev 1.594 hændelser identificeret som egentlige cases, der krævede nærmere analyse for at vurdere, om de kunne udgøre en sikkerhedstrussel. Herfra blev 204 cases eskaleret, fordi de viste tegn på unormal eller potentielt skadelig adfærd.
Af de eskalerede cases blev 137 håndteret automatisk ved hjælp af avanceret automatisering og sikkerhedsteknologi. De resterende 67 cases krævede menneskelig vurdering, hvor vi aktivt tog kontakt for at afklare situationen og sikre korrekt håndtering.
Spørgsmålet er derfor ikke, om der sker noget i din IT-infrastruktur. Men hvor ofte du faktisk bliver kontaktet, når der er behov for det. Hvis din virksomhed har omkring 300 IT-brugere, hvor mange gange hører du så fra din IT-leverandør i løbet af en måned?
Virksomhed med 1100 IT-brugere
Ved cirka 1.100 IT-brugere begynder aktivitetsniveauet at samle sig i tydelige mønstre. Over en måned blev der behandlet 4,61 milliarder loghændelser, som dannede grundlag for den løbende vurdering af hændelser på tværs af organisationen.
Disse hændelser førte til 6.508 alarmer, svarende til et gennemsnit på 210 alarmer pr. dag. Alarmerne blev samlet i 4.201 sager, med et gennemsnit på 136 sager dagligt. Her blev 61,0 % håndteret automatisk som en integreret del af den samlede behandling.
I alt blev 218 sager eskaleret, hvoraf 209 blev håndteret automatisk, mens 9 sager krævede manuel involvering. Det er på dette niveau, hvor der stadig er et begrænset behov for menneskelig indsats, men hvor organisationen alligevel kan mærke, når noget falder uden for normalen.
Blandt de behandlede hændelser blev 168 tilfælde blokeret, inden de nåede videre, mens der ikke blev bekræftet nogen direkte ondsindede hændelser. Samtidig blev 852 hændelser klassificeret som legitime, men ufarlige, og 2.471 blev lukket som falske positiver.
For en virksomhed med omkring 1.100 IT-brugere er forskellen tydelig: Der sker meget hver dag, men kun ganske få hændelser kræver reel opmærksomhed. Det er her, overgangen fra mindre til mellemstor organisation bliver synlig – ikke i mængden af aktivitet, men i hvor sjældent den faktisk når hele vejen frem til handling.
Virksomhed med 4000 IT-brugere
Når antallet af IT-brugere øges til omkring 4.000, ændrer billedet sig markant i både omfang og tempo. I løbet af en måned blev der behandlet 5,51 milliarder loghændelser, hvilket afspejler et konstant højt aktivitetsniveau på tværs af organisationen.
Denne aktivitet førte til 11.722 alarmer, svarende til et gennemsnit på 378 alarmer pr. dag. Alarmerne blev samlet i 11.772 sager, som alle indgik i den samlede sagsbehandling. Her blev 78,7 % håndteret fuldt automatiseret uden behov for menneskelig involvering.
Kun 56 sager blev eskaleret, fordi de krævede yderligere vurdering og opfølgning. Det er disse situationer, hvor organisationen reelt mærker, at noget skal afklares, prioriteres eller handles på.
Ud af det samlede antal blev 722 hændelser effektivt stoppet, før de fik betydning, mens én hændelse blev bekræftet som en egentlig sikkerhedstrussel. Samtidig blev 10.118 sager lukket som falske positiver uden yderligere konsekvens.
Sammenlignet med en mindre organisation er forskellen ikke, om der sker noget – men hvor meget der sker uden at kræve opmærksomhed. I en virksomhed med 4.000 IT-brugere er det netop fraværet af afbrydelser, dialoger og eskalationer, der bliver det tydeligste tegn på, at sikkerheden fungerer i praksis.
Virksomhed med 20000 IT-brugere
Ved omkring 20.000 IT-brugere bevæger organisationen sig ind i en helt anden størrelsesorden, hvor volumen alene bliver en afgørende faktor. Over en måned blev der håndteret 68,61 milliarder loghændelser, hvilket sætter et massivt pres på både overblik og reaktionsevne.
Denne aktivitet udløste 28.811 alarmer, svarende til i gennemsnit 929 alarmer pr. dag. Alarmerne blev samlet i 17.944 sager, med et gennemsnit på 579 sager dagligt. På dette niveau var 34,4 % af sagerne dækket af automatiseret håndtering, mens resten krævede yderligere opmærksomhed.
I alt blev 803 sager eskaleret, hvoraf 551 blev håndteret automatisk, mens 252 krævede manuel indsats. Det er her, organisationens størrelse for alvor bliver tydelig – ikke i antallet af hændelser, men i hvor ofte mennesker faktisk må involveres for at sikre korrekt håndtering.
Blandt de behandlede hændelser blev 3.800 trusler blokeret, mens 293 hændelser blev bekræftet som reelt ondsindede. Samtidig blev 5.660 hændelser klassificeret som legitime, men ufarlige, og 2.764 blev lukket som falske positiver.
I en virksomhed med 20.000 IT-brugere er det ikke mængden af hændelser, der er afgørende, den er givet på forhånd. Det afgørende er, hvor ofte volumen omsættes til handling, og hvor mange hændelser der kan håndteres uden at belaste organisationen med unødig involvering.
Jo større skala, desto tydeligere bliver forskellen mellem aktivitet og faktisk påvirkning.
Optimer din IT-sikkerhed
Hos CapMon optimerer vi IT-sikkerhed ved brug af banebrydende teknologi.
Udfyld formularen, så kontakter vi dig hurtigst muligt.
Kontaktformular
"*" indikerer påkrævede felter
