Kyllä voi, etenkin taitavan CSOC-analyytikon käsissä. Markkinoille on puskenut useita tekoälyä hyödyntäviä tietoturvasovelluksia. Miten niitä voi ja kannattaa hyödyntää?
Uusia tekoälyinnovaatioita syntyy kiihtyvällä tahdilla. Muun muassa Microsoftin Copilot for Security on kehitetty organisaatioiden tietoturvatapahtumien analysointiin. Muita generatiivista AI:ta hyödyntäviä tietoturvavalmistajien tuotteita ovat muun muassa SentinelOnen Purple AI, Check Pointin Infinity AI Copilot ja Fortinetin FortiAI.
Mitä tästä seuraa käytännössä? Onko nämä pakko saada? Välillä kentältä kuuluu jopa pohdintoja, tarvitaanko enää koulutettuja ja kokeneita CSOC-analyytikkoja, jos AI tietää jo kaiken. Vielä ei kuitenkaan olla päästy tähän, ei edes lähelle. Tekoälystä on toki hyötyä, mutta nimenomaan kokeneen CSOC-analyytikon käsissä.
Aivan kuten hyväksi CSOC-analyytikoksi tullaan koulutuksen ja tekemällä oppimisen kautta, tarvitsee tekoäly oppia kehittyäkseen. Opin eväitä tarjoavat toiset jo tutummat teknologiat, kuten päätelaitesuojaus EDR (Endpoint Detection and Response) sekä laitteiden lokidata (SIEM) ja vielä lisäinfoksi verkontapahtumia NDR:n kautta sekä identiteettien tapahtumia IDR:n kautta. Myös nämä teknologiat pohjautuvat keinoälyyn tai paremminkin koneoppimiseen. Koneoppiminen pohjautuu näissä XDR-tuotteissa algoritmeihin, joilla tunnistetaan tunnettuja uhkia, poikkeavuuksia ja epäilyttäviä toiminteita oikeassa ajassa. XDR-tuotteet suojaavat seuraavasti: EDR suojaa päätelaitteet, NDR havainnoi verkkoa ja IDR havaitsee identiteetteihin liittyviä uhkia ja poikkeamia.
Koneoppimisen hyödyn voi helposti käydä testaamassa selailemalla Mitre Att&ck -matriisia. Miten helppoa olisi koneilta kerättyjä lokitietoja yhdistellä käsin Mitren kuvaamiin tekniikoihin? Koneelle voidaan algoritmien avulla opettaa esimerkiksi Mitre Att&ck -matriisin hyökkäystekniikoita, jolloin ne tunnistavat hyökkäykset automaattisesti silmänräpäyksessä, kun taas ihmiselle se olisi kaiken datamassan keskellä melko haastavaa tai ainakin ihmisiä tarvittaisiin paljon. Eli keinoäly näissä tuotteissa tehostaa ihmisen työtä. Tehtävä, johon ennen olisi tarvittu kymmenen analyytikkoa, hoituu nyt yhdellä CSOC-analyytikolla.
Pelkkä data ja työkalut eivät riitä
Sitten kun reppu on varusteltu, sille tarvitaan edelleen käyttäjä, joka sen antimia hyödyntää. Kokenut tuntee reitit ja sudenkuopat sekä tietää useammankin niksin ongelmakohtien selättämiseksi. Yksittäisen taidon sijaan ammattilaisella on repullinen paitsi tietoa ja välineitä myös laajaa osaamista ja kokemusta.
Generatiiviseen AI:hin tuotua ja sen muokkaamaa dataa pitää osata käsitellä. Itsekseen se ei tee taikoja – ei vanhoja klassikoita eikä uusia ennen näkemättömiä. Toki voimme hakea tietoa esimerkiksi kysymysten kautta ja päästä siten pikkuisen jyvälle asioista, mutta tehokas käyttö vaatii pohjalle koulutuksen, kokemuksen ja osaamisen siitä, miten tietoturvahyökkäykset toimivat ja etenevät.
Tärkeää on myös huomata, etteivät tekoälyä hyödyntävät tietoturvatuotteet ole ilmaisia. Ja yksin ne eivät oikeastaan tee mitään. Siinä missä CSOC-analyytikko saa voimia sopivalla suhteella työtä, ravintoa, lepoa sekä vähän huvia, niin AI tarvitsee konetehoa eli sähköä ja viilennystä, eikä tämä ole ilmaista. Helposti mennään metsään, jos tietoturvan suojausta, havainnointia ja reagointia aletaan rakentamaan ensiksi generatiivisen AI:n pohjalta. Kyllä polku tehokkaaseen tietoturvaan on edelleen sama vanha ja siinä toimii hyvänä pohjana esimerkiksi NIST Cybersecurity Framework:
1) Tunnista
- Riskiarvio eli mitä kyberturvallisuusriskejä organisaatiolla on nyt ja lähitulevaisuudessa
2) Suojaa
- Suojaavat teknologiat (EDR, IDR, NDR, palomuurit, MFA, jne.)
- Toimintatavat (henkilökunnan koulutus, Zero Trust -malli, jne.)
3) Havaitse
- Havaitsemista edistävät teknologiat (EDR, IDR, NDR, SIEM ja generatiivinen AI)
- Osaaminen käyttää teknologioita ja luova ajattelu uusien uhkien havaitsemiseen
4) Reagoi
- Teknologioiden mahdollistamat automaatiot (EDR, IDR, NDR, SIEM ja generatiivinen AI)
- Kyky luoda automaatioita
- Taito analysoida laajojakin tapahtumaketjuja (tässä AI voi auttaa)
- Oikeiden vastatoimien tekeminen
- Todistusaineiston keruu
5) Palaudu
- Varmistukset kunnossa ja turvallisissa paikoissa
- Laitteiden ja verkon puhdistaminen hyökkäyksestä
- Todisteiden kerääminen
- Toiminnan palauttaminen normaaliksi
6) Tunnista
- Jatkuva oppiminen ja kehitys (lesson learn)
- Tulevaisuuden uhat (huominen on nyt)
Hyvä renki mutta huono isäntä
Perinteinen sananlasku sopii tähänkin. Tekoäly on tietoturvassa uusi ja tehokas työkalu, joka auttaa havaitsemisessa ja reagoinnissa, kun suojaus pettää. Mutta se on hyödytön, ellei tietoturvan suojauksen ja havainnoinnin pohjaa ole tehty kunnolla. Siitä on rengiksi mutta ei isännäksi.
Generatiivinen AI ei korvaa mitään tietoturvateknologiaa eikä etenkään CSOC-analyytikkoa. Se voi parhaimmillaan tehostaa analyytikon työtä ja auttaa saamaan enemmän irti tietoturvateknologioista ja näin myös pienentää jatkuvasti vaativammaksi käyvän tietoturvan suojaamiseen ja valvontaan käytettäviä kustannuksia. Tekoälyä hyödyntämällä CSOC-analyytikot pystyvät tekemään työtään helpommin ja nopeammin. Siinä on generatiivisen AI:n taika yksinkertaisuudessaan.
Lopuksi vielä pieni kysymys ja esimerkki pohdittavaksi yksityisyyden suojaan liittyen. Milloin on ok esittää seuraava kysymys ja kuinka helppoa kysymyksen esittäminen saa olla?
KQL-kysely (ei välttämättä toimi):
Union DnsEvents, DeviceProcessEvents
| where SubType ==”LookupQuery”
| where Name == ”facebook.com”
| where Timestamp > ago(1h)
| project DeviceName, Timestamp, LocalIP
Tekoälylle esitetty prompti eli kehote voisi olla: ”Give me all the devices that has made DNS request to facebook.com within the last hour”. Koulutettu CSOC-analyytikko tietää, milloin tällaisen kyselyn voi tehdä. Tiedätkö sinä?
Blogin kirjoittaja
Tuomas Peltola
Palvelun omistaja
