Det var en mandag morgen da sikkerhetsteamet i et norsk energiselskap oppdaget noe merkelig. En PC tilhørende en ansatt i økonomiavdelingen hadde plutselig begynt å kommunisere med en IP-adresse i Øst-Europa. Ikke mye trafikk, men nok til at det utløste et varsel. Tradisjonelt antivirus hadde ikke reagert, for det fantes ingen kjent signatur å sjekke mot. Men atferdsmønsteret var mistenkelig nok til at det ble flagget.
Dette er virkeligheten i 2025. Angrepene kommer ikke lenger med sirener og blinkende lys. De kommer stille, gjemmer seg godt, og venter på riktig tidspunkt.
Fra virusskanner til intelligent overvåkning
Når vi snakker med ledere om sikkerhet for PC-er, mobiler og servere, møter vi ofte en misforståelse: "Vi har jo antivirus på alle maskiner?" Det er et godt utgangspunkt, men moderne trusselaktører opererer flere skritt foran tradisjonelle antivirusløsninger.
Realiteten er at de fleste alvorlige angrep i dag bruker legitime systemverktøy og kommandoer. PowerShell-skript som ser normale ut. Angrep som ikke etterlater filer på disken, men bare kjører i datamaskinens minne. Kompromitterte legitimasjoner som gjør at angriperen beveger seg som en vanlig bruker. Mot dette hjelper det lite å scanne etter kjente virusfiler.
Det vi ser hos våre kunder er at behovet har endret seg fundamentalt: fra å blokkere kjent ondsinnet programvare til å oppdage unormal atferd og kunne respondere raskt når noe skjer.
Hvorfor vi bygger sikkerhet rundt CrowdStrike
Etter å ha jobbet med ulike sikkerhetsløsninger over mange år, har vi landet på CrowdStrike Falcon som vår foretrukne plattform. Ikke fordi den er perfekt for alle, men fordi den matcher hvordan vi tenker moderne sikkerhet bør fungere.
Lett programvare, tung analyse i skyen. Vi jobber med kunder som har tusenvis av enheter spredt over hele verden: oljerigger, hjemmekontorer, konsulenter på reise. Løsninger som krever tung lokal infrastruktur og kompleks vedlikehold skalerer rett og slett ikke. CrowdStrike sin tilnærming med et lett sikkerhetsprogram som sender data til skyen for analyse, gir oss global oversikt uten lokal kompleksitet.
Overvåkning og respons som faktisk fungerer. Det holder ikke lenger å bare blokkere. Vi må kunne se hva som skjedde før et angrep, forstå hva som skjer nå, og ha verktøy til å stoppe det raskt. CrowdStrike gir oss den tidslinjen, ned på prosessnivå. Når vi undersøker en hendelse, kan vi se nøyaktig hvilke kommandoer som ble kjørt, hvilke filer som ble åpnet, hvilke nettverkstilkoblinger som ble etablert.
Verdens beste trusselinformasjon. CrowdStrike sitt trusseletterretningsteam sporer aktivt angripere globalt. Når en ny teknikk oppdages i et angrep i USA, blir den kunnskapen umiddelbart en del av deteksjonslogikken globalt. Dette nivået av kollektiv intelligens er umulig å bygge selv.
Det er også verdt å merke seg at CrowdStrike konsekvent rangeres som ledende i Gartners analyser av markedet, og kanskje enda mer interessant: profesjonelle hackere selv rangerer CrowdStrike som en av de vanskeligste løsningene å omgå. Når angriperne respekterer verktøyet, sier det noe.
Hendelseshåndtering som tjeneste. For mange av våre kunder er utfordringen ikke bare teknologien, men å ha folk tilgjengelig døgnet rundt til å håndtere hendelser. CrowdStrike sin Managed Detection and Response-tjeneste gir tilgang til erfarne sikkerhetsanalytikere som overvåker, analyserer og responderer på trusler på vegne av kunden. Dette er spesielt verdifullt for organisasjoner som ikke har kapasitet til å bygge et eget døgnbemannet sikkerhetssenter.
Fra teori til praksis: Slik jobber vi med kundene våre
Når vi implementerer sikkerhet for PC-er og mobiler for en kunde, starter vi aldri med teknologien. Vi starter med risikoforståelse.
Hva er mest kritisk å beskytte? For noen er det finanssystemer og kundedata. For andre er det produksjonsmiljøer eller forskningsdata. Dette styrer hvordan vi konfigurerer overvåkning og respons.
Hvor moden er sikkerhetsorganisasjonen? Et lite team på 2-3 personer trenger en annen tilnærming enn et sikkerhetssenter med 20 analytikere. Vi hjelper kunder med å finne riktig balanse mellom automatisert respons og manuell håndtering.
Hvordan håndterer dere hendelser i dag? Alt for ofte ser vi at verktøy blir installert, men prosessene for å faktisk bruke dem mangler. Vi bruker tid på å bygge handlingsplaner: Hva gjør vi når vi får et varsel om at noen prøver å spre seg mellom systemer? Hvem tar beslutningen om å isolere en maskin fra nettverket? Hvordan kommuniserer vi med brukeren?
En typisk implementering hos oss inkluderer:
Kartlegging av alle enheter og deres rolle i virksomheten
Gradvis utrulling med testing i pilotgrupper
Finjustering av varsler basert på kundens normale aktivitet
Opplæring av interne team i bruk av plattformen
Etablering av prosedyrer for varselhåndtering og respons
Løpende optimalisering basert på faktiske varsler og hendelser
NIS2 og det økende regulatoriske presset
Nye NIS2-krav gjør sikkerhet for PC-er, mobiler og servere fra "nice to have" til regulatorisk forventet. Virksomheter må kunne demonstrere at de har kontroll på hvilke enheter som har tilgang til kritiske systemer, at de overvåker for sikkerhetshendelser, og at de kan respondere raskt.
CrowdStrike-plattformen gir oss de tekniske kapabilitetene, men vår rolle som konsulent er å oversette dette til forståelig risikostyring for ledelsen. Vi hjelper med å dokumentere kontroller, bygge rapporter for styret, og sikre at den tekniske implementeringen faktisk møter de regulatoriske kravene.
Hva dette betyr for deg som leder
Moderne sikkerhet for PC-er og mobiler handler ikke om å kjøpe det nyeste verktøyet. Det handler om å bygge en kapabilitet, kombinasjonen av teknologi, mennesker og prosesser, som gjør at organisasjonen din kan oppdage og stoppe trusler før de blir til kriser.
Spørsmålene du bør stille internt:
Hvis en maskin blir kompromittert akkurat nå, hvor lang tid tar det før vi oppdager det?
Kan vi se hva en angriper har gjort på en kompromittert enhet?
Har vi prosesser for å respondere, eller stopper vi opp når varselet kommer?
Er sikkerheten vår forberedt på angrep som ikke etterlater filer, men bare kjører i minnet?
Vi i FM CyberSecurity hjelper norske virksomheter med å bygge denne kapabiliteten. Ikke ved å selge lisenser, men ved å være den erfarne stemmen som hjelper dere å ta riktige valg, implementere på riktig måte, og bygge en sikkerhetsorganisasjon som faktisk fungerer når det gjelder.
For sikkerhet på PC-er og mobiler er ikke lenger bare IT-avdelingens ansvar. Det er en forretningskritisk kapabilitet som krever oppmerksomhet helt opp på ledernivå.
