FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.2 - Etabler sikkerhetsovervåkning

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Sikkerhetsovervåkning og inntrengingstester i IKT-sikkerhet

Kapitlet beskriver hvordan virksomheter bør bygge opp overvåkning av sikkerhetsrelevant data, slik at uregelmessigheter og hendelser oppdages tidlig. Det peker også på behovet for å vurdere automatiserte analyseverktøy, kalibrering mot normalnivå og kontinuerlig forbedring av kompetanse. Teksten fremhever at trusselinformasjon må bearbeides etter innhenting, og at virksomheten bør knytte seg til relevant sektor-CERT for analysestøtte og støtte ved hendelser. Videre viser kapitlet at virksomheten bør teste egen forsvarsevne med inntrengingstester for å verifisere sikkerhetstiltak, identifisere mangler og vurdere beredskap. Det er særlig relevant der rutiner, tilgangsstyring, sikker konfigurasjon og forståelse av avhengigheter må prøves i praksis.

Betydning for anskaffelser

Kilden brukes når anskaffelser skal beskrive, vurdere eller kontraktsfeste krav til sikkerhetsovervåkning, hendelseshåndtering, analyseverktøy og testing av forsvarsevne. Den er også relevant ved spørsmål om hvilke sikkerhetstiltak som bør inngå i anskaffelsesstrategi, kravspesifikasjon, tildelingskriterier eller kontraktsvilkår. For veiledning om sikkerhet/beredskap er den særlig nyttig ved vurdering av hva som må planlegges, etableres og prøves før løsningen tas i bruk.

Sentrale kildepunkter

  • Virksomheten bør knytte seg til relevant sektor-CERT for analysestøtte og støtte ved hendelser.
  • Trusselinformasjon må viderebehandles etter innhenting slik at bare relevant informasjon brukes for virksomhetens IKT-systemer.
  • Virksomheten bør kunne identifisere ukjente trusler ved å kombinere kjennskap til egne systemer, sårbarheter, trusselinformasjon og sektorens trusselbilde.
  • Automatiserte analyseverktøy bør kontinuerlig kalibreres mot terskelverdier, normalnivå og kunnskap om trusler i det digitale rom.
  • Det er vesentlig å oppdage uregelmessigheter og hendelser tidlig for å kunne detektere og håndtere dataangrep.
  • Virksomheten bør jevnlig teste egen forsvarsevne gjennom inntrengingstester for å verifisere sikkerhetstiltak og identifisere mangler.
  • Inntrengingstester skal gi innsikt i risikoen sårbarheter utgjør, også gjennom flere angrepsvektorer og verktøy.

Berørte bestemmelser

  • NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § 3.2 – Regulerer etablering av sikkerhetsovervåkning, trusselinformasjon, analyseverktøy og tidlig deteksjon.
  • NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § 3.4 – Regulerer inntrengingstester som metode for å teste forsvarsevne, rutiner og sikkerhetsbarrierer.
Fulltekst

Virksomheter bør i tillegg knytte seg til relevant sektor-CERT for analysestøtte og støtte i forbindelse med hendelser. Trusselinformasjon kan innhentes i mange formater, volum og kvalitet. Det kan samles inn fra åpne diskusjonsfora, samarbeidspartnere, abonnement på tjenester eller fra interne kilder. Trussel- informasjon må viderebehandles etter innhenting ved å trekke ut det som er relevant for virksomhetens IKT-systemer. Virksomheter bør også ha evnen til å identifisere ukjente trusler ved å kombinere inngående kjennskap til egne systemer, og sårbarheter, relevant trusselinformasjon og trusselbildet i sektoren. Enkelte angripere vil bruke store ressurser på å unngå å bli oppdaget av standard overvåknings- systemer som anti-virus programvare og signaturbasert IDS («Intrusion Detection Systems»). For å bidra til prosessering av store datamengder og avdekking av uautoriserte hendelser bør virksomheten også vurdere bruk av «anvendt maskinlæring» - implementering av kjente algoritmer som vil bidra til å finne unormaliteter i de sikkerhetsrelevante dataene. For en hurtig og effektiv prosess rundt analyse og varsling basert på de innsamlede dataene, bør virksomheten ha automatiserte analyseverktøy som kontinuerlig kalibreres basert på terskelverdier, kunnskap om «normalnivået» i virksomheten, eller kunnskap om truslene i det digitale rom. «Normalnivået» beskriver hva som er et «rent nettverk» og hvilke innstillinger og dataflyt som er vanlig under daglig drift. Det er vesentlig å oppdage uregelmessigheter og hendelser tidlig for å kunne detektere og håndtere dataangrep (se kategori 4 - Håndtere og gjenopprette). Virksomhetene bør kontinuerlig forbedre sitt kompetansenivå på prosessering av sikkerhetsrelevant data, herunder forståelse av egne systemer, verktøybruk, truslene og utvikling av metoder for å detektere uautoriserte hendelser. Lenker [1] NSM: Samleside mot digital utpressing (løspengeangrep): nsm.no/digitalutpressing [2] NCSC UK: Cyber Assessment Framework - C1 Security monitoring:

3.4. Gjennomfør inntrengingstester

Målet med prinsippet: Virksomheten tester elementer i egne forsvarsmekanismer (teknologi, prosesser og personell) ved å simulere målene og handlingene til en angriper. Hvorfor er dette viktig? IKT-systemer er under konstant endring og utvikling og utfordres jevnlig av angrepsaktører. Virksomheter bør derfor jevnlig teste egen forsvarsevne for å verifisere etablerte sikkerhetstiltak, identifisere mangler og vurdere egen beredskap. Angripere utnytter ofte svakheter i virksomhetens rutiner. Eksempler på svakheter er: • For langt tidsvindu fra annonsering av en sårbarhet og sikkerhetsretting fra leverandør, til faktisk installasjon. • Vide brukertilganger i kombinasjon med svake autentiseringsløsninger (for eksempel bruk av svake passord). • Mangelfull etablering av sikker konfigurasjon av enheter i IKT-systemet. • Manglende evne til å forstå egne verdikjeder og avhengigheter mellom systemer. En inntrengingstest vil gi dypere innsikt, gjennom en faktisk demonstrasjon av hvilken risiko sårbarheter kan utgjøre. Bruk av flere ulike angrepsvektorer og verktøy gir bedret evaluering av sikkerhetsbarrierene og forsvarssystemene i virksomheten. Anbefalte tiltak: Gjennomfør inntrengingstester ID Beskrivelse