%20copy.jpg?width=6240&height=4160&name=20230317-DSCF2944%20(1)%20copy.jpg)
Tietoturvan lyhenteet tuntuvat loputtomilta. CSOC, NDR, EDR… Tässä blogissa pääset tutustumaan muutamaan keskeisimpään kirjainyhdistelmään, jotka kannattaa olla hallussa. Ratkaisuja mietittäessä lyhenteiden sijaan ytimessä on kuitenkin lopulta kokonaisuus ja tarve.
Lyhenteiden labyrintti -webinaarissamme käytiin läpi asiantuntijoidemme johdolla tietoturvaratkaisujen keskeisiä termejä. Koostimme tähän niistä osan ja halutessasi voit täydentää tietämystäsi kuuntelemalla koko webinaarin.
(C)SOC on kyberturvan ydin
Kyberturvakeskukseen eli (Cyber) Security Operations Centeriin liitetään helposti stereotyyppinen mielikuva hämyisestä valvomosta isoine näyttöineen, joita keskittyneet tekijät tuijottavat intensiivisesti. Mikään tietty fyysinen tila ei kuitenkin ole tänä päivänä ratkaiseva asia, vaan saman keskuksen analyytikot voivat työskennellä vaikkapa eri puolilla Suomea.
CSOC on pikemminkin toimintapiste, johon tuodaan eri työkaluista erilaista dataa, tietoa ja hälytyksiä, joita analysoidaan ja käsitellään nopean keinoälyn ja luovan ihmisälyn eli analyytikoiden toimesta. Tehtyjen havaintojen pohjalta sekä valvotaan että parannetaan asiakasyritysten tietoturvaa. CSOC on siten yhdistelmä tietoa, teknologiaa ja valvontaa, jota tietoturva-analyytikot käsittelevät eteenpäin. Harvassa organisaatiossa on oma CSOC, vaan yleensä palvelu ostetaan tietoturvakumppanilta, kuten Loihteelta.
?DR-lyhenteiden salat
EDR, NDR, IDR, CDR, XDR… DR-alkuisia lyhenteitä riittää, mutta mitä ne tarkoittavat? Näiden lyhenteiden ensimmäinen kirjain kertoo, mihin osa-alueeseen palvelu liittyy: Endpoint (päätelaite), Network (verkko), Identity (identiteetti), Cloud (pilvi)… DR-loppuosa viittaa puolestaan havainnointi- ja vastatoimikykyyn (Detection and Response). DR tarkoittaa teknologiaa, jolla tehostetaan havainnointia keinoälyn avulla, sekä integraatioita, joilla vastatoimet voidaan tehdä tehokkaasti ja jopa automaattisesti.
Etuliitteen mukaisesti palvelussa keskitytään esimerkiksi käyttäjän identiteettiin ja sen ominaisuuksiin, kuten käyttäjätunnukseen ja käyttäjään linkitettyihin laitteisiin sekä niihin liittyviin tapahtumiin (IDR). NDR puolestaan havaitsee verkossa tapahtuvia poikkeavuuksia ja jos jotain poikkeavaa tapahtuu, esim. palvelimille tulee outoja kyselyitä ja tietoa alkaa liikkua organisaatiosta ulospäin, nousee tämä tapahtuma esiin epänormaalina poikkeamana analyytikolle käsiteltäväksi.
DR:t eivät ole tulleet markkinoille vain ”hypenä”, vaan niitä oikeasti tarvitaan tehokkaassa kyberturvan valvonnassa. Kyberrikollisuudessa pyörivät isot rahat, ja se valitettavasti kasvaa jatkuvasti. Tapahtumien selvittely jälkikäteen on usein erittäin hankalaa, joten organisaatioiden tulee huolehtia entistä paremmin alkavien kybermurtojen havaitsemisesta. Näin ne kyetään pysäyttämään riittävän ajoissa. Kyberrikollisten tekemä tiedon ja identiteettien varastaminen sekä järjestelmien manipulointi vaatii hyökkääjältä toimintaa kohteen verkossa ja järjestelmissä, mikä ei ehkä ole kiellettyä, mutta ei aivan normaaliakaan toimintaa. Kohdennettu keinoäly ja koneoppiminen kykenee havaitsemaan poikkeaman normaalista ja tämä monesti riittää analyytikolle päästä hyökkäyksen jäljille ja pysäyttämään sen. Tässä on hyvien DR-tuotteiden ja ratkaisujen voima; havaita epäilyttävät ja selkeät hyökkäyksien merkit ajoissa.
Havainnoinnin lisäksi nykyaikaisessa kyberturvassa täytyy olla myös kykyä vastatoimiin, jotta ongelmat saadaan pysäytettyä. Kaikille hyville DR-työkaluille on yhteistä se, että niissä pyritään tehokkaaseen ja resurssit hyödyntäen mahdollisimman hyvään havainnointi- ja reagointikykyyn.
Tiivistettynä voisi todeta, että mitä enemmän DR:iä on käytössä, sitä enemmän pinta-alaa on valvottuna. Suojaukseen onkin tärkeä saada kerroksellisuutta. Hyöty onkin siten enemmän kuin osiensa summa ja XDR:llä (X = Extended) viitataan siihen, että useampi DR on käytössä. Tässä kohden kannattaa huomioida, että esim. XDR-palvelun sisältö voi vaihdella eri palveluntarjoajilla. Oleellista onkin selvittää, miten eri vaihtoehdot soveltuvat oman organisaation tarpeisiin.
Tekoälyn rooli kasvaa
AI:ta eli tekoälyä on hyödynnetty tietoturvassa jo pitkään muun muassa edellä kuvatuissa DR-päätteisissä työkaluissa. Laajat kielimallit ovat tuoneet analyytikoille myös sparrailukaverin ja tekoälyn rooli on arvioiden mukaan kasvamaan päin. Tekoälystä kannattaa ottaa ns. hyöty irti, mutta laajat kielimallit itsessään eivät pysty tekemään analyytikon töitä. Vaikka AI tukee työtä, se tekee edelleen myös virheitä. Lopulta ammattilainen eli ihminen tekee tulkinnan ja päättää havaintojen perusteella jatkotoimista. Ajatus siitä, että esimerkiksi CSOC-analyytikkoa ei tarvittaisi, on vielä kaukainen.
Yhteenveto: Millä on oikeasti merkitystä?
1) Keskity palvelun sisältöön, älä termeihin
2) Vahvista ymmärrystä valvottavasta ympäristöstä
3) Panosta havainnointi- ja reagointikykyyn
4) Kaikkea ei kannata tehdä itse, hyödynnä kumppaneita ja yhteistyötä
Blogin asiantuntijat
Severi Muona
Tietoturvapäällikkö
Tuomas Peltola
Palvelun omistaja
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!
