Teetkö tietoturvan valvontaa (tietämättäsi) manuaalisesti?
Sovellukset siirtyvät pilveen, datan määrä kasvaa ja kyberhyökkäysten kokonaismassa moninkertaistuu. Silti tietoturvan jatkuvaa valvontaa tehdään vielä hyvin perinteisin keinoin. Tähän törmää jopa sellaisissa yrityksissä, jotka muilla alueilla ovat pilviteknologioiden hyödyntämisen kärjessä.
Wanha kunnon keino: Sido analyytikko lokien tutkimiseen
Resurssien käytön kannalta huonoin on tilanne, jossa tietoturva-asiantuntijan työpäivät kuluvat security incident -lokien pitkää listaa tutkien. Lajittelua, tiedon rikastamista, eteenpäin eskaloimista: hirvittävän manuaalista, mutta ennen kaikkea vaikeasti skaalautuvaa.
Raporttidata, kuten Microsoftin vuosittainen Digital Defense Report, vahvistaa että palvelunestohyökkäysten, phishing-kampanjoiden ja haittaohjelmien määrä todella kasvaa vuosi vuodelta. Hyökkäysyrityksistä osa on pitkälle automatisoituja. Jos haluat reagoida uhkatilanteisiin nopeasti, tarvitset aika monta silmäparia lokejasi tutkimaan.
Yleisin tapa: Käytä eri työkaluja tietoturvan valvontaan
Moni huomasi jo kauan sitten, miten tehotonta kyberturvan jatkuva valvonta on järjestää ihmisvoimin. Etenkin pilviympäristöihin on tarjolla hyviä välineitä tietoturvan eri osa-alueiden automaattiseen valvontaan. Väitän, että suurin osa yrityksistä onkin niihin jo tarttunut.
Käytössä on ehkä sovellus sähköpostin suojaamiseen, pari palomuuria on asianmukaisesti pystyssä ja työasemia valvoo antivirustuote. Analyytikko voi suunnata huomionsa poikkeamien selvittelyyn.
Taktiikassa on sudenkuoppa: lisenssien haalimisesta seuraa helposti “false sense of security”. Ajatellaan, että nyt ollaan turvassa, teknologia hoitaa homman siellä pilvessä.
Pistemäisten tietoturvaratkaisujen kanssa joudut edelleen tekemään paljon manuaalista työtä, jos todella tahdot suojautua kyberuhkilta. Yhden työkalun nostama havainto näyttää merkityksettömältä, samoin toisen, vaikka yhdessä ne liittyisivät toisiinsa ja kertoisivat todellisesta uhkasta.
Kriittiseltä näyttävät havainnot vaativat nekin paljon käsittelyä, klikkauksia ja kommunikointia. Joudut vetelemään lankoja manuaalisesti yhteen, jotta saisit kokonaiskuvan kyberuhkista.
Tehokkain tapa: Automatisoi kyberturvan valvonnan prosesseissa kaikki, mikä on mahdollista
Massa on valtava, mutta hyvä uutinen on, että pitkälle automatisoidut hyökkäysyritykset toistavat usein samaa kaavaa kaikkien kohteiden osalta. Siksi myös uhkien torjuntaa voi automatisoida entistä pidemmälle. Lopulta vain harva käsiteltävistä tiketeistä vaatii syvällistä forensiikkaa. Leijonanosan prosesseista voit hoitaa lähes automaattisesti, jopa alusta loppuun asti.
Esimerkki 1: Selvitä automaattisesti, onko hälytys väärä vai oikea
Kirjautumisia valvova sovellus tunnistaa, että työntekijä loggaa sisään epätavallisesta sijainnista. Pelkän hälytyksen sijaan automaatio lähettää työntekijän esihenkilölle Teams-viestin: Onko totta, että Maija Meikäläinen tekee tänään töitä Albaniasta?
Jos esihenkilö tietää, että Maija matkusti eilen maahan tekemään etätöitä, hän klikkaa “kyllä” -vaihtoehtoa, ja tiketti kuitataan käsitellyksi.
Jos kirjautuminen vaikuttaa epäilyttävältä, esihenkilö klikkaa “ei”-vaihtoehtoa. Se käynnistää prosessin, jossa kirjataan Maijan kaikki istunnot ulos ja ilmoitetaan hänelle pakollisesta salasanan vaihdosta. Kun kaikki on kunnossa, tiketti kuitataan käsitellyksi.
Esimerkki 2: Rikasta tietoja ennen kuin analyytikko aloittaa työnsä
Järjestelmä hälyttää hyökkäysyrityksestä, mutta poikkeaman raportissa näkyy vain ilmoitus, noh, poikkeamasta.
Automaatio pystyy rikastamaan ilmoitusta tarpeellisella datalla eri lähteistä. Kehen henkilöön tai mihin laitteeseen hälytys kohdistuu? Milloin kohde on viimeksi nähty verkossa? Millaisia vahvistuksia ja tarkistuksia organisaation sisältä täytyy kerätä ennen kuin tiketti voidaan ratkoa?
Sillä hetkellä, kun IT-asiantuntija istuu alas käsittelemään poikkeamaa, hänen ei tarvitse käyttää enää aikaansa perustietojen haalimiseen, soitteluun ja selvittelyyn.
Esimerkki 3: Käytä reaaliaikaista dashboard-näkymää kokonaiskuvan saamiseksi
Isommassa mittakaavassa tiedon rikastaminen tarkoittaa tietysti eri havaintojen tuomista yhteen näkymään. Keskitetty, automaattinen pilven valvontaratkaisu tuo yhteen tietoa eri lähteistä ja auttaa hallitsemaan palveluita tehokkaammin.
Älykkäät valvontaratkaisut ja prosessien automatisointi on vaivattominta toteuttaa pilvestä käsin. Kaiken valvonnan kohteena olevan IT-infran ei silti tarvitse olla pilvessä. Riittää, että on-premises -ympäristöistä on yhteys pilveen ja siellä toimiviin työkaluihin.
Automaatio <3 Ihmiset
Kyberturvan jatkuvassa valvonnassa on paljon pelissä koko firman maineesta lähtien. Joidenkin karvoja nostattaa jo ajatus siitä, että mainitsen “tietoturvan” ja “automaation” samassa lauseessa – eikö ihmisten aivoja kuitenkin tarvita tilannearvion tekemiseen ja johtopäätöksiin?
Epäilijöillä on vahva pointti. Ihmistä tarvitaan esimerkiksi:
silloin kun on vastattava botin kysymyksiin “kyllä” tai “ei” automaattisen työnkulun ohjaamiseksi
silloin kun tietoturvapoikkeama ei istu valmiiseen muottiin ja tarvitaan syvällisempää forensiikkaa
silloin kun järjestelmä hälyttää riskialttiista virheistä tai aukoista konfiguraatiokoodissa, eikä lähdekoodia voi muuttaa automaattisesti.
Tietoturvan jatkuvan valvonnan automatisoinnilla on kuitenkin yrityksissä iso, hyödyntämätön potentiaali. Kaikkein pienimmät organisaatiot eivät ehkä saa sen tuomia skaalahyötyjä, mutta volyymien kasvaessa jokainen tiimi joutuu pohtimaan, miten valvonta on tehokkainta järjestää.
Jos perinteiseen, työvoimavaltaiseen Security Operations Center (SOC)-päivystykseen ei riitä paukkuja, on automaation lisääminen hyvä tapa lähteä liikkeelle ja aloittaa ympäristöjen 24/7-valvonta. Jos taas SOC on jo todettu kriittisen tärkeäksi, prosessien automatisointi vapauttaa sen analyytikoiden työaikaa haastavimpiin keisseihin ja toiminnan kehittämiseen.
Automaatioiden takana on ihmisiä töissä – kuten minä ja muu Cloud2:n porukka. Seuraamme pilven tietoturvaa ja sen muutoksia jatkuvasti. Kun sama ilmiö alkaa näkyä muutaman asiakkaan ympäristöissä, kehitämme uuden automaation sen taklaamiseksi. Sen jälkeen pystymme skaalaamaan hyödyt hetkessä muillekin.