Målet med prinsippet: Virksomheten overvåker sine IKT-systemer og samler inn relevante data for å oppdage sikkerhetshendelser og legge et grunnlag for analyse av data.
Hvorfor er dette viktig?
Innsamling og analyse av sikkerhetsrelevant data kan bidra til å oppdage sikkerhetshendelser tidlig, vurdere skadeomfang og hendelsens karakter og forstå hendelsesforløpet. Tilgang på tilstrekkelig data kan være avgjørende for at virksomheten skal kunne gjenopprette normaltilstand og hindre gjentakelse av en hendelse, og det vil være viktig i forbindelse med etterforskning. Mangelfull sikkerhetsovervåkning og deteksjon i informasjonssystemer, samt mangelfull sammenstilling og analyse av sikkerhetsrelevante data gjør at angripere kan skjule tilstedeværelse, handlinger og aktiviteter i virksomhetens informasjonssystemer. Selv om en virksomhet vet at systemer og maskiner har blitt infiltrert, vil de være blinde for detaljene i hendelsen dersom virksomheten ikke har etablert tilstrekkelige sikkerhetsovervåkning.
Tilhørende tiltak
Utdypende informasjon
Det er viktig å kartlegge virksomhetens mest kritiske systemer og data slik at overvåkning, innsamling og deteksjon gjøres på de riktige stedene i informasjonssystemene. Det er viktig at uautoriserte handlinger, sikkerhetsbrudd og sikkerhetstruende hendelser kan oppdages så tidlig som mulig slik at skade kan minimeres, om ikke forhindres.
Identifisering av kritiske systemer og data er nødvendig for å etablere evne til å samle inn relevant informasjon om systemer og aktiviteter som kan bidra til at hendelser oppdages.
Uønsket aktivitet i eget nettverk er utfordrende å oppdage, og dersom angripere får fotfeste vil de forsøke å maskere mest mulig av aktivitetene som legitim trafikk. Sikkerhetsrelevant data bør derfor brukes for å gi en oversikt over normaltilstanden, slik at avvik kan oppdages. Videre gjør den stadig økende bruk av ende-til-ende-kryptering fra trusselaktører at innhenting av sikkerhetsrelevant data fra endepunkter også bør prioriteres, i tillegg til innhenting av generell nettverkstrafikk.
Logger er viktige for hendelseshåndtering og rasjonell drift av informasjonssystemer, men må også benyttes med varsomhet og beskyttes godt. Sikkerhetsrelevant data kan inneholde konfidensiell informasjon om den enkelte medarbeider og behovet for lagring og tilgang må til enhver tid veies opp mot behovet for personvern.
Sikkerhetsovervåkning på klienter blir ofte oversett. Svært mange angrep starter der sluttbrukere behandler epost og surfer web. Man ser ofte at det mangler viktige logger fra klienter for å forstå tidlige faser i et hendelsesforløp. Det kan derfor ofte være behov for mer detaljert data fra klienter, se 3.2.4.
Sikkerhetsrelevante data skal bidra til å ivareta autentisitet, konfidensialitet, integritet, tilgjengelighet, ansvarlighet og tillit i informasjonssystemene. Dataen må innhentes og håndteres på en slik måte som også inngir tillit til det som står i loggen, til at det som skal innhentes faktisk blir innhentet og at dataen ikke er manipulert. Den sikkerhetsrelevante dataen skal kun benyttes til å ivareta sikkerheten i IKTsystemer og bør lagres lenge nok tid til at man kan oppdage og kartlegge uønsket aktivitet i etterkant av en hendelse. Videre må behovet for at data potensielt kan være relevant i fremtidig etterforskning, skadevurdering og trendanalyser inngå i vurderingen for hvor lenge data skal oppbevares.
For at sikkerhetsrelevant data skal kunne brukes effektivt bør de sentraliseres og konsolideres for å kunne vurderes, analyseres og dermed gjøre det mulig å reagere riktig på sikkerhetstruende hendelser.