Organisationer er godt klar over faren ved cyberangreb

En verden uden cyberrisici er desværre en ønskedrøm. Heldigvis kan organisationer selv forhindre megen elendighed, og når et angreb finder sted, kan de løse det på passende vis. Organisationer er udmærket klar over faren for cyberangreb, ifølge benchmarkundersøgelsen om cybersikkerhed, som Conscia har gennemført i samarbejde med det kommercielle markedsanalysefirma The Blue Hour.

For eksempel angav 43% af respondenterne, at det meste af den tid, de bruger på IT-sikkerhed, bruges på forebyggelse. Hos 85% er 'Awareness & Training' en vigtig foranstaltning, der træffes for at forhindre cybersikkerhedshændelser. Men når en hændelse indtræffer, viser undersøgelser, at det normalt tager mere end 200 dage, før hændelsen bliver opdaget. Maarten Werff, Solution Consultant Cybersecurity hos Conscia: "Derfor er det fortsat vigtigt at have detektions- og responsforanstaltninger ud over forebyggelse for også at få indsigt i de angreb, der ikke stoppes af forebyggende foranstaltninger. Det virker som en lille procentdel, men kan stadig forårsage en masse elendighed."

SOC: bygge dit eget eller outsource?

Et Security Operations Centre (SOC) kan være løsningen. Den generelle opfattelse er ofte, at et SOC er forbundet med høje omkostninger, kræver meget tid, viden og energi fra medarbejderne og derfor kun er for store organisationer. Men er det sandt?

En simpel beregning: Forskning fra Forrester viser, at organisationer i gennemsnit har brug for 14 fuldtidsansatte sikkerhedsanalytikere for at opbygge og vedligeholde deres egen SOC-funktion (11 fuldtidsansatte for organisationer med færre end 5.000 ansatte og 20 fuldtidsansatte for organisationer med flere end 5.000 ansatte). Dette tager højde for, at folk arbejder dag og nat og også tager på ferie fra tid til anden.

Hvis man ser på omkostningerne ved en ekstern Managed Detection & Response (MDR)-tjeneste med 24/7-overvågning for 1.000 medarbejdere, svarer det til ca. 6.000 euro pr. måned. Så det er endda mindre end 1 FTE. Når organisationer opretter deres egen SOC, har de - ud over de rigtige mennesker - brug for en passende teknologiplatform. Det får de samlede ejeromkostninger for en intern SOC til at stige til tre gange prisen for en outsourcet SOC (med høj CAPEX).

Tiltræk og fasthold sikkerhedsanalytikere

At opbygge sin egen SOC-funktion har nu også klare fordele. Organisationsspecifikke risici forstås hurtigere og bedre af interne folk. På den anden side er det svært at finde og fastholde gode folk. Det er heller ikke den mindste af deres opgaver. Forrester siger, at 96% af sikkerhedsanalytikerne oplever en personlig påvirkning efter en hændelse. Tænk på lange arbejdsdage, stress, der tages med hjem, dårlig søvn. Alt sammen resultatet af såkaldt 'Alert Fatigue'.

Organisationer står ikke over for dette problem, når de outsourcer SOC-funktionen, og de har også mulighed for at opskalere. Benchmarkundersøgelsen viser, at 15% af respondenterne allerede har outsourcet SOC-funktionen. I 55% af tilfældene foregår overvågning og analyse af sikkerhedsadvarsler fra det interne IT-team. Derudover siger 6% af organisationerne, at de har deres egen SOC, som overvåger og analyserer i arbejdstiden (3%) eller 24/7 (3%). Næsten en fjerdedel af respondenterne har ikke eller på anden måde sikret registreringen af sikkerhedsadvarsler.

Trusselsbilledet kræver en anden tilgang

Ifølge Maarten Werff er der endnu en god grund til at skifte til MDR: "I det sidste årti fokuserede vi primært på netværket, men med det ændrede trusselsbillede på grund af en stigning i hjemmearbejde, cloud og kryptering er synligheden gennem traditionelle netværkssikkerhedsforanstaltninger meget mindre. Sikkerhed i dag kræver en anden tilgang. Vi er nødt til at træffe sikkerhedsforanstaltninger for det, vi ønsker at beskytte: vores oplysninger, vores brugere og vores slutpunkter."

I øjeblikket siger 41% af de adspurgte, at de har truffet foranstaltninger til beskyttelse af slutpunkter. Det er ingen nyhed, når vi siger, at medarbejderne - med al respekt - ofte er det største problem. I tilfælde af unormal filadgang og krypterede filer siger 46% af de adspurgte, at de modtager en advarsel. I mellemtiden kan 21% se, hvilke filer der er blevet påvirket i en cyberhændelse, og gendanne dem.

Ifølge Maarten Werff gør den teknologiske udvikling som EDR, SOAR og XDR det muligt at ændre detektionsstrategien. Når man ser på disse løsninger, har 15% af respondenterne EDR og 3% har SOAR. "At sætte identitet og slutpunkt i centrum for detektions- og responsstrategien skaber væsentligt mere synlighed i forbindelse med alarmering og giver mulighed for hurtigere indgriben. Denne tilgang fokuserer ikke på at lede efter 'nålen i høstakken' og er derfor også mindre omkostningskrævende."

Kilde: Conscia