Oppdage og varsle sikkerhetshendelser

Jo tidligere en sikkerhetshendelse oppdages og forstås, desto bedre kan vi reagere og begrense tapet av verdier. Deteksjon av hendelser er derfor en av de viktigste oppgavene til Uninett CERT.  

I det en hendelse er bekreftet, varsler vi kunden gjennom etablerte kanaler. Alvorlighetsgraden avgjør om hendelsen håndteres lokalt eller i samarbeid med oss. 

Som operatør av forskningsnettet har Uninett en unik tilgang til metadata om trafikken i nettet. Dette gir et uvurderlig grunnlag for å avdekke hvem trusselaktørene har vært i kontakt med. Når en hendelse er oppdaget hos én kunde kan vi dermed raskt varsle andre som også er berørt eller forhindre at flere rammes. 

Uninetts infrastruktur gjør det også mulig for oss å hjelpe kundene til å foreta en målrettet trafikkinspeksjon for å analysere et pågående angrep. Innsamling og korrelering av logger fra flere nivåer – infrastruktur, mellomvare og tjenester – kan gjøre det mulig å forstå hendelser som er usynlige eller uforståelige på ett nivå alene. I slik databerikelse benytter vi også informasjon fra våre samarbeidspartnere. Som det registrerte kontaktpunktet for mange av IP-adressene til våre kunder, mottar vi også varsler fra eksterne parter om uønsket aktivitet fra kompromitterte maskiner eller kontoer. 

Trusselbildet kundene våre står overfor er i stadig endring. Vi holder oss derfor løpende oppdatert på trusselutviklingen ved å kombinere nær kontakt med kundene med generell trusseletterretning, og vi formidler relevant og oppdatert informasjon til sektoren om trusler under oppseiling. Det er også nødvendig å stadig utvikle nye metoder og verktøy. Vi tilbyr i dag en tilleggstjeneste for sikkerhetsanalyse basert på lokale loggdata, og nye og mer avanserte løsninger er under utvikling.