Tekoäly on myllännyt tietoturva-alaa jo vuosia, mutta ihmisen rooli on edelleen ratkaiseva, kertoo Google Cloudin omistaman Mandiantin poikkeamien hallintatiimiä Euroopassa johtava Harri Sylvander.
Nopeasti kehittyvän teknologian merkitystä ei kuitenkaan ole syytä vähätellä. Kynnys verkkorikollisuuteen on madaltunut, kun vaativiakin operaatioita on mahdollista toteuttaa tekoälyn avulla ilman syvällistä teknistä osaamista. Tekoälyllä voidaan esimerkiksi tuottaa haittaohjelmia, jotka osaavat itsenäisesti muokata koodiaan, jotta niitä on vaikeampi havaita.
”Tekoälyllä tehdään myös yhä enemmän ja yhä parempia deepfake-sisältöjä. Olemme olleet mukana useammassa tapauksessa, jossa organisaatiot ovat olleet lähellä menettää suuria summia. Yhdessä tapauksessa hyökkääjät olivat mallintaneet toimitus- ja talousjohtajan niin hyvin, että hyökkääjä pystyi osallistumaan verkkopalaveriin heidän virtuaalihahmoinaan”, Sylvander kertoo.
Tehokas verkkopuolustus on ihmisen ja teknologian tiivistä yhteistyötä
Verkon turvallisuudesta huolehtiville tietoturvaosaajille tekoäly on vähintään yhtä tärkeä työkalu kuin hyökkäysten suunnittelijoille. Tekoäly nopeuttaa reagointikykyä ja tehostaa poikkeamien hallintaa. Sen avulla voidaan automatisoida toistuvia tehtäviä, jotta tapauksia analysoivat henkilöt voivat tehostaa työtään ja keskittyä löydösten tulkintaan sekä ongelmien ennaltaehkäisyyn.
Sylvander ja hänen tiiminsä tuottavat jatkuvasti ajantasaista tilannetietoa verkon uhkakentästä, järjestäytyneistä tahoista ja niiden taustavoimista.
”Useat verkossa toimivat ryhmittymät ovat tunnistettavissa työkalujensa ja toimintamalliensa perusteella. Meidän työtämme on profiloida ja seurata niitä, jotta pystymme ennakoimaan mahdollisia uhkia. Esimerkiksi pimeän verkon ja Telegram-kanavien seuranta on olennaista, sillä niistä havaitaan, millaisista tiedoista käydään kauppaa”, Sylvander kertoo.
Yksi esimerkki ihmisen roolista ovat kansainvälisiin rekrytointeihin liittyvät riskit. Erityisesti resursseiltaan vahvat valtiolliset toimijat pyrkivät vakoilemaan kiinnostavia tahoja niiden palvelukseen pyrkivien kovan tason asiantuntijoiden kautta. Kun valtiollisia intressejä palvelevat huippuosaajat pääsevät kiinni kohdeorganisaatioiden järjestelmiin, seuraukset voivat olla hyvin vakavia, ellei toiminnan poikkeamia havaita ajoissa.
Ajantasaisen tietoturvan nyrkkisääntö: älä oleta
”Ajatus tietoturvan kunnossa olemisesta on lähtökohtaisesti vaarallinen. On inhimillistä ja hyvin yleistä olettaa verkkoympäristön pysyvän vakiona, vaikka tosiasiassa tilanne olisikin jo muuttunut oleellisesti. Luullaan, että tiedetään mitä verkossa tapahtuu, mutta aivan liian usein meidän tutkinnoissamme paljastuu aivan muuta”, Sylvander kertoo.
Tietoturvaa reaaliajassa seuraavien SOC-palveluiden asiantuntijoille on oleellista ymmärtää, millaisia uhkia on olemassa ja mitä verkossa tapahtuu. Tekoäly on tässä tärkeä apu ja oleellinen osa modernin tietoturvaorganisaation toimintaa.
”Hyökkääjien metodien ja motivaatioiden seuranta kertoo osaltaan, miksi tekoälyn käyttö on välttämätöntä tehokkaassa suojautumisessa. Aiemmin oli yleistä piilotella kohdeverkossa pitkään ja varastaa dataa vaivihkaa, ja monet valtiolliset tahot toimivat yhä näin. Nyt yhä useammat toimijat haluavat rahaa heti kiristämällä kohdeorganisaatiota tai tarjoamalla dataa myyntiin”, Sylvander kertoo.
Harri Sylvander siteeraa tilastoja, joiden mukaan mediaaniaika verkkoon pääsystä tunkeutujan havaitsemiseen on romahtanut 416 päivästä vuonna 2011 tämän hetken 11 päivään. Aika uuden haavoittuvuuden julkistamisesta sen ensimmäiseen hyväksikäyttöön liikkuu alle viikossa.
Syklin nopeutuminen puskee ihmisen havainto- ja reagointikyvyn rajoja: tehokkaaseen reagointiin vaaditaan edistyksellistä teknologiaa. Tekoälyn ansiosta datan prosessointi ja kokonaiskuvan analysointi nopeutuu radikaalisti.
Hyökkääjien toimintatavat muuttuvat – ja vika on usein perustason tietoturvassa
Mandiant kerää tilastotietoa siitä, miten hyökkääjät ovat päässeet kohdeverkkoon. Euroopan, Lähi-idän ja Afrikan alueella käsitellyistä poikkeamista 39 % hyödynsi erilaisia haavoittuvuuksia, 16 % varastettuja tunnus-salasana-yhdistelmiä ja 14 % kalasteluviestejä.
”Oleellisin oppi näistä tilastoista on, että huomattavan suuri osa hyökkäyksistä olisi voitu estää ottamalla käyttöön perustietoturvan parhaat käytännöt ja säännölliset päivitykset. Pelkästään kaksivaiheisen tunnistautumisen käyttöönotolla olisi todennäköisesti voitu torjua neljännes kaikista hyökkäyksistä”, Sylvander korostaa.
Sylvander alleviivaa, että oleellinen osa tietoturvaa on valmistautuminen: ei niinkään valmis suunnitelma, vaan jatkuva suunnittelu ja realiteettien validointi. Tietoturvan vakavasti ottavat organisaatiot tarvitsevat keinot seurata jatkuvasti, ovatko asiat todellakin oletetulla tolalla. Vain siten voidaan tehokkaasti havaita, jos jokin onkin muuttunut – ja tekoäly tekee prosessin puolustajien kannalta jatkuvasti haastavammaksi.
Lue, miten tekoälyavusteinen DNA SOC -tietoturvakeskus nostaa yrityksen tietoturvan kustannustehokkaasti uudelle tasolle!
