Microsoftin Applied Skills eli ’soveltavat taidot’

On January 3, 2026January 3, 2026 By SamikidoIn SuomeksiLeave a comment

Siitä on jo kohta vuosi, kun peruuntuneen koulutuksen vuoksi minulla olikin yhtäkkiä enemmän aikaa itselleni. En toki avannut kalenteriani kenellekään, vaan päätin palkita itseni omalla ajalla. Välillä vapaa selailu, ihmettely ja surffailu ilman deadlinea tai suorituspaineita on vapauttavaa. Minä päädyin aikani internetin ihmeellisessä maailmassa seikkailtuani sitten jälleen tutkailemaan Microsoftin nk. ’soveltavien taitojen’ -tarjoamaa (Applied Skills courses).

Toki olen aiemminkin nämä huomioinut ja kurssilaisille suositellut. Mutta kun itselläni on suunnilleen kaikki Microsoftin ikinä tarjoamat sertifikaatit ”kovana kamana”, eli virallisina, valvottuina kokeina (”proctored exams”) suoritettuna, en ollut muutamaa kurssittamaani lukuun ottamatta niitä innostunut ”suorittelemaan”. Nyt se jotenkin sitten otti ja kolahti. Ehkäpä lähti hieman lapasestakin, kun päädyin istumaan koneen ääressä myöhään yöhön tehden noita aimo nipun.

Nämä Microsoftin nk. viralliset sertifioinnithan suoritetaan PearsonVuen virtuaalitestikeskuksessa (toki optiona on raahautua fyysisesti testikeskukseenkin, mutta käsittääkseni ani harva moiseen vaivautuu) valvottuina. Siis hakeudut tilaan, jossa käsillä ei ole lunttimateriaalia, valvoja kyttää sinua webbikameran kautta ja serttikoeohjelma estää käyttämästä mitään muuta koneella.

Miten Applied Skills eroaa perinteisistä sertifiointikokeista?

Applied Skillsin suorittamista ei valvo kukaan. Lukaiset materiaalin läpi, kuuntelet kurssituksen – tai jo valmiiksi osaat aihealueen – ja sitten vain tekemään arviointi, eli labratyyppisessä ympäristössä ohjeiden mukainen toteutus. Kuten todettu, saat tehdä täysin rauhassa koneellasi tätä. Kukaan ei valvo sitä, onko joku mukana jelppimässä tai käytätkö googl… siis Bingiä apuna tai kysäiset vaikka välillä AI:lta. Myös työpaikan guru voi jelpata, jos törmäät ongelmaan.

Ei monivalintoja – oikeaa tekemistä aidossa pilviympäristössä

Se mistä pidin, on elämänmakuisuus. Ei monivalintakysymyksiin vastaamista. Käynnistät testin ja alat suorittaa. Jonkinlainen AI-arvioija antaa palautteen heti – saat ilmoituksen, että hienoa, nyt olet suorittanut tämän soveltavan taidon.

Ympäristö on aito, oikea Microsoftin pilviympäristö. Ja tehtävänanto varsin selkeä. Käytännössä vastaa näiden kokonaisten koulutuspakettien joitain labraosioita. Aikaa naputella on kaksi tuntia, joka riittää todella ruhtinaallisesti – jos siis aihealue on tuttu. Itse työstämäni Sentinelin asennus (SC-5001), Purview-implementaatio (SC-5003), Purview-konffinta (SC-5007) ja Defender XDR:n käyttöönotto ja simppeli näytöshallinnointi (SC-5004) veivät kukin selvästi alle tunnin. Koukkuun jääminen ja kaikkien pakkomielteinen puskeminen samana iltana tuotti kyllä hieman nk. hellasäröä.

Mikä Applied Skillsissä toimii erityisen hyvin?

Jos olet työstänyt vaikkapa Sentineliä työksesi, siihen liittyvä Applied Skills -testi on suorastaan naurettavan helppo. Kustakin tuotteesta vaaditaan vain perustason osaaminen. Toisaalta näitä ei läpäise ”hauki on kala”-metodilla tai ostamalla kysymyspaketin hämärästä netistä. Täytyy osata käyttää kyseistä kilkettä. Kurssilla käymme aihealueen läpi puoleen päivään ja sitten jokainen kliksuttelee testin läpi. Kouluttajan on sallittua jelpata, mikäli iskee paha aivosumu.

Todistukset

Applied Skills’it ilmestyvät samoin kuin kovat sertit Learn-palvelun Transcript-osioon. Ne eivät vanhene (eli et joudu uusimaan näitä). Saat myös ladattua hienon, Satay Nadellan henkilökohtaisesti signeeraaman todistuksen – aivan kuten niistä ”oikeista” sertifikaateistakin.

Ikävä kyllä näihin sovellettujen taitojen sisältöihin ei Microsoft tunnu satsaavan aivan samalla vakavuudella kuin isompien sertifikaattien oppisisältöihin. Applied Skills saattaa lipsahtaa huoltoon hyvinkin lyhyellä varoitusajalla. Parhaillaan useampi noin vuosi sitten tekemäni ilmoittaa ”This assessment is currently undergoing maintenance. Explore other Microsoft Credentials in the meantime.”

Itse soisin Applied Skills -tyyppisen, aidossa ympäristössä osoitetun osaamisen, palaavan myös oikeisiin sertifiointitesteihin monivalintakysymysten rinnalle. Se nostaisi varmasti osaltaan Microsoft-sertifiointien arvostusta.

Alkuperäinen blogahdus on julkaistu Corellian blogissa, osoitteessa https://corellia.fi/microsoftin-applied-skills-eli-soveltavat-taidot/. Olen otettu ja ylpeä siitä, että rehtori salli meikeläisen kaltaisen sanahampuusin kirjailla perinteikkään ja arvostetun koulutusyrityksen blogiin.

Osallistumalla Corellian kursseille voit hyvinkin törmätä minuun. Itseasiassa, jos valitset tietoturvaa liippaavan kurssin, päädyt erittäin suurella todennäköisyydellä luokkaan kanssani. Pilvijutuissa arpa voi osua Artoon, Anttiin tai meikeläiseen.

MCRA finally updated!

On April 30, 2025 By SamikidoIn EnglishLeave a comment

Yay! It finally happened! On April 24th, 2025, to be exact.

Microsoft’s cybersecurity reference architecture has now been updated. The previous version (v3) was released back in December 2023 — so it’s been well over a year (and nearly a half) since the last update.

This update is especially timely, considering how Microsoft has been rolling out new security tools, recommendations, and features at a dizzying pace lately.

So, what’s changed?

The “Core Capabilities” diagram has been revamped. It now includes things like Microsoft Security Exposure Management, Windows LAPS (for managing local admin passwords), passkeys, and Microsoft Entra Verified ID (less common in Finland). And of course, Microsoft Security Copilot has been added (fantastic, but brutally expensive).
Entra Permission Management has been removed (EoL – thanks to Entra’s new packaging approach).
Microsoft Entra ID Governance Adaptive Access has been added.
There’s a strong emphasis that security must be embedded everywhere. This is highlighted in the slide titled “Security must be integrated everywhere.”
The AI section has been updated (I’ll write a separate blog post about that soon — it’s a juicy topic).
A brand new “Standards Mapping” section is included. It focuses on Zero Trust reference architecture from The Open Group and maps Microsoft’s products to it. It now also includes role listings for human identities (as defined by The Open Group).
There’s a lot of content from The Open Group’s upcoming Security Matrix, especially around threat prioritization.
Secure Score seems to be trending down, while Exposure Management is on the rise.
The threat intelligence facts have been updated, and Microsoft’s security investments are highlighted — with some quite impressive numbers.
The security modernization journey is presented in an engaging and clear (sometimes even entertaining) way, along with the operating models Microsoft recommends.

It’s light to digest, with slick visuals — just a casual 115 slides in the standard deck.

If you haven’t yet downloaded the slides, do it now by – just click HERE.

MCRA päivittyi viimein!

On April 25, 2025 By SamikidoIn SuomeksiLeave a comment

Jei! Nyt se sitten tapahtui! Tarkalleen 24.4.2025.

Microsoftin ylläpitämä kyberturvan referenssiarkkitehtuuri siis päivittyi. Edellinen (versio 3) päivitettiin joulukuussa 2023. Eli onhan tässä jo reilu vuosi ja kohta puolikaskin vierähtänyt edellisestä päivityksestä.

Etenkin siksi, että Microsoft on puskenut uutta ja upeaa tietoturvakilkettä, -suositusta ja -työkalua suorastaan hengästyttävällä tahdilla.

Mikä sitten on muuttunut?

“Pääkyvykkyyksien” kuvaaja on uusiutunut ja sisältää nykyään mm. Microsoft Security Exposure Managementin, Windows LAPSin (lokaali-adminien salasanan hallinnan), passkeyt ja Microsoft Entra Verified ID:n (Suomessa vähemmän käytetty) sekä tietenkin lisäämällä Microsoft Security Copilotin (mainio mutta julman kallis).
Entran Permission Management on poistunut (EoL, kiitos Entran uuden paketoinnin).
Microsoft Entra ID Governance Adaptive Access ilmestynyt mukaan
Painotettu sitä, että tietoturva on osa kaikkea ja kaikessa mukana. Tästä kelmu ““Security must be integrated everywhere”.
Päivitetty AI-osio (tästä kirjoitan pian erillisen blogahduksen, aihe on niin herkullinen)
Uusi “Standardien kartoitus”-osio(“Standards Mapping). Keskittyy Zero Trust -viitekehykseen Open Groupilta (sekä Microsoftin tuotteiden mappaus tätä vasten). Mukana nyt myös roolilistat (Open Groupin määritysten mukaisesti) ihmisidentiteeteille.
Open Groupin tulevan Security Matrixin antia paljonkin, mm. uhkaosion priorisointi.
Secure Score näyttää sukeltavan ja altistumisen hallinta (“Exposure Management”) olevan nousussa.
Uhkatietoon liittyvät faktat näyttävät päivittyneen ja yleisesti Microsoftin panostukset tuodaan esille – varsin vaikuttavin numeroin.
Kiinnostavasti ja selkeästi (osin jopa viihdyttävästi) esitetty tietoturvan modernisointimatka (“security modernization journey”) ja Microsoftin painottamat toimintamallit.

Kevyttä asiaa ja hienot grafiikat. Vaivaiset 115 slideä perussetissä.

Jos et vielä ole koko kelmuzettiä ehtinyt ladata, nappaa se tästä.

Who would win? Human or AI?

On February 27, 2025 By SamikidoIn EnglishLeave a comment

Alright, I admit it. My title was peak clickbait journalism. I’m not planning to write a sci-fi epic about the battle between flesh and metal to the bitter end.

My goal is to examine the capabilities of artificial intelligence and computer-based intelligence in the field of cybersecurity and compare them to human-led security measures in similar use cases. More specifically, I will focus on Microsoft’s security stack, meaning the suite of security technologies offered by Microsoft.

What does matter? What Should Be Protected and Monitored?

In a large IT environment, there are hundreds of moving parts. There’s plenty to secure. Just vulnerability management alone can involve at least a three-digit number of operational targets. And what about cybersecurity’s classic weakest link? No, I’m not talking about Active Directory, though as a standalone technological component, it could very well fit the description. I’m referring to people—users. Those mobile, busy, and often thoughtless little penetration testers.

Securing data requires preparedness. We must ensure that systems are more or less up to date and correctly configured. This is what’s known as cyber hygiene, or proactive cyber defense. On the other hand, we must observe systems and their behavior—identify unusual activities and anomalies. This falls under reactive security.

Traditionally, security monitoring service providers have emphasized the importance of reactive security. The idea is to monitor the environment even in the [expensive] early hours of the morning. The often-heard mantra, “Cybercriminals don’t work office hours,” is used to justify why monitoring should continue outside regular working hours. This statement is likely true. I find it hard to believe that a criminal trade union is actively lobbying for working hour protections for outlaws. But does it really matter? And more importantly, is this argument still relevant in the cybersecurity mindset of 2025?

The answer is both yes and no. Yes, in the sense that a severe vulnerability in an e-commerce system, for example, could be exploited in the early hours of the morning, leading to a data breach. And no, because research suggests that the vast majority of threats (depending on the source, anywhere from 2/3 to 80–90%) are coming through cybersecurity’s weakest link: the user. And very few employees work 24/7 under a slave contract. As far as I know, such practices are even legally prohibited in civilised countries (not in US, I think 😉).

Therefore, monitoring resources should be focused 70–90% on the hours when the weakest link (the user) is active and working.

Human vs. Robot as a security monitoring worker?

It took a while to get to the main topic. Am I getting old and rambling? Well, maybe the background was useful, especially when considering the aspect of monitoring and comparing human intelligence to artificial intelligence.

Monitoring has two key aspects: response speed and detection capability. The first indicates how well and quickly a system reacts to risks or anomalies. The second determines how many anomalies can actually be detected. Neither aspect is useful on its own. If we recognize every single anomaly but only investigate them a month later, the attack has likely already achieved its goal, making our reaction too late and therefore useless. The thief came, saw, and conquered. On the other hand, if our response time is within a second but our detection capability only covers half of the systems, the thief could have come, seen, and conquered without us even knowing.

It’s an undeniable fact that a microprocessor’s response to stimuli is significantly faster than that of a human. A computer reacts to a command in milliseconds, while a human takes seconds at best—thousands of times slower. In terms of reaction speed, the robot wins hands down.

What about detection capability? A computer brain can scan a thousand lines of log data in the blink of an eye. Again, it vastly outperforms a human. Artificial intelligence doesn’t get tired or perform worse due to illness. Consistency is one of the most important measures of detection capability. And once again, the robot takes the win.

No matter how we look at it, humans need automation—computer intelligence—to support them. Both for detection capabilities, since humans are too inefficient and slow to process all relevant data, and for reaction speed, since human processing speed is inadequate. The real question isn’t human vs. robot—it’s about how much human involvement is needed. And why? Job preservation? Ethical contributions? There may be reasons. In some cases, it makes sense for a human to approve or make a decision based on AI-processed data and proposed outcomes. However, most counterarguments I’ve encountered stem from emotional reactions—statements like, “But that’s not how it’s always been” and “That just won’t do.”

Where Do Human Brains win the game?

Where do I see human intelligence as superior? At its best, a sharp and skilled cybersecurity expert possesses innovation that AI cannot yet replicate. We often talk about intuition or a gut feeling that something isn’t right. In reality, this is intuitive reasoning. Even a tech-enthusiast nerd like me doesn’t believe AI will match human intuition anytime soon.

How does this manifest in security operations? AI produces more false positives. For example, it may classify it as a security risk when the meticulous accountant, Paolo, suddenly starts making typos in his password on a Friday night. A human analyst might suspect fatigue or drunkness as the cause of the typing errors.

Higher-level tasks, such as architecture and strategic assessments aligned with business requirements, remain beyond AI’s reach. Artificial intelligence performs best when dealing with predefined models and a limited number of variables.

This has been proven in games. In chess, you will never beat AI. The best human player, making zero mistakes, might achieve a draw. That’s because chess has a limited set of possible moves. AI calculates every single move. The outcome is predetermined. But in a more complex mathematical game like Go, the situation changes. When the number of variables is no longer limited, human players can still compete (at least against AI with limited computational power). And my colleague Massimo insists that AI also outperforms humans in No Limit Hold’em poker too. Go figure – or should I ask from Copilot? 😉

Conclusion

AI is better suited for monitoring tasks that require fast responses. It doesn’t tire or make human errors. The more complex the task, or if it requires “psychological or political insight,” the human operator is unbeatable.

Perhaps traditional first-line monitoring tasks should be assigned to robots, with the most critical decisions escalated to human supervisors.

Ultimately, it depends on the industry and use case. In some operations, it makes sense to have human monitors. In others, where constant vigilance and perfectly consistent execution are required, assigning the task to a human isn’t worthwhile.

However, I see less and less need for humans to handle repetitive routines or basic monitoring tasks—especially during hours when users aren’t actively introducing risk vectors through human errors. AI is a perfectly good security guard for an e-commerce server in the early morning hours!

Kumpi voittaa, robotti vai ihminen?

On February 27, 2025February 27, 2025 By SamikidoIn SuomeksiLeave a comment

Jep, myönnetään. Otsikkoni oli nk. klikkijournalismia parhaimmillaan. En ole suunnitellut kirjailla scifi-tyylistä eeposta lihan ja metallin taistosta katkeraan loppuun.

Tarkoitukseni on tarkastella keinoälyn ja tietokoneaivojen kyvykkyyksiä tietoturvan saralla ja verrata niitä ihmisen tekemiin toimenpiteisiin vastaavissa käyttötapauksissa. Tarkemmin vielä rajaan arvioinnin Microsoft-tietoturvapinoon eli Microsoftin tarjoamaan tietoturvateknologiapakettiin.

Mikä on relevanttia? Mitä kannattaa suojata ja mitä valvoa?

Suuremmassa tietojärjestelmäympäristössä on satoja liikkuvia osia. Turvattavaa riittää. Pelkkä haavoittuvuuksien hallinta kattaa helposti vähintään kolminumeroisen määrän operoitavia kohteita. Ja entäpä sitten tietoturvan klassinen heikoin lenkki? Ei, en nyt kirjoita Active Directorystä, vaikka yksittäisenä teknologisena komponenttina se hyvinkin saattaisi sopia kuvaukseen. Tarkoitin ihmisiä, käyttäjiä. Näitä palkkaa nauttivia, liikkuvia ja touhukkaita, ajattelemattomia pieniä penetraatiotestaajia.

Turvassa olevat tiedot edellyttävät varautumista. Meidän täytyy huolehtia siitä, että järjestelmät ovat enemmän tai vähemmän ajan tasalla ja konfiguraatiot tehty oikein. Tämä on sitä kyberhygieniaa eli ennakoivaa kyberpuolustusta. Toisaalta meidän tulee havainnoida järjestelmiä ja niiden toimintaa. Noteerata oudot toiminnot ja poikkeavuudet. Tämä taasen voidaan lukea reaktiiviseen tietoturvaan.

Perinteisesti valvontapalveluiden myyjät ovat korostaneet reaktiivisen tietoturvan merkitystä. Ja tottahan toki siten, että ympäristöä valvotaan myös aamuyön [kalliina] tunteina. Usein kuulee toisteltavan hokemaa ”kyberrosvot eivät ole sidottuja virka-aikaan” ja tämä toimii perusteluna sille, miksi valvomon pitäisi kytätä myös virka-ajan ulkopuolella. Väite pitää mitä todennäköisimmin paikkansa. Minun on vaikea uskoa pahisten ammattiliiton kovinkaan aktiivisesti ajavan työaikalain suojaa lainsuojattomille. Mutta onko sillä mitään merkitystä? Ja entäpä, onko koko väite relevantti enää vuoden 2025 tietoturva-ajattelussa?

Vastaus on kyllä ja ei. Kyllä siinä mielessä, että esimerkiksi verkkokauppajärjestelmän paha haavoittuvuus saattaa altistaa hyväksikäytölle ja sitä kautta tietomurrolle vaikkapa aamuyön tunteina. Ja vastaus ei on myös perusteltu, sillä tutkimusten mukaan valtaosa uhista (lähteestä ja otoksesta riippuen 2/3:sta jopa 80-90%:n) aktualisoituu sen tietoturvan heikoimman lenkin kautta. Eli käyttäjän siis. Ja harva työntekijä paiskii 24/7 orjasopimuksella. Käsitykseni mukaan moinen taitaa olla sivistysmaissa jopa lailla kielletty.

Näinpä siis valvomon kannattaisi suunnata kyttäysresursseistaan 70-90% nimenomaan siihen aikaan, kun tietoturvan heikoin lenkki (käyttäjä) on aktiivinen ja touhuaa töitään.

Ihminen vs. robotti valvojana?

Kestipä kauan päästä varsinaiseen aiheeseen. Alankohan tulla vanhaksi ja jaarittelijaksi? Noh, ehkäpä taustoituksella oli kuitenkin oma merkityksensä. Etenkin kun tarkastellaan tätä valvonta-aspektia ja asetetaan ihmisaivot keinotekoista älykkyyttä vastaan.

Valvonnassa on kaksi pääaspektia. Reagointinopeus ja huomiointikyvykkyys. Ensimmäinen ilmaisee sen, kuinka hyvin ja nopeasti reagoidaan riskiin tai poikkeamaan. Toinen taas osoittaa sen, miten paljon poikkeamista kyetään tunnistamaan. Kummastakaan yksinään ei ole hyötyä. Jos tunnistamme joka ikisen poikkeaman ja outouden, mutta ehdimme syventyä niihin vasta kuukauden päästä, hyökkäys on todennäköisesti jo saavuttanut tavoitteensa ja reaktio siis myöhässä ja sitä kautta hyödytön. Rosvo tuli, näki ja voitti. Toisaalta, vaikka reagointikykymme olisi sekunnin luokkaa, mutta huomiointikyvykkyytemme kattaa vain puolet järjestelmistä, rosvo on voinut tulla, nähdä ja voittaa ilman että olemme asiasta edes tietoisia.

Lienee kiistaton tosiasia, että mikroprosessorin reagointikyky ärsykkeeseen on merkittävästi ihmistä nopeampi. Tietokone reagoi millisekunneissa käskyyn, ihminen parhaimmillaan sekunneissa – tuhansia kertoja hitaammin. Reagointinopeudessa robotti siis voittaa suvereenisti.

Entäpä sitten huomiointikyvykkyys? Koneaivo lukee tuhat riviä lokitietoa silmänräpäyksessä. Jälleen ihmistä valtavasti, suorastaan käsittämättömästi nopeammin. Keinoälykkyys ei väsy eikä suorita flunssaisena huonommin. Tasalaatuisuus on huomiointikyvykkyyden tärkeimpiä mittareita. Ja jälleen siis robotti vetää pidemmän korren.

Toimittiinpa miten vain, ihminen tarvitsee automaatiota eli koneaivoja tuekseen. Sekä havainnointikyvykkyyteen, kun ihminen on vain liian tehoton ja hidas käymään kaikkea aiheeseen liittyvää dataa läpi, että reagointiin, kun ihmisen prosessointinopeus ei riitä. Kyse ei oikeasti olekaan ihminen vs. robotti -asetelmasta. Todellisuudessa kyse on lopulta siitä, kuinka paljon ihmistä tarvitaan puikkoihin. Ja miksi? Työllistävä vaikutus? Ihmisen eettinen kontribuutio? Syitä voi löytyä toki. Joissain tapauksissa on perusteltua edellyttää ihminen tekemään hyväksynnän tai päätöksen robotin prosessoiman tiedon ja ehdottaman tuloksen pohjalta. Useimmat vasta-argumentit, joihin olen itse törmännyt, pohjaavat kuitenkin tunnepohjaiseen reaktioon. ”Mutku ei niin oo koskaan ollut” ja ”eihän se nyt vain käy”.

Tästähän päästäänkin siihen ihmisen vahvuuteen. Missä itse näen ihmisaivot voitokkaina? Parhaimmillaan terävä ja osaava tietoturvavelho omaa innovatiivisuutta, jota koneäly ei ainakaan toistaiseksi pysty matkimaan. Usein arjessa puhutaan vaistosta tai fiiliksestä, ettei kaikki ole oikein. Todellisuudessahan kyse on intuitiivisesta päättelystä. Edes minun kaltainen teknologiauskovainen nörtti ei kuvittele koneälyn ainakaan lähitulevaisuudessa pääsevän lähellekään ihmistä tällä sektorilla.

Miten se sitten käytännössä näkyisi secu-tekemisessä? Koneäly tekee enemmän nk. false positive -arvioita. Eli päättelee uhaksi sen, kun kirjanpidon särmä Pertti alkaakin perjantai-iltana tehdä yllättäen kirjoitusvirheitä esimerkiksi salasanaa syöttäessä. Ihmisanalyytikko saattaa arvailla väsymyksellä tai nautintoaineilla olevan osansa näppäilyvirheissä.

Toisaalta korkeamman tason tehtävät, kuten vaikkapa arkkitehtuuri ja strateginen arviointi liiketoiminnan vaatimuksia vasten, ovat toistaiseksi vielä tekoälyn ulottumattomissa olevia aspekteja. Keinotekoinen älykkyys toimii mitä parhaimmin silloin, kun käsiteltävät asiat mahtuvat ennalta määriteltyihin malleihin ja toisaalta muuttujien määrä on rajallinen.

Tämähän on todistettu esimerkiksi pelaamalla. Shakissa et voita koneälyä ikinä. Paras ihmispelaaja, joka ei tee yhden yhtään virhettä, voi päästä tasoihin. Kas kun shakin siirtojen määrä tuottama vaihtoehtojen määrä on rajattu. Koneäly laskee joka ikisen siirtovaihtoehdon läpi. Lopputulos on siis ennalta selvä. Mutta kun siirrytään vaikeampaan matemaattiseen peliin, kuten vaikka Go, tilanne muuttuu. Kun muuttujien määrä ei olekaan enää rajallinen, ihmispelaaja pärjääkin jälleen (ainakin rajallista koneälyn laskentakapasiteettia vastaan). Ja kollegani Massimo väittää myös keinoälyn voittavan ihmisen myös No Limit Hold’em pokerissa. Nih.

Lopputulos

Koneäly sopii paremmin nopeaa reagointia vaativiin valvomotehtäviin. Se on väsymätön eikä tee inhimillisiä virheitä. Mitä suuremmaksi kompleksisuus menee tai mikäli tehtävä vaatii ”psykologista tai poliittista silmää”, ihmistoimija on lyömätön.

Ehkäpä perinteiset ensimmäisen linjaston valvontatehtävät voisi sälyttää robottien tehtäväksi ja tärkeimmät päätökset eskaloitaisiin ihmisvalvojalle.

Kokonaisuushan riippuu lopulta toimialasta ja käyttötapauksesta. Joissain toiminnoissa on perusteltua käyttää ihmisiä valvontatehtävissä. Ja toisaalta tiettyjä tehtäviä, joissa vaaditaan jatkuvaa skarppiutta ja täysin tasalaatuista suorittamista, ei taas kannata antaa ihmiselle.

Yhä vähemmän näen kuitenkaan tarvetta toistuvien rutiinien tai perustason valvontatoimien allokointiin ihmisvalvojille. Ainakaan niinä aikoina, kun käyttäjämme eivät aktiivisesti ole luomassa inhimillisillä virheillään näitä uhkavektoreita. Koneäly on aivan hyvä valvoja sille verkkokauppapalvelimelle aamuyön tunteina!

Keskusteluja tietoturvan valvonnasta

On November 22, 2024November 22, 2024 By SamikidoIn SuomeksiLeave a comment

Igniten upeiden julkistusten nostattamassa euforiassa äidyin keskustelemaan ystäväni ja ex-pomoni (tai oikeastaan pomoni pomon) Pasi Yliluoman kanssa tietoturvan valvonnasta ja kaikesta sen ympärillä.

Modernisti olimme kumpikin tahollamme. Minä työhuoneeni nojatuolin syöverissä viinilasillinen kädessä ja Pasi jotain lenkkiä tai hyötyliikuntaa vetämässä, urheilullinen nuori mies kun on. Kylläpä reilu vuosikymmen on muuttanut kommunikaatiokulttuuria. Meiltä siis, vanhakantaisemmathan pakkomodernisoituivat vasta covidin takia.

Niin tai näin, juttu lensi. Pyysin copilottia tekemään yhteenvedon, sillä dialogi oli sikäli kiinnostava, että kuvittelen jonkun virtuaalikamunikin mahdollisesti kiinnostuvan aiheesta. Oli pakko siivota ja lyhentää rankasti. Litteroidussa muodossa tajuaa kuinka rönsyilevää vanhojen secupartojen dialogi saattaakaan olla. Odottakaas vain vanhainkotivaihettamme! Tuskin pääsemme päivässä edes aiheeseen. 😉

Ota ja lukaise tiivistelmä väittelystämme. Mieluusti kuulisin palautetta. Oletko samaa mieltä, kiistät tai korjaat? Anna palaa kommentteja. Somessa ei tarvitse olla häveliäs!

Sami: Olen jo pidempään hämmästellyt, kuinka mainiosti ”siviilikin” voi nykyään arvioida tapahtumia ja järjestelmien esiin nostamia poikkeamia. Olen opastanut Microsoftin nk. Security Copilotin (virallinen nimi on ”Copilot for Security”) käyttöä muutamalle tutulle IT-asiantuntijalle, jotka eivät ole mitenkään secu-genreen erikoistuneita tai sitä seuranneita. Etenkin se ”guided responses” -toiminto – jonka ehkä voisi kääntää vaikka ”ohjattu tietoturvavaste” – on varsin vaikuttava.

Jotenkin mieleen tulee elämä jokunen vuosikymmen sitten. IT-tiimi valvoi keskitettyjä virustorjuntakikottimia ja varmisti, että palomuuri puksutti. VPN-käyttöoikeusia anottiin lomakkeella ja harkinnan mukaan IT niitä myönsikin sitten. Backupit testattiin ja varautumissuunnitelmakin oli putkirikon tai tulipalon varalle. Ei tarvittu tietoturvapapistoa. Järjestelmänvalvonta kyttäsi ja herätti päivystäjän, jos iso bittihikka iski yöllä.

Tietoturvatorstai oli kuukauden ensimmäinen torstai ja silloin ladattiin uudet virustietokannat hallintapalvelimelle ja asennettiin päivitykset palvelimille.

Pasi: Kyllähän uhkien ja tapahtumien määräätkin ovat kehittyneet ja kasvaneet exponentiaalisesti niistä ajoista. Mutta totta kyllä, että kaiken hallittavuus oli lähempänä vuosituhannen alkua helpompaa. Tai ainakin se tuntui siltä. Harvoinhan se IT-tiimi itse palomuuria tai haastavimpia tietojärjestelmien elementtejä asenteli. Muistathan, että jo vuosituhannen taitteesta asti on ollut tietoturvavalvomoita ja järjestäytynyttä tekemistä IT-tiimin tukena.

Sami: Totta kyllä, mutta ne tietoturvavalvomot olivat pääsääntöisesti lähinnä tietoverkon valvontaa. Palomuuri tärkeimpänä elementtinä. Monesti NOCin (tietoverkkojen valvontakeskus) ja SOCin (tietoturvan valvontakeskus) rooleja oli vaikea erottaa toisistaan. Ääritapauksissa niitä pyöritettiin enemmän tai vähemmän samoin resursseinkin.

2000-luvulla valvontaan lisättiin se keskitetty virustorjunta, eli esim. McAfeen tai TrendMicron hallintopalvelin. Ah! Ja tapahtumalokia keräiltiin, jos joltakin vehkeeltä. Näin jopa tapauksia, jossa kaikilta työasemilta kerättiin eventtitiedot talteen. Näiden hyödynnettävyyden perinteisessä valvomossa kyseenalaistan. Oman käsitykseni mukaan niitä hillottiin lähinnä teoreettista forensiikkakäyttöä varten.

Pasi: Myöhemmin 2010-luvulla EDR nousi tärkeään asemaan tietoturvavalvomoiden toiminnassa. Gartnerin kuuluisa SOC-näkyvyyskolmiokin nosti EDR:n yhdessä SIEMin ja NDR:n kanssa tärkeimmiksi näkyvyyslähteiksi.

Mielestäni SOC-toiminta muuttui 2020 lähestyttäessä. Markkinaan ilmestyi jopa tietoturvavalvomopalveluita, joita tuotettiin pelkän EDR:n tai NDR:n varaan. Niiden nimittämistä SOC-tyyppiseksi tietoturvavalvomoksi voi mielestäni kyseenalaistaa perustellusti.

Sami: Juu, en itse nimittäisi näitä ”managed detection and response” -palveluita SOC’eiksi ensinkään. MUTTA. Itse ilahduin näiden ilmestymisestä kenttään. Oman kokemukseni mukaan ne ajavat pitkälti saman asian kuin nk. SOC. Monesti ehkä jopa tehokkaammin, kun täysin irrelevantit lokienkeräilyt on poissa.

Itseasiassa minun mielestäni juuri tämä MDR-palveluiden synty on lähtölaukaus nykymuotoisten SOCien kuolemiselle.

Pasi: No sittenhän me olemme samaa mieltä! Itsekin uskon, että perinteinen tietoturvavalvomo alkaa olla tiensä päässä. Hyöty-kustannussuhde on kestämätön. Aivan liikaa turhaa ja manuaalista tekemistä. Tai ehkä sen verran korjaan, että tietyillä toimialoilla henkilöiden suorittama aktiivinen valvontatyö kuuluu kyllä asiaan. Joskin itse näkisin silloin näiden toimijoiden SOCit enemmänkin talon sisäisinä funktioina tai hyvin lähellä liiketoimintaa olevina toimintoina, joiden kontolle voisi sälyttää myös preventiivistä tietoturvaa.

Sami: Exactly! Juuri tästä investointi-tuotto -aspektista itsekin päädyin pohdintooni. Siis miettimään, kuinka 15 v sitten Dentsu-Aegiksen tietohallintoa vetäessäni pärjäsimme pienellä tiimillä ilman valvomoita. Silloin ympäristö oli sikäli kompakti ja teknologiakenttä rajattu, että koin hallitsevani ja osaavani verrattain suvereenisti kaiken siihen liittyvän.

Tilanne muuttui radikaalisti pilvipaholaisen rynnättyä möyhäämään koko IT-palveluiden tuotannon. Automaatio, mikropalvelut, hajautettu laskenta, SaaS- ja PaaS-palvelut toivat muutosvauhtia, joka hengästyttää heikompia. Tehokkuus kiistämättä on noussut varmaan liki kymmenkertaiseksi. Toisaalta shadow IT on räjähtänyt käsiin myös. Ja etenkin kokonaisuuden kompleksisuus on samoin noussut käsittämättömällä vauhdilla. Enää en usko minkään nyrkkitiimin kykenevän niin mitenkään hallitsemaan kaikkea käsillä olevaa. Eli kokonaisuus on väistämättä liian kompleksi ja vaatisi renessanssineron hallitsemaan kaikkea.

Pasi: Vaikeus ja osaamiskirjon laajuus ei kyllä voi olla selitys tai tekosyy sille, etteikö tietoturvaa valvottaisi ja poikkeamiin reagoitaisi asianmukaisesti. Maailma ja internet on kuitenkin nykyään merkittävästi vaarallisempi paikka kuin silloin 15 vuotta sitten. Erinomainen muutos on myös se, että valvonnan tarpeeseen on useilla tahoilla “herätty” kunnolla, paljolti jonkun kantapääopin kautta.

Mutta en kyllä näe tämänkään tukevan ajatusta perinteisestä tietoturvavalvomosta. Enemmänkin se IT-tiimi tarvitsee älykkäitä työkaluja, joka palauttaa kaiken heidän näppeihinsä. Kuten sinulla joskus silloin 15+ vuotta sitten asia oli kun olit tietohallintopäällikkönä siellä media-alalla. Siis valvonta ja turvaaminen lähemmäs liiketoimintaa.

Sami: No ihan just näin ja aamen! Sellainen tietoturvavalvomo, jota SOC-edustaa usein johtaa juuri väärään suuntaan. Eli kokonaisuus tietoturvan osalta on vieläkin vähemmän IT-tiimin hallinnassa, kun SOC elää omaa elämäänsä omassa norsunluutornissaan. Pahin, mitä olen nähnyt, on asenne että ”nää, jää on joku secu-ongelma, ne hoitaa se SOC ei meidän kannata tähän käyttää aikaa”.

Tuo on suorastaan vaarallinen metodi. Sinänsä, mikäli tiimit olisi integroitu tehokkaasti ja secu osa IT-palvelutuotantoa, näin ehkä voisikin olla. Mutta tietoturvavalvomo on oma siilonsa. Ainakaan perinteinen SOC ei osallistu tietoturva-arkkitehtuurin suunnitteluun eikä vastaa palvelinylläpidoista (joihin kovennukset ja haavoittuvuuksien hallintakin kuuluvat).

Pasi: JOS olisikin niin, että SOC valvoisi oikeita asioita liiketoiminnan kannalta ja olisi linjassa tietoturva-arkkitehtuurin kanssa sekä jatkuvassa synkassa IT-tiimin kanssa, tilanne olisi hyvä. Ja vielä parempi kun IT:llä ja yritysten liiketoiminnoilla olisi yhteinen näkemys turvattavista asioista. Tosin silloin nimitys ei ehkä olisi SOC vaan IT Opsin SecOps funktio. Ikävä kyllä tämä ei ole realiteetti vielä yleisesti.

Tämän päivän tietoturvavalvomot ostetaan pitkillä sopimuksilla. Sopimusta tehtäessä määritetään näkyvyydet ja vastuut. Samaan aikaan IT on agilea (ketterää) ja maailma muuttuu vauhdilla. SOC-valvonta ei muutu ihan yhtä vauhdikkaasti. Ja toisaalta perinteinen valvontabisnes pohjaa aika vanhakantaiseen ja manuaaliseen tekemiseen. Tuottosuhde saisi olla parempaa ja toiminta virtaviivaisempaa. . Kyseinen malli ajaa heikkoon kustannusrakenteeseen ja siten kannattamattomaan liiketoimintaan.

Sami: Aivan juuri noin! Itse olen jo pidemmän aikaa kutsunut useimpia SOCeja ”anti-SOCeiksi”. Eli eivät valvo sitä, mikä olisi tärkeää. Eivät ole riittävän ketteriä eivätkä muutu synkronissa IT-palvelutuotannon kanssa. Monesti SOC-näkyvyys on jotain, joka on rakennettu palvelun tilauksen aikaan. Sitten pilviluuta on pyyhkinyt IT:tä ja SOC tuijottaa jotain palomuuria ja eventtitietoa on-prem palvelimista – kun arvokkain tietosisältö on jo pilvessä.

Mitä tulee SOC-palveluiden SLA-lupauksiin tai keskimääräisiin vasteaikoihin, pidän niitä itse täytenä huttuna (in English: bullshit 😉). Se, kuinka nopeasti keskimäärin joku koskee hälytykseen on täysin epärelevanttia. Selvitysaika olisi oleellisempi. Milloin on korjattu. Mutta eihän sille kukaan lupaa mitään SLA:ta.

AI ja automatiikka pieksee jokaisen SOCin reagointikyvykkyyden. Parhaat SOCit reagoivat keskimäärin vain minuuteissa. Automaatio reagoi sekunneissa. Lisäksi keinoälyn tukema automaatio alkaa olla Tier 1 analyytikkoa nohevampi ensivasteessa. Odotan kiinnostuksella, milloin markkinoille syntyy ensimmäinen AI-robotiikka-SOC, jossa Tier 1 analyytikot on pääosin korvattu keinoälyn vahvistamalla ohjemistorobotiikalla ja automaatiolla. Tier 2 analyytikoille näen vielä tarvetta, mutta en missään tapauksessa 24/7 (ellei muukin IT sitten toimi 24/7).

Pasi: Sami, Sami… eihän nykyinen liiketoimintamalli tue tuollaista! SOC-palveluhan joutuisi muuttamaan radikaalisti toimintamalliaan ja mikä pahinta pudottamaan laskutuksiaan.

Tarve automaatio-valvomolle on varmasti olemassa, mutta markkina muuttuu hitaasti. Lisäksi valvomoita johtavat pääsääntöisesti nämä, joita sinä nimität ”vanhoiksi secu-parroiksi” eikä muutosvastarinta ole ihan vähäistä jos menet ehdottamaan kaiken mylläämistä uusiksi. Toisaalta ostajan merkitys markkinan muutokseen on iso, muutos ostamisessa olisi se “oikea markkinan myllääjä”.

Sami: Mutta enhän minä edes ehdota mitään ”kaiken mylläämistä uusiksi”! Tämähän on jo reilun parikymmentä vuotta tapahtunut kautta linjan IT-palvelutuotannossa. Virtualisointi, pilvi, AI ja automaatio ovat jo mullistaneet esimerkiksi ohjelmistokehityksen tai palvelinylläpidon tai IT-tukitoiminnot.

OK, niissäkin hitausmomentti tulee rakenteista ja perinteisten organisaatioiden hitaasta liikkeestä, mutta kyllähän vaikka räätälöity ohjelmistokehitys on täysin eri sfääreissä 2024 kuin mitä se oli vuonna 2004. Agile manifest toi momentumin prosessien suoraviivaistamiseen ja työkalujen modernisaatio on varovastikin arvioiden ainakin kymmenkertaistanut koodarin tehokkuuden.

Secu-puoli on vain seurannut hitaammin perässä tehokkuuden ja automaation suhteen. Olisiko nyt aika todeta, että 2025 on automaatio-tietoturvavalvonnan vuosi? Ainakin Microsoft tuntuu ajattelevan varsin pitkälti näin.

Microsoftin sertifiointien uusiminen, hassuuksia ja huomioita

On February 14, 2024February 15, 2024 By SamikidoIn SuomeksiLeave a comment

Uusin äskettäin viisi Microsoft-sertifikaattiani enkä voinut olla huomaamatta muutamaa outoutta. Kuitenkin, aivan ensiksi minun on annettava kiitosta Microsoftille. Sertifikaattien uusiminen on erittäin yksinkertainen ja nopea toimenpide. Ei tarvitse tehdä varausta PearsonVuelta. Eikä tulla kytätyksi webbikameran kautta. Ja kysymysten määräkin on rajoitettu (vain 24), joten voit uusia useita serttejä tunnissa. Juuri noin sen pitääkin olla!

Alalla serttien uusimiseen on tarjolla kahdenlaista lähestymistapaa. Ensimmäinen malli sisältää serttien uusinnat verrattain harvoin, kuten vaikkapa kerran kolmessa vuodessa. Esimerkissä ISC², VMware ja AWS seuraavat tätä polkua. Toinen tapa on tehdä uudelleensertifiointi kerran vuodessa. Näin tiiviissä syklissä uusimisprosessin on oltava suoraviivaisempi, eikä se voi viedä paljon aikaa. Harvemmin uusittavissa toimii myös metodi, jossa uusinta on likimain (tai täysin) yhtä raskas kuin alkuperäinen sertifiointikin.

Henkilökohtaisesti pidän lähestymistavasta, jossa serttejä uusitaan tiheästi. Se pitää sertin relevanttina. Ajattele tästä näkökulmasta: jos et ole koskenut mihinkään serttiäsi koskevaan teknologiaan vaikkapa viimeisten 3 vuoden aikana, voitko todella sanoa rehellisesti, että sertifiointi heijastelee osaamista?

No, mutta, keskitytäänpä nyt Microsoftin valitsemaan tiehen. Sinun on uusittava serttisi vuoden välein. Toki takaa, että osaamisesi on tuoretta, mutta lieneekö kauhean työllistävää.

Kuten alussa kirjoitin, Microsoft on tehnyt uusintaprosessista erittäin yksinkertaisen ja nopean. Ensinnäkään se oli ole nk. ”online proctored” (kun ottaa huomioon PearsonVuen surkean laadun nykyään, tämä on iso helpotus). Voit siis uusia serttejäsi juuri silloin kun sinulla on aikaa, riippumatta paikasta tai fasiliteeteista. Ei tarvitse sulkeutua johonkin rauhalliseen paikkaan proctorin kyylättäväksi. Toiseksi se on paljon yksinkertaisempi ja vähemmän kysymyksiä (vain 24 ja kaikki monivalintakysymyksiä) verrattuna varsinaiseen sertifiointitestiin. Tämä on todella hyvä! Kun plakkarissa on joku 20 sertifikaattia, voit uskoa, että niiden uusimiseen joka vuosi alkaa todella kulua aikaa – ellei se ole suoraviivaista ja nopeaa. Kolmas oleellinen juttu on, että voit käyttää Googlea tai mitä tahansa haluamaasi työkalua kysymyksiin vastatessasi. Houkuttaisi työntää kaikki kyssärit jollekin generatiiviselle tekoälyavustajalle ja pyytää sitä vastaamaan puolestani. 😉 (HUOM! tämä on siis erikseen kielletty serttien uusintasäännöissä, blogauksen lopussa linkki näihin viittaamiini sääntöihin)

Siinä ne hyvät asiat. Mutta nyt muutama sana outouksista, joita olen pähkäillyt serttien uusintoja tehdessäni. Vaikuttaa siltä, että uusintakokeen kyssärit ovat täysin eri poolista kuin alkuperäisten serttitestin. Välillä minulla on ollut jopa vaikeaa ymmärtää, kuinka jotkut kysymykset liittyvät uusittavaan sertifiointialueeseen.

Ehkä otan esimerkin tosielämästä. Uusin tovi sitten Cybersecurity Architect Expert -sertifiointini. Olen tainnut jopa ylistää tuota sertifikaattia, koska se oli minusta Microsoftin ensimmäinen todellakin jonkinlainen arkkitehtitason sertifiointi. Siinä ei kysytä tiettyjä konfigurointimaksimeja tai kuinka käyttää KQL-kyselyä tai kuinka ottaa käyttöön jokin tietoturvaominaisuus tuotteessa X. Cybersecurity Architect Expert keskittyy minusta kiitettävästi mittaamaan yleistä ymmärrystä kyberturvallisuus kentästä ja arkkitehtuuritason kyberturvallisuuskonsepteista.

Oh, mutta nythän minä harhauduin aiheesta. Siis elävän elämän esimerkki:

Eteeni tuli skenaariokuvaus, jossa kysytään, pitäisikö Admin1 luoda Bastion ja Container, vain Bastion, vain kontti vai VM, Bastion ja Container. Mitä ihmettä Microsoft? Onko tämä kysymys kyberturvallisuusarkkitehdin taitojen mittaamiseksi? Minulle se oli helppo kysymys, koska omaan pitkän järjestelmänvalvojataustan ja paljon hands-on Azure-hallintakokemusta. Mutta turvallisuusarkkitehdille, joka ei vietä vapaa-aikaansa Azure-hallinnon parissa? Ok, olen varma, että jokainen fiksu tyyppi ratkaisee kysymykset Googlen ja dokumentaation avulla. Silti en todellakaan näe tuolla kysymyksellä mitään relevanssia arkkitehtitason kyberturva-sertifioinnin uusimiseen. Täysin aihepiirin ulkopuolinen kysymys, vaikka se liittyikin tietoturvakonfiguraatioihin Azuressa.

Kiteytyksenä ehkä sen verran, että varsinaiset sertifiointitestin kysymykset ovat paljon laadukkaampia ja liittyvät enemmän sertifiointikokeen aihealueeseen verrattuna serttien uusimisen yhteydessä naamalle pöllähtäviin kysymyksiin.

Huomiona vielä, että Microsoftin säännöt kieltävät kysymysten jakamisen ja esimerkiksi AI:n käytön vastaamisen apuna. Täältä löytyy tarkempi ohjeistus serttien uusimisesta ja niihin liittyvistä säännöistä: https://learn.microsoft.com/en-us/credentials/certifications/microsoft-certification-renewal-agreement

Unusual Observations During Microsoft Certification Renewals

On February 14, 2024February 15, 2024 By SamikidoIn EnglishLeave a comment

Recently, I renewed five of my Microsoft certifications and encountered some intriguing aspects. First and foremost, I must commend Microsoft for its straightforward and efficient certification renewal process. Unlike scheduling with PearsonVue, the renewal process is streamlined, with a limited number of questions allowing for the renewal of multiple certificates within an hour, as it should be.

In the industry, there are two approaches to renewal or recertification. Some organizations opt for infrequent recertifications, perhaps once every three years, as seen with ISC2, VMware, and AWS. Conversely, others, like Microsoft, require annual recertification. For the latter, the renewal process must be more straightforward and time-efficient due to its frequency.

Personally, I prefer the approach that necessitates frequent certification renewals. Consider this perspective: if you haven’t engaged with a particular technology for three years, can you genuinely claim that your certification reflects current expertise? Just a thought, no offense intended.

Now, let’s delve into the Microsoft approach. Annual recertification undoubtedly ensures the freshness of one’s knowledge, which is commendable. As previously mentioned, Microsoft has simplified the renewal process, making it convenient and quick. Firstly, it’s not online proctored, allowing flexibility in timing without the need for a designated meeting room or quiet space. Secondly, the process involves fewer questions (just 24, all multiple-choice) compared to the actual certification exam, which is beneficial for individuals with numerous certifications like myself. Thirdly, you’re permitted to use external tools like Google to assist in answering questions, leading to the amusing idea of relying on a generative AI assistant for answers (note! this is not allowed – see the end of post).

Despite these positives, I encountered some peculiarities during the renewal process. The scope of the questions seemed unrelated at times, making it challenging to discern their relevance to the certification area being renewed. For instance, while renewing my Cybersecurity Architect Expert certification, I encountered questions that appeared more operational than architectural in nature. This discrepancy was puzzling, especially considering the certification’s focus on architectural cybersecurity concepts.

To illustrate, one scenario questioned whether “Admin1” should create Bastion and Container, just Bastion, just Container, or VM, Bastion, and Container. This raised concerns about the assessment’s alignment with the intended skills for a cybersecurity architect. While the question was manageable for someone with an administrative background and Azure experience, it seemed irrelevant for those solely focused on cybersecurity architecture.

In conclusion, I found that the quality and relevance of actual certification exam questions surpass those encountered during recertification. There seems to be a discrepancy in the alignment of renewal questions with the certification’s subject matter, which warrants attention and refinement from Microsoft.

Just an additional note. The terms or certification renewal agreement from Microsoft: https://learn.microsoft.com/en-us/credentials/certifications/microsoft-certification-renewal-agreement

Turvaposti?

On January 9, 2024 By SamikidoIn SuomeksiLeave a comment

Kylläpä jälleen verenpaine nousi. Törmäsin väitteeseen, ettei tiettyjä luottamuksellisia tietoja saisi lähettää salattuna sähköpostina vaan pitäisi käyttää XXX yrityksen “turvapostia”.

No jopa oli! Tämä otaniemeläinen nyrkkiputka siis aivan pokkana myyntitoiminnassaan väittää tarjoavansa turvallisemman sähköpostiviestien käsittelyn kuin vaikkapa Microsoft tai Google. Ja vielä uskomattomampaa potaskaa tulee: “sähköpostin salaus on kotimaista”. Todistuksena on tälle on muka “Avainlippu-tunnus”. Vanhemmat lukijani muistavat ehkä, kuinka joskus polemiikkia herätti banaaneille myönnetty Avainlippu. Mutta onko SALAUS suomalaista? Pahoin epäilen.

Markkinointi on muutenkin vähintään harhaanjohtavaa ellei jopa valheellista. Toisin kuin nämä “turvapostit” ja “luottopostit” ja sen sellaiset väittävät, itse sähköpostiliikenne ei kulje mitenkään salattuna. SMTP-protokolla on mitä on. Herran vuonna 1980 vaatimukset olivat hieman erilaiset.

Teknisesti kaikki nämä “turvalliset sähköpostit” toimivat samalla tavalla. Itse viestiä ei lähetetä sähköpostin (joka siis kulkee salaamattomana SMTP-liikenteenä palvelimesta toiselle) mukana. Vastaanottaja saa viestissä linkin, joka johtaa sähköpostipalvelun generoimalle webbisivulle (ja TÄSSÄ on käytössä nyt SSL-salaus, eli kyse on https-liikenteestä). Tänne sitten tunnistaudutaan (tässä vaihtoehtoina on tekstiviestitse tai sähköpostitse toimitettu avain – joista kumpikaan siirtotie ei täytä järeitä tietoturvakriteereitä).

Kumman uskot hoitavan verkkopalveluidensa tietoturvan paremmin? Espoolaisen nyrkkikioskin vaiko Microsoftin tai Googlen? Tai sveitsiläisen korkean turvallisuuden sähköpostipalveluiden tarjontaan erikoistuneen ProtonMailin. Microsoft pystyy lisäksi tarjoamaan tunnistautumiseen aidosti luotettavan (Entra ID:n tarjoama MFA) metodin. Lisäksi, mietihän hetki sähköpostiliikennettä. Mikäli suomalainen yritys lähettää sähköpostia toiselle suomalaiselle yritykselle, mistähän kummankin sähköpostit löytyvät? Aivan. Microsoftin M365 -palvelusta. Eli sähköposti ei missään vaiheessa edes lähde hoipertelemaan SMTP-liikenteenä palvelimelta toiselle.

Käärmeöljykauppiaat väittävät sivuillaan myös tietoturvansa hallintajärjestelmästä monta kovaa ja kaunista. Pyydettäessä ISO27001 sertifikaattia ei kuitenkaan kuulu. Niinpä niin.

Huom! Avautumiseni ei koske ent. Deltagon Group Oy:n Sec@GW -tuotetta (nyk. SSH Oyj), jota pidän laadukkaana.

MCRA has been updated

On January 9, 2024 By SamikidoIn EnglishLeave a comment

Finally it’s here! Microsoft has recently updated the Microsoft Cybersecurity Reference Architectures (MCRA). Old one was from 2021 and a lot of things have changed on Microsoft offering since launch of MCRA.

December 2023 update has corrent product names (in example Azure AD → Entra ID), renewed SOC / SecOps functionality and many other adjustments.

Same time Microsoft launched the Security Adoption Framework (SAF). Previously we have seen Cloud Adoption Framework (CAF) containing a lot of security related topics.

Microsoft has also moved MCRA as part of the SAF. I think this is a good and makes it more clear. There are adoption framework for pure security. I hope that helps accelerate security modernization and effectiveness with many organizations.

The SAF provides clear actionable guidance to help guide your security modernization journey to protect business assets across your technical estate. The recommendations and references in SAF are aligned to Zero Trust principles as well as best practices and lessons learned from across Microsoft customers.

References:

Download: https://github.com/MicrosoftDocs/security/blob/main/Downloads/mcra-december-2023.pptx

Website: https://aka.ms/MCRA

Cloud Coaching Club

Author: Samikido