Kontinuerlig sikkerhetsovervåking

SOC er en egen avdeling i Telenor som leverer sikkerhetstjenester til bedrifter. Angrep kan stoppes langt ute i nettverket, men det forutsettes at bedriftens linjer kommer fra Telenor.

Ekspertisen er plassert i Arendal, og senteret har til nå holdt det gående i syv år. TSOC benytter seg av ulike metoder, og bruker blant annet signaturbasert deteksjon, LTD – Lovlig Trafikk Definisjon (SYN ACK), svartelisting av fiendtlige adresser, statistikk, kundespesifikke mønstre og hva de kaller Sandman (sandbox-analyse).

I dag har TSOC rundt 60 bedrifter rundt i verden på sin kundeliste. De minste kundene har fra 60 til 70 ansatte, men det er ikke bare størrelsen som er avgjørende. Verdiene av det som skal sikres er også en viktig faktor.

Store utfordringer

– I land som Kina og Russland kan de it-kriminelle tjene ti ganger så mye i måneden som en gjennomsnittlig ingeniørlønn. Dette gir store utfordringer, sier Frank Stien, avdelingsleder for TSOC.

I sitt arbeid bruker TSOC en nettverkssensor som genererer spesifikke rapporter. Denne sensoren knyttes gjerne til bedriftens brannmur. Filer sjekkes grundig før de slipper gjennom, og det er hele 13 ulike antivirus-løsninger som er i drift. Alle sensorer inneholder en web-tjener som er tilgjengelig for autorisert personell hos bedriften.

Tjeneren gir tilgang til oppdaterte rapporter om hendelser som avdekkes i nettverket. Hendelser prioriteres etter alvorlighetsgrad, henholdsvis som hvite, grønne, gule, oransje eller røde. Oransje og røde hendelser medfører umiddelbar varsling. Disse hendelsene medfører også at en hendelsesrapport gjøres tilgjengelig via web-tjeneren og/eller som e-post.

Flesteparten av de vellykkede angrepene er kodet eller kryptert kommunikasjon. Trafikken flettes inn i kjente tjenester som brukes hele tiden (eksempelvis web eller epost). TSOC har utviklet «Sandman» – et system som samler inn programfiler som lastes ned til kunden og kjører disse i et beskyttet miljø for å avdekke fiendtlig oppførsel.