Kyberturvariskien hallinnassa yksi tärkeimmistä asioista on se, milloin kyberhyökkäys havaitaan. On suuri ero sillä, huomataanko tietomurto välittömästi vai vasta jälkikäteen. Jos tietomurto on vasta tapahtumassa, siihen pystytään vielä vaikuttamaan ja hyökkäys voidaan pysäyttää. Tähän hommaan SIEM ei yksistään riitä, vaan tarvitaan myös EDR ja NDR.
Kyberriskien hallintaan täytyy sisältyä kyberympäristön valvonta, joka kykenee tunnistamaan normaalit ja normaalista poikkeavat tapahtumat. Tapahtumia on paljon, ja 99,999 % niistä on täysin normaaleja. Jo yhden minuutin aikana tapahtumia kertyy niin paljon, ettei edes sata ihmistä pystyisi havaitsemaan kaikkea, vaikka kuinka tiiviisti lokeja seuraisi. Lisäksi lokien tuijottaminen on äärimmäisen tylsää, joten ihminen ei jaksa tehdä sitä kovin tehokkaasti. Onneksi ovat tietokoneet, jotka jaksavat kerätä tietoa ja analysoida sitä väsymättä. Nykyään AI ja koneoppiminen tekee tästä vielä tehokkaampaa. AI tehostaa kiistatta työtä niin hyvässä, mutta myös pahassa.
Pysäyttävä esimerkki AI:n voimasta on Anthropicin Claude Mythos -malli, joka kykenee löytämään haavoittuvuuksia sekä luomaan niille zero-day exploitteja (nollapäivää hyväksikäyttöjä). Pelottavaa on, että se ei etsi haavoittuvuuksia CVE-tietokannoista, vaan se löytää lähdekoodista suoraan haavoittuvuuksia, joita kehittäjät ja analyytikot eivät ole löytäneet koskaan. Yksi keskustelua aiheuttanut on Claude Mythoksen löytämä OPENBSD:ssä ollut haavoittuvuus, joka on ollut koodissa jo 27 vuotta. OPENBSD:tä käytetään käyttöjärjestelmänä monessa tietoturvatuotteessa. Toinen esimerkki on monelle tuttu avoimen lähdekoodin Firefox-selain, johon Claude Mythos loi myös lukuisia toimivia hyväksikäyttöjä. Anthropic on siis hyvä yhtiö, joka kertoo haavoittuvuuksista valmistajille ja auttaa tietoturvan kehityksessä. Siksi nämä ovat nousseet esiin. Pahat toimijat eivät toimiaan ja havaintojaan julkaise, vaan käyttävät niitä omien etujensa ajamiseen.
IBM Cost of a Data Breach Report 2025 kertoo, että tietomurron tunnistamiseen ja rajoittamiseen kului keskimäärin 276 päivää.
Emme siis voi olettaa, että tiedämme aina, miten meihin hyökätään. Suojaukset eivät ole koskaan 100 %. Tärkeää on siis huomata, kun jotain poikkeavaa tapahtuu. AI on se apu, joka mahdollista tämän. On täysin normaalia, kun teen töitä ja kirjoitan tätäkin blogia, että dokumentti tallentuu OneDriveen. Mutta minulle se olisi epänormaalia, jos se tallentuisikin Dropboxiin. Dropboxiin tallentaminen taas jollekin toiselle on täysin normaalia. Tämä sama pätee myös Mythos-esimerkkeihin; nämä kehittyneet uhkat vaativat, että havainnoinnin täytyy olla yhtä kehittynyttä.
SIEM on edelleen tärkeä, mutta ei yksin riitä
Perinteisin kyberturvan valvontaan käytetty teknologia, SIEM, pohjautuu ennalta tietämiseen ja arvaamiseen (use case, mitä tapahtumaa valvotaan). Hyökkääjä teki A:n ja B:n, joten teemme säännön, jolla pyritään havaitsemaan, jos joku tekee uudelleen A:n ja B:n. Sitten tietomurron tutkinnassa huomataan, että hyökkääjä teki myös C:n ja D:n. Koska C:n ja D:n havaitsemiseen ei ollut sääntöjä (use casea), tehdään sellaiset nyt seuraavaa hyökkäystä varten. Eli kerättävästä lokitiedosta pitää ennalta tehtyjen havaintosääntöjen pohjalta havaita poikkeamat. SIEM on edelleen tärkeä osa valvontaa, mutta se ei enää yksin kykene havaitsemaan kehittyneitä hyökkäyksiä. Vaikea tehdä sääntöä, kun emme tiedä mihin sääntö pitää tehdä. Tarvitsemme AI:ta eli apua koneilta. AI kykenee tehokkaan koneoppimisen myötä havaitsemaan myös ihmiselle tuntemattomia nollapäivähyökkäyksiä yksinkertaisesti siksi, että algoritmit kykenevät huomaamaan sen, mikä ei ole normaalia ja ketjuuntuu epäilyttävien tapahtumien myötä epäilyttäväksi havainnoksi.
Yleisin AI:ta käyttävä suojaus on EDR-päätelaitesuojaus EDR (Endpoint Detection and Response). EDR on tärkeä AI-pohjainen suojaus, joka kykenee uhkien lisäksi havaitsemaan myös normaalista poikkeavia prosesseja. EDR on agenttipohjainen kyberturvatuote ja suojaus toimii vain, jos agentti on asennettu järjestelmään ja pystyy toimimaan häiritsemättä hyviä ohjelmia. Tämä on heikkous, sillä myös hyvissä ohjelmissa on haavoittuvuuksia, joiden taakse hyökkääjä voi piiloutua ja kiertää EDR-agentin suojauksen. Lisäksi EDR-agentteja ei voi asentaa kaikkiin laitteisiin ja järjestelmiin. Tämä on erityisen yleistä IoT- ja OT-ympäristöissä, mutta myös tavallisissa IT-ympäristöissä.
Nykyainen kyberpuolutus tarvitsee useampaa AI:ta
SIEM ja EDR eivät nykyään enää riitä havaitsemaan kaikkea haitallista toimintaa. Kyberissä mikään ei toimi ilman verkkoja – eivät myöskään kehittyneet kyberhyökkäykset. Verkon valvonnan pitää olla myös kehittynyttä. Nykyaikaisen verkon kyberturvan valvonnan tulee sisältää kyvykäs AI:ta hyödyntävä NDR (Network Detection and Response), joka on kuin nykyisissä sodissa tutuksi tulleet droonit. NDR on kuin maastoa erilaisilla sensoreilla valvova drooni. Se havaitsee vihollisen liikkeet ja hälyttää puolustuksen iskujoukot EDR:t. EDR:n avulla SOC-analyytikko pystyy pysäyttämään päätelaitteella alkaneen haitan.
Verkoissa kyberhyökkäykset tarvitsevat verkkoon jalansijan, joka on yleensä päätelaite. NDR kerää verkon metatietoa sensoreilla ja analysoi tapahtumia algoritmeilla. NDR oppii koneoppimisen avulla, mikä on verkossa normaalia ja mikä poikkeaa normaalista. Algoritmeille opetetaan hyökkäysten taktiikat ja tekniikat sekä niiden tunnuspiirteet. Kun algoritmit havaitsevat riittävästi osumia, ne muodostavat havainnon, johon valvonnan analyytikkojen kannattaa reagoida.
Koska kyberhyökkäykset ovat jo todistetusti siirtyneet AI-aikaan ja AI on nopeaa, myös kyberpuolustuksen täytyy hyödyntää AI:ta tai se on myöhässä. Nykyään kaikki tapahtuu verkossa, mutta jostain syystä verkkoja ei kuitenkaan aina valvota kunnolla ja siksi kyberhyökkäykset pääsevät useasti tapahtumaan. Kun NDR integroidaan EDR:n ja SIEM:n kanssa, kyberturvan valvonta on vahvalla tolalla. Jos yhtälöön lisätään vielä ammattitaitoinen CSOC-analyytikko, ollaan vieläkin vahvempia. Pilvipalveluissa periaate on sama kuin havainnointi verkossa, mutta päätelaitteen sijaan hyökkääjä raivaa tiensä varastetulla identiteetillä ja lisäksi havainnointitekniikkaa ja algoritmeja kutsutaan eri termeillä (IDR ja CDR). Hyvä NDR sisältää integraatiot myös pilvipalveluihin ja omaa IDR- sekä CDR-kyvykkyydet.
Blogin kirjoittaja
