SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 13 - Network Monitoring and Defense

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 13: Network Monitoring and Defense.

Formålet med denne kontrol er at etablere og vedligeholde processer og værktøjer, som sikrer omfattende netværksovervågning og forsvar mod sikkerhedstrusler på tværs af virksomhedens netværksinfrastruktur og brugerbase.

Kontrollen understreger, at sikkerhedsværktøjer alene ikke er tilstrækkelige. De skal understøtte en proces for kontinuerlig overvågning, så hændelser kan opdages og håndteres hurtigt.

Hvorfor er Control 13 kritisk?

Netværksforsvar er ikke perfekte. Angribere udvikler løbende nye metoder og deler viden om exploits og omgåelse af sikkerhedskontroller.

Selv hvis sikkerhedsværktøjer fungerer som forventet, kræver det korrekt konfiguration, tuning og logning for at være effektive.

Sikkerhedsværktøjer er kun effektive, hvis de indgår i en proces for

• Overvågning • Detektion • Analyse • Respons

Uden løbende overvågning kan angreb forblive uopdaget i uger, måneder eller længere. Omfattende situational awareness øger hastigheden for detektion og respons og reducerer konsekvensen af kompromittering.

Overordnede processer og værktøjer

Virksomheden skal forstå

• Kritiske forretningsfunktioner • Netværks og serverarkitektur • Data og data flows • Forbindelser til leverandører og samarbejdspartnere • End-user devices og konti

Denne forståelse danner grundlag for

• Sikkerhedsarkitektur • Tekniske kontroller • Logging • Overvågning • Response procedurer

Centralisering af logs til analytiske systemer, som eksempelvis Security Information and Event Management løsninger, kan understøtte korrelation og analyse. Ugentlig loggennemgang er nødvendig for at justere tærskler og identificere unormale hændelser.

Automatiserede værktøjer understøtter processen, men erstatter ikke behovet for menneskelig vurdering.

Konkret: Hvad skal man have styr på?

Control 13 indeholder en række konkrete Safeguards.

Centraliser sikkerhedshændelser

Sikkerhedshændelser skal centraliseres på tværs af enterprise assets for log korrelation og analyse. En SIEM løsning eller en log analyse platform med relevante korrelationsalarmer kan anvendes.

Deploy Host Based Intrusion Detection

Der skal implementeres en host based intrusion detection løsning på enterprise assets, hvor det er relevant og understøttet.

Deploy Network Intrusion Detection

Der skal implementeres en network intrusion detection løsning, hvor det er relevant. Dette kan være en Network Intrusion Detection System løsning eller tilsvarende cloud service.

Segmentering og trafikfiltrering

Der skal udføres trafikfiltrering mellem netværkssegmenter, hvor det er relevant.

Adgangskontrol for remote assets

Adgang til enterprise ressourcer fra remote assets skal styres. Adgangsniveau skal bestemmes ud fra:

• Opdateret anti malware software • Overholdelse af secure configuration process • Opdaterede operativsystemer og applikationer

Indsamling af netværkstrafik logs

Netværkstrafik flow logs og eller netværkstrafik skal indsamles for gennemgang og alarmering.

Host Based Intrusion Prevention

Der skal implementeres en host based intrusion prevention løsning, hvor det er relevant og understøttet. Eksempler inkluderer Endpoint Detection and Response klienter eller host based IPS agenter.

Network Intrusion Prevention

Der skal implementeres en network intrusion prevention løsning, hvor det er relevant. Eksempler inkluderer Network Intrusion Prevention System eller tilsvarende cloud service.

Port Level Access Control

Port level access control skal implementeres. Dette kan benytte 802.1X eller tilsvarende netværksadgangsprotokoller og kan inkludere bruger og eller enhedsautentifikation.

Application Layer Filtering

Application layer filtering skal udføres. Dette kan eksempelvis ske via filtering proxy, application layer firewall eller gateway.

Tuning af alarmer

Sikkerhedshændelses tærskler skal justeres månedligt eller oftere.

Afslutning

CIS Control 13 kræver etablering og vedligeholdelse af processer og teknologier til netværksovervågning og forsvar.

Det omfatter central logning, intrusion detection og prevention, segmentering, trafikfiltrering, adgangskontrol, indsamling af netværkstrafik og løbende tuning af alarmer.

Målet er at sikre hurtig detektion og effektiv respons på sikkerhedshændelser på tværs af virksomhedens netværk.

Tak fordi du lyttede med.