Aika päivittää SOC 2.0

Perinteinen tietoturva-ajattelu pohjautui turvallisen verkon ja turvattoman verkon (julkiset verkot, internet) jaotteluun. Näiden puolivälistä löytyy nk. DMZ-vyöhyke, joka yhdistää turvalliseksi ajatellun turvattomampaan. Etenkin OT-verkkojen turvallisuus rakennetaan palomuuraamalla kaikki liikenne ja yhteydet. Näin saavutettiin luotettu verkko, jonka turvallisuus oli taattu. Tätähän voisi pilke silmäkulmassa kutsua vaikka ”full trust”-ajatteluksi.

Puhutaan kehäturvallisuusajattelusta (perimeter security), jossa palomuuri on keskeisin tietoturvaelementti. Firewall suojaa verkon ja rakentaa näin turvallisuuden kehän luotetun verkon ympärille. Palomuurisääntöihin suhtaudutaan ankarasti ja kaikki yhteydet pahasta ulkomaailmasta (etäyhteydet ja sen sellaiset) toteutetaan tiukoilla VPN-yhteyksillä. Tämän aikakauden tarpeiden pohjalta rakennetut SOC-palvelut keskittyvät tietenkin turvaamaan verkkoa.

Vuoden 2022 uhkakuvat

Nykyään krakkeri harvoin tunkeutuu oveluudella ja taidolla palomuurien läpi, vaikka leffoissa tätä vielä viljelläänkin dramaattisin äänitehostein ja punaisin vilkkuvin valoin. Koko sinä aikana, kun olen Loihdetta saanut palvella, en ole nähnyt yhden yhtään palomuurin korkkausta.

Hyökkäykset kohdistuvat tänään tietoturvan heikoimpaan lenkkiin eli käyttäjään. Käyttäjä houkutellaan tai huijataan antamaan hyökkääjälle pääsy sinne turvattuun verkkoon. ”Full trust”-ajattelun heikkous on siinä, että kun kerran voittamaton kehäsuojaus on murrettu, peli on puolustautujan kannalta pelattu. Olet varmastikin kuullut vanhan hokeman epätasaisesta pelistä, jossa puolustautujan täytyy torjua joka hyökkäys, mutta hyökkääjän onnistua vain kerran. Ja näinhän se onkin, jos et päivitä tietoturva-ajatteluasi 2000-luvulle.

Sipuli on tätä päivää

Moderni tietoturva-ajattelu pohjautuu nk. sipulimalliin kehämallin sijaan ja jatkuvaan tarkastamiseen. Tästä kaiken tarkastamisesta käytetään hieman hämäävää termiä ”Zero Trust”, joka usein käännetään nollaluottamukseksi. Kysehän on vain siitä, että automaatio tarkastaa kaiken eikä uskota mihinkään tarkastamatta. ”Varmista aina” olisi parempi käännös.

Sipulipuolustuksen ja Zero Trustin etuna on se, että yksittäinen virhe tai unohdus ei ole fataali. Ovela hyökkääjä, joka onnistui pahuuksissaan nerokkaasti tekemättä virheitä, kuorii vain sipulin ensimmäisen kerroksen. Mitä sitten? Sata jäljellä. Yksikin virhe johtaa hälytykseen, jonka SOC huomaa. Peli on jälleen epätasainen – mutta nyt hyökkääjän tappioksi. Puolustautuja voi tehdä virheitä virheiden perään, mutta hyökkääjän täytyy onnistua erehtymättä ja virheettä kymmeniä kertoja peräkkäin.

SOC-näkyvyys tällä vuosituhannella

Suuret ajattelijat ja tutkimusyhtiöt ovat jo vuosia puhuneet SOC-näkyvyyden kasvattamisesta. Modernin SOC-palvelun täytyy ensisijaisesti keskittää valvontansa ja ennakoiva analyysi niihin uhkiin, jotka 2000-luvulla ovat todellisia ja todennäköisiä.

Sananlaskuja mukaillen: ”Yli kaiken varottavan varjele identiteettisi, sillä sieltä elämä lähtee”. Tämän tulee olla uuden sukupolven SOC-palvelunkin lähtökohta.

Jatkuva tarkkailu tulisi suunnata heikoimpaan lenkkiin eli käyttäjien identiteetteihin. Tässä kehittyneet AI-työkalut ovat kullan arvoisia.

Samoin modernin SOCin tulee tarkkailla käyttämiänne pilvipalveluita. Etenkin sähköposti ja muut viestintäjärjestelmät ovat ehdottomasti suurin uhkavektorinne. Sinne tietenkin SOCin kotkansilmät siis suuntaavat.

Ei unohdeta myöskään vanhaa ”follow the money”-viisautta. Mikä ja missä on tärkein tietonne? Toimialasta riippuen kallisarvoisinta voivat olla patenttitiedot, lähdekoodit, asiakastiedot tai muut liikesalaisuudet. Ja varmastikin rahaliikenne. Olethan varmistanut, että SOCilla on varmasti hyvä näkyvyys näihin?

PS. Jos blogin termiviidakko tuntui liian sankalta, apunasi toimii jatkuvasti täydentyvä tietoturva & pilvi -sanakirjamme.

Päättäjä, vaadi oikea SOC! Lataa alta tiivis yhteenveto siitä, mitä sinun päättäjänä kuuluu tietää SOC-palveluista ja tärpit parempaan palveluun.