God logning øger dine muligheder for at opdage og analysere et cyberangreb

Center for Cybersikkerhed har i den senere tid set, hvordan organisationer er blevet ramt af cyberangreb, hvor vigtige logs ikke var til rådighed til at analysere angrebet. Ny vejledning kommer med anbefalinger til arbejdet med logning.
27. april, 2016 - Kl. 11.05
[Oprindeligt publiceret af Center for Cybersikkerhed]

CFCS har aktuelt modtaget oplysninger om, at visse organisationernes eksterne ip-adresser har optrådt på udenlandske sites i en sammenhæng, der kunne indikere en kompromittering af organisationernes interne netværk. CFCS har efter en dialog med de respektive organisationer erfaret, at brugbare logs fra it-systemer hos organisationerne ikke har været til stede. På den måde besværliggøres, og i nogle tilfælde umuliggøres, organisationens evne til at afdække hvilket internt system, der har kommunikeret med et fjendtligt site via internettet.

Opsamling af logs fra udstyr og systemer er afgørende for myndigheder og virksomheders evne til at opdage et cyberangreb hurtigt og efterfølgende afdække konsekvenserne effektivt. Med tilstrækkelig logning vil det kunne afdækkes, hvor og hvorfor eventuelle eksisterende sikringstiltag svigtede i den aktuelle situation. Specielt i relation til organisationens firewall skal man være opmærksom på, at logning, på såvel indersiden som ydersiden af denne, er vigtig for at fastholde det fulde billede af den trafik, der blokeres eller passerer igennem firewallen.

For at sikre en hurtig opdagelse og en effektiv udredning af konsekvenserne ved cyberrelaterede hændelser, er det vigtigt, at organisationen har iværksat en række sikkerhedsmæssige tiltag i forhold til logning. Ny logningsvejledning fra Center for Cyberforsvar kommer med en række anbefalinger i relation til at inddrage logning i et godt cyberforsvar.