Pari minuuttia parin viikon sijaan: niin reilusti AI voi säästää aikaa monimutkaisen kyberhäiriötilanteen selvittelyssä.
Tekoäly pystyy hoitamaan jo hyvin uskottavasti CSOC-kyberturvavalvomon perustyötä, eli tietojen yhdistelyä eri lähteistä sekä syy-seuraussuhteiden päättelyä. Siitä onkin tulossa lyömättömän tärkeä työkalu, joka auttaa yrityksiä toipumaan uhkaavista poikkeustilanteista tehokkaasti.
Nopeampi toipumisaika tuo yritykselle kustannussäästöjä ja auttaa vastaamaan esimerkiksi NIS2-raportointivelvoitteisiin.
Tässä artikkelissa käyn läpi CSOCin (Cyber Security Operations Center) näkökulmasta, missä AI:n potentiaali on suurimmillaan. Nostan esiin myös riskit, joita ei kannata ohittaa.
AI nopeuttaa kyberhäiriöiden käsittelyä, mikä antaa valtavaa etumatkaa kilpajuoksussa rikollisia vastaan
Kaikkiin CSOC-prosesseihin ei tarvita generatiivista tekoälyä, vaan automaatio on tehokas perusta
Identiteettipohjaisten hyökkäysten yleistyminen vaatii entistä älykkäämpää analyysia teknisten estojen rinnalle
AI:n ehdotusten kriittinen arviointi ja vastuu päätöksistä kuuluvat edelleen analyytikoille
Tietoturvaan täytyy kiinnittää erityisen paljon huomiota, sillä CSOCin työkalut ovat kytköksissä useisiin eri datalähteisiin
Aloitetaan oikaisemalla yleinen väärinkäsitys. Kaikkiin kybervalvomon prosesseihin ei tarvita tehostajaksi tekoälyä.
Hyökkäysten volyymi on kasvanut niin nopeasti, että hälytyksiä on ollut jo pitkään mahdotonta käsitellä ihmisvoimin. Tätä ongelmaa ei ole kuitenkaan ratkaissut paljon hypetetty generatiivinen tekoäly, vaan jo sitä edeltänyt automaation kehitys.
Muun muassa False Positive -tyyppisten hälytysten seulominen ja rutiininomaisten tapausten havaitseminen, ratkominen, dokumentointi ja raportointi onnistuvat kätevästi jo yksinkertaisilla automaatioilla.
Automaation ansiosta Cinian analyytikoidenkaan työmäärä ei ole kasvanut massiivisesti, vaikka pahantahtoiset toimijat kohdistavatkin hyökkäysyrityksiä asiakkaidemme ympäristöihin koko ajan enemmän.
Suosittelenkin automatisoimaan ensin CSOC-prosessit mahdollisimman pitkälle, ja lisäämään vasta sitten generatiivisen tekoälyn mukaan kuvioon. Datan laajempaan prosessointiin liittyy nimittäin hyötyjen lisäksi myös tietoturvariskejä, joihin palaan myöhemmin tässä artikkelissa.
Lue myös: Koneoppiminen: Mitä, miten, miksi?
Kun hälytysten iso massa on saatu haltuun, tekoäly tuo lisäpotkua monimutkaisten tilanteiden tutkimiseen. Se jäljittelee kokeneen analyytikon päättelyketjuja, yhdistelee sisäisiä ja ulkoisia tietolähteitä sekä ymmärtää tapahtumien seurauksia ja asiayhteyksiä.
Tiedonkeruussa ja päätelmien tekemisessä AI on ihmistä moninkertaisesti nopeampi. Se työskentelee väsymättä eikä altistu inhimillisille virheille isojen datamassojen edessä.
Tekoälyn kyky hahmottaa poikkeavaa käyttäytymistä on hyödyksi varsinkin nyt, kun uhkamaisemassa on tapahtunut selkeä muutos. Hyökkääjät keskittyvät koko ajan enemmän käyttäjätunnusten kalasteluun ja identiteettien kaappaamiseen sen sijaan, että skannaisivat pelkästään haavoittuvuuksia järjestelmien toteutuksesta. Teknisten estojen rinnalle tarvitaan älykästä analyysia siitä, onko jokin käyttäjän toimita tavanomaista vai ei.
Voiko kyberturvavalvomon sitten korvata kokonaan tekoälyllä? Riittääkö, jos vain hankkii markkinoilta kehittyneen sovelluksen poikkeamien käsittelyyn ja konfiguroi sen oikein?
Lyhyt vastaus: ei voi korvata. Työkalut eivät ratkaise poikkeustilanteiden hoitamisen onnistumista, vaan se, miten ne konfiguroidaan ja miten niitä käytetään.
Jos tulevaisuuden CSOCissa 80 % tapauksista käsitellään loppuun asti automaation ja AI:n yhteisvoimin, jää jäljelle silti vaativimpien tapausten 20 %, jossa botit tarvitsevat ihmisten asiantuntevaa ohjausta.
Ilman ihmisen valvontaa tekoäly voisi pahimmassa tapauksessa aiheuttaa katastrofin, kuten sulkea automaattisesti jonkin liiketoimintakriittisen palvelun väärillä perusteilla.
CSOCiin räätälöityjä AI-työkaluja on tarjolla jo runsaasti. Valintaa tehdessä pelkät tekniset ominaisuudet eivät riitä kriteeriksi. Tekoälyn myllyssä tulee pyörimään niin arkaluontoista dataa, ja yhdistettäviä kriittisiä lähteitä on niin monta, että tietoturvan pitää ohjata jokaista päätöstä.
Ainakin nämä asiat kannattaa selvittää kyberturvavalvomon AI-työkaluja vertaillessa:
Kenen kanssa olet tekemisissä: missä maassa AI-palveluntarjoaja toimii, missä dataa säilytetään?
Voiko dataa käsitellä osin tai kokonaan omissa konesaleissa, jos organisaation vaatimukset sitä edellyttävät?
Onko palveluntarjoaja kokonsa ja kokemuksensa puolesta uskottava?
Ovatko toimittajan taustat ja tietoturvastandardit kunnossa?
Miten tietoliikenneyhteyksien tietoturva varmistetaan ja missä formaatissa dataa liikutetaan?
AI-työkalut vaativat aina tarkkaa konfigurointia, sillä CSOC-prosesseissa tarvitaan niin monia eri datalähteitä. Kyberturvavalvomosta vastaavien täytyy tietää tarkalleen, mitä datalle prosessin aikana tapahtuu.
Jos tietoturvaan ei kiinnitä riittävästi huomiota, kyberpuolustuksen älykäs teknologia voi pahimmillaan päätyä hyökkääjien käsiin ja kääntyä itseään vastaan.
Kyberturvavalvomon asiantuntijoilta vaaditaan ymmärrystä laajoista kokonaisuuksista. Työ ei ole enää hälytysten mekaanista ratkomista, vaan pilvi- ja hybridiympäristöjen tai käyttäjäidentiteettien toimintalogiikan ymmärtämistä.
Tekoälyä pitää osata opponoida. Analyytikon pitää ohjata tekoälyä oikeilla kysymyksillä, mutta hänen pitää myös jatkuvasti haastaa koneen antamia vastauksia.
Tekoälyn tuottamat vastaukset perustuvat todennäköisyyksiin ja tarjoavat ratkaisuksi aina loogisinta vaihtoehtoa. Ovelimmissa hyökkäystyypeissä se ei riitä ratkaisuksi, vaan tarvitaan ihmisen luovuutta ja päättelyä paljastamaan rikollisten luovat – eli epätodennäköiset – ideat.
Vanha sanonta pätee myös CSOCissa: tekoäly on hyvä, väsymätön ja älyttömän nopea renki, mutta päätöksenteossa ihminen on edelleen isäntä.
Lopullinen vastuu oikeasta tilannekuvasta pysyy ihmisellä, jolla on kyky nähdä todennäköisyyksien ulkopuolelle.