Målet med prinsippet: Virksomheten oppdager skadelige aktiviteter som påvirker informasjonssystemer, data og tjenester gjennom analyse av sikkerhetsrelevante data.
Hvorfor er dette viktig?
Å oppdage uautoriserte handlinger og sikkerhetstruende hendelser kan være utfordrende, og i noen tilfeller er det avhengig av flaks, en observant bruker eller tips fra eksternt hold. Systematisert prosessering, gjennom sammenstilling og analyse av innhentet data vil bidra til å øke sjansen for å avdekke hendelser. Analysen vil også bidra til å forstå hendelser på tvers av strukturer og komponenter i IKT-systemet.
Virksomheten bør være i stand til å finne kjente trusler i egen infrastruktur, ha kompetanse til å benytte automatiserte verktøy og forstå hvordan verktøyene kan utnyttes best mulig. Verktøyene bør benytte seg av innsamlet data og verifisere dette («Indicators of Compromise» - IoC) for å oppdage kjente trusler.
Tilhørende tiltak
Utdypende Informasjon
Virksomheter bør ha evne til å nyttiggjøre seg av resultater fra sikkerhetsovervåkningen, se prinsipp3.2 - Etabler sikkerhetsovervåkning. Slike evner kan innehas av virksomheten eller alternativt kjøpes. Virksomheter bør i tillegg knytte seg til relevant sektor-CERT for analysestøtte og støtte i forbindelse med hendelser.
Trusselinformasjon kan innhentes i mange formater, volum og kvalitet. Det kan samles inn fra åpne diskusjonsfora, samarbeidspartnere, abonnement på tjenester eller fra interne kilder. Trusselinformasjon må viderebehandles etter innhenting ved å trekke ut det som er relevant for virksomhetens IKT-systemer.
Virksomheter bør også ha evnen til å identifisere ukjente trusler ved å kombinerer inngående kjennskap til egne systemer, og sårbarheter, relevant trusselinformasjon og trusselbildet i sektoren. Enkelte angripere vil bruke store ressurser på å unngå å bli oppdaget av standard overvåkningssystemer som anti-virus programvare og signaturbasert IDS («Intrusion Detection Systems»).
For å bidra til prosessering av store datamengder og avdekking av uautoriserte hendelser bør virksomheten også vurdere bruk av «anvendt maskinlæring» - implementering av kjente algoritmer som vil bidra til å finne unormaliteter i de sikkerhetsrelevante dataene.
For en hurtig og effektiv prosess rundt analyse og varsling basert på de innsamlede dataene, bør virksomheten ha automatiserte analyseverktøy som kontinuerlig kalibreres basert på terskelverdier, kunnskap om «normalnivået» i virksomheten, eller kunnskap om truslene i det digitale rom. «Normalnivået» beskriver hva som er et «rent nettverk» og hvilke innstillinger og dataflyt som er vanlig under daglig drift.
Det er vesentlig å oppdage uregelmessigheter og hendelser tidlig for å kunne detektere og håndtere dataangrep (se kategori 4 - Håndtere og gjenopprette).
Virksomhetene bør kontinuerlig forbedre sitt kompetansenivå på prosessering av sikkerhetsrelevant data, herunder forståelse av egne systemer, verktøybruk, truslene og utvikling av metoder for å detektere uautoriserte hendelser.