Igniten upeiden julkistusten nostattamassa euforiassa äidyin keskustelemaan ystäväni ja ex-pomoni (tai oikeastaan pomoni pomon) Pasi Yliluoman kanssa tietoturvan valvonnasta ja kaikesta sen ympärillä.
Modernisti olimme kumpikin tahollamme. Minä työhuoneeni nojatuolin syöverissä viinilasillinen kädessä ja Pasi jotain lenkkiä tai hyötyliikuntaa vetämässä, urheilullinen nuori mies kun on. Kylläpä reilu vuosikymmen on muuttanut kommunikaatiokulttuuria. Meiltä siis, vanhakantaisemmathan pakkomodernisoituivat vasta covidin takia.
Niin tai näin, juttu lensi. Pyysin copilottia tekemään yhteenvedon, sillä dialogi oli sikäli kiinnostava, että kuvittelen jonkun virtuaalikamunikin mahdollisesti kiinnostuvan aiheesta. Oli pakko siivota ja lyhentää rankasti. Litteroidussa muodossa tajuaa kuinka rönsyilevää vanhojen secupartojen dialogi saattaakaan olla. Odottakaas vain vanhainkotivaihettamme! Tuskin pääsemme päivässä edes aiheeseen. 😉
Ota ja lukaise tiivistelmä väittelystämme. Mieluusti kuulisin palautetta. Oletko samaa mieltä, kiistät tai korjaat? Anna palaa kommentteja. Somessa ei tarvitse olla häveliäs!
Sami: Olen jo pidempään hämmästellyt, kuinka mainiosti ”siviilikin” voi nykyään arvioida tapahtumia ja järjestelmien esiin nostamia poikkeamia. Olen opastanut Microsoftin nk. Security Copilotin (virallinen nimi on ”Copilot for Security”) käyttöä muutamalle tutulle IT-asiantuntijalle, jotka eivät ole mitenkään secu-genreen erikoistuneita tai sitä seuranneita. Etenkin se ”guided responses” -toiminto – jonka ehkä voisi kääntää vaikka ”ohjattu tietoturvavaste” – on varsin vaikuttava.
Jotenkin mieleen tulee elämä jokunen vuosikymmen sitten. IT-tiimi valvoi keskitettyjä virustorjuntakikottimia ja varmisti, että palomuuri puksutti. VPN-käyttöoikeusia anottiin lomakkeella ja harkinnan mukaan IT niitä myönsikin sitten. Backupit testattiin ja varautumissuunnitelmakin oli putkirikon tai tulipalon varalle. Ei tarvittu tietoturvapapistoa. Järjestelmänvalvonta kyttäsi ja herätti päivystäjän, jos iso bittihikka iski yöllä.
Tietoturvatorstai oli kuukauden ensimmäinen torstai ja silloin ladattiin uudet virustietokannat hallintapalvelimelle ja asennettiin päivitykset palvelimille.
Pasi: Kyllähän uhkien ja tapahtumien määräätkin ovat kehittyneet ja kasvaneet exponentiaalisesti niistä ajoista. Mutta totta kyllä, että kaiken hallittavuus oli lähempänä vuosituhannen alkua helpompaa. Tai ainakin se tuntui siltä. Harvoinhan se IT-tiimi itse palomuuria tai haastavimpia tietojärjestelmien elementtejä asenteli. Muistathan, että jo vuosituhannen taitteesta asti on ollut tietoturvavalvomoita ja järjestäytynyttä tekemistä IT-tiimin tukena.
Sami: Totta kyllä, mutta ne tietoturvavalvomot olivat pääsääntöisesti lähinnä tietoverkon valvontaa. Palomuuri tärkeimpänä elementtinä. Monesti NOCin (tietoverkkojen valvontakeskus) ja SOCin (tietoturvan valvontakeskus) rooleja oli vaikea erottaa toisistaan. Ääritapauksissa niitä pyöritettiin enemmän tai vähemmän samoin resursseinkin.
2000-luvulla valvontaan lisättiin se keskitetty virustorjunta, eli esim. McAfeen tai TrendMicron hallintopalvelin. Ah! Ja tapahtumalokia keräiltiin, jos joltakin vehkeeltä. Näin jopa tapauksia, jossa kaikilta työasemilta kerättiin eventtitiedot talteen. Näiden hyödynnettävyyden perinteisessä valvomossa kyseenalaistan. Oman käsitykseni mukaan niitä hillottiin lähinnä teoreettista forensiikkakäyttöä varten.
Pasi: Myöhemmin 2010-luvulla EDR nousi tärkeään asemaan tietoturvavalvomoiden toiminnassa. Gartnerin kuuluisa SOC-näkyvyyskolmiokin nosti EDR:n yhdessä SIEMin ja NDR:n kanssa tärkeimmiksi näkyvyyslähteiksi.
Mielestäni SOC-toiminta muuttui 2020 lähestyttäessä. Markkinaan ilmestyi jopa tietoturvavalvomopalveluita, joita tuotettiin pelkän EDR:n tai NDR:n varaan. Niiden nimittämistä SOC-tyyppiseksi tietoturvavalvomoksi voi mielestäni kyseenalaistaa perustellusti.
Sami: Juu, en itse nimittäisi näitä ”managed detection and response” -palveluita SOC’eiksi ensinkään. MUTTA. Itse ilahduin näiden ilmestymisestä kenttään. Oman kokemukseni mukaan ne ajavat pitkälti saman asian kuin nk. SOC. Monesti ehkä jopa tehokkaammin, kun täysin irrelevantit lokienkeräilyt on poissa.
Itseasiassa minun mielestäni juuri tämä MDR-palveluiden synty on lähtölaukaus nykymuotoisten SOCien kuolemiselle.
Pasi: No sittenhän me olemme samaa mieltä! Itsekin uskon, että perinteinen tietoturvavalvomo alkaa olla tiensä päässä. Hyöty-kustannussuhde on kestämätön. Aivan liikaa turhaa ja manuaalista tekemistä. Tai ehkä sen verran korjaan, että tietyillä toimialoilla henkilöiden suorittama aktiivinen valvontatyö kuuluu kyllä asiaan. Joskin itse näkisin silloin näiden toimijoiden SOCit enemmänkin talon sisäisinä funktioina tai hyvin lähellä liiketoimintaa olevina toimintoina, joiden kontolle voisi sälyttää myös preventiivistä tietoturvaa.
Sami: Exactly! Juuri tästä investointi-tuotto -aspektista itsekin päädyin pohdintooni. Siis miettimään, kuinka 15 v sitten Dentsu-Aegiksen tietohallintoa vetäessäni pärjäsimme pienellä tiimillä ilman valvomoita. Silloin ympäristö oli sikäli kompakti ja teknologiakenttä rajattu, että koin hallitsevani ja osaavani verrattain suvereenisti kaiken siihen liittyvän.
Tilanne muuttui radikaalisti pilvipaholaisen rynnättyä möyhäämään koko IT-palveluiden tuotannon. Automaatio, mikropalvelut, hajautettu laskenta, SaaS- ja PaaS-palvelut toivat muutosvauhtia, joka hengästyttää heikompia. Tehokkuus kiistämättä on noussut varmaan liki kymmenkertaiseksi. Toisaalta shadow IT on räjähtänyt käsiin myös. Ja etenkin kokonaisuuden kompleksisuus on samoin noussut käsittämättömällä vauhdilla. Enää en usko minkään nyrkkitiimin kykenevän niin mitenkään hallitsemaan kaikkea käsillä olevaa. Eli kokonaisuus on väistämättä liian kompleksi ja vaatisi renessanssineron hallitsemaan kaikkea.
Pasi: Vaikeus ja osaamiskirjon laajuus ei kyllä voi olla selitys tai tekosyy sille, etteikö tietoturvaa valvottaisi ja poikkeamiin reagoitaisi asianmukaisesti. Maailma ja internet on kuitenkin nykyään merkittävästi vaarallisempi paikka kuin silloin 15 vuotta sitten. Erinomainen muutos on myös se, että valvonnan tarpeeseen on useilla tahoilla “herätty” kunnolla, paljolti jonkun kantapääopin kautta.
Mutta en kyllä näe tämänkään tukevan ajatusta perinteisestä tietoturvavalvomosta. Enemmänkin se IT-tiimi tarvitsee älykkäitä työkaluja, joka palauttaa kaiken heidän näppeihinsä. Kuten sinulla joskus silloin 15+ vuotta sitten asia oli kun olit tietohallintopäällikkönä siellä media-alalla. Siis valvonta ja turvaaminen lähemmäs liiketoimintaa.
Sami: No ihan just näin ja aamen! Sellainen tietoturvavalvomo, jota SOC-edustaa usein johtaa juuri väärään suuntaan. Eli kokonaisuus tietoturvan osalta on vieläkin vähemmän IT-tiimin hallinnassa, kun SOC elää omaa elämäänsä omassa norsunluutornissaan. Pahin, mitä olen nähnyt, on asenne että ”nää, jää on joku secu-ongelma, ne hoitaa se SOC ei meidän kannata tähän käyttää aikaa”.
Tuo on suorastaan vaarallinen metodi. Sinänsä, mikäli tiimit olisi integroitu tehokkaasti ja secu osa IT-palvelutuotantoa, näin ehkä voisikin olla. Mutta tietoturvavalvomo on oma siilonsa. Ainakaan perinteinen SOC ei osallistu tietoturva-arkkitehtuurin suunnitteluun eikä vastaa palvelinylläpidoista (joihin kovennukset ja haavoittuvuuksien hallintakin kuuluvat).
Pasi: JOS olisikin niin, että SOC valvoisi oikeita asioita liiketoiminnan kannalta ja olisi linjassa tietoturva-arkkitehtuurin kanssa sekä jatkuvassa synkassa IT-tiimin kanssa, tilanne olisi hyvä. Ja vielä parempi kun IT:llä ja yritysten liiketoiminnoilla olisi yhteinen näkemys turvattavista asioista. Tosin silloin nimitys ei ehkä olisi SOC vaan IT Opsin SecOps funktio. Ikävä kyllä tämä ei ole realiteetti vielä yleisesti.
Tämän päivän tietoturvavalvomot ostetaan pitkillä sopimuksilla. Sopimusta tehtäessä määritetään näkyvyydet ja vastuut. Samaan aikaan IT on agilea (ketterää) ja maailma muuttuu vauhdilla. SOC-valvonta ei muutu ihan yhtä vauhdikkaasti. Ja toisaalta perinteinen valvontabisnes pohjaa aika vanhakantaiseen ja manuaaliseen tekemiseen. Tuottosuhde saisi olla parempaa ja toiminta virtaviivaisempaa. . Kyseinen malli ajaa heikkoon kustannusrakenteeseen ja siten kannattamattomaan liiketoimintaan.
Sami: Aivan juuri noin! Itse olen jo pidemmän aikaa kutsunut useimpia SOCeja ”anti-SOCeiksi”. Eli eivät valvo sitä, mikä olisi tärkeää. Eivät ole riittävän ketteriä eivätkä muutu synkronissa IT-palvelutuotannon kanssa. Monesti SOC-näkyvyys on jotain, joka on rakennettu palvelun tilauksen aikaan. Sitten pilviluuta on pyyhkinyt IT:tä ja SOC tuijottaa jotain palomuuria ja eventtitietoa on-prem palvelimista – kun arvokkain tietosisältö on jo pilvessä.
Mitä tulee SOC-palveluiden SLA-lupauksiin tai keskimääräisiin vasteaikoihin, pidän niitä itse täytenä huttuna (in English: bullshit 😉). Se, kuinka nopeasti keskimäärin joku koskee hälytykseen on täysin epärelevanttia. Selvitysaika olisi oleellisempi. Milloin on korjattu. Mutta eihän sille kukaan lupaa mitään SLA:ta.
AI ja automatiikka pieksee jokaisen SOCin reagointikyvykkyyden. Parhaat SOCit reagoivat keskimäärin vain minuuteissa. Automaatio reagoi sekunneissa. Lisäksi keinoälyn tukema automaatio alkaa olla Tier 1 analyytikkoa nohevampi ensivasteessa. Odotan kiinnostuksella, milloin markkinoille syntyy ensimmäinen AI-robotiikka-SOC, jossa Tier 1 analyytikot on pääosin korvattu keinoälyn vahvistamalla ohjemistorobotiikalla ja automaatiolla. Tier 2 analyytikoille näen vielä tarvetta, mutta en missään tapauksessa 24/7 (ellei muukin IT sitten toimi 24/7).
Pasi: Sami, Sami… eihän nykyinen liiketoimintamalli tue tuollaista! SOC-palveluhan joutuisi muuttamaan radikaalisti toimintamalliaan ja mikä pahinta pudottamaan laskutuksiaan.
Tarve automaatio-valvomolle on varmasti olemassa, mutta markkina muuttuu hitaasti. Lisäksi valvomoita johtavat pääsääntöisesti nämä, joita sinä nimität ”vanhoiksi secu-parroiksi” eikä muutosvastarinta ole ihan vähäistä jos menet ehdottamaan kaiken mylläämistä uusiksi. Toisaalta ostajan merkitys markkinan muutokseen on iso, muutos ostamisessa olisi se “oikea markkinan myllääjä”.
Sami: Mutta enhän minä edes ehdota mitään ”kaiken mylläämistä uusiksi”! Tämähän on jo reilun parikymmentä vuotta tapahtunut kautta linjan IT-palvelutuotannossa. Virtualisointi, pilvi, AI ja automaatio ovat jo mullistaneet esimerkiksi ohjelmistokehityksen tai palvelinylläpidon tai IT-tukitoiminnot.
OK, niissäkin hitausmomentti tulee rakenteista ja perinteisten organisaatioiden hitaasta liikkeestä, mutta kyllähän vaikka räätälöity ohjelmistokehitys on täysin eri sfääreissä 2024 kuin mitä se oli vuonna 2004. Agile manifest toi momentumin prosessien suoraviivaistamiseen ja työkalujen modernisaatio on varovastikin arvioiden ainakin kymmenkertaistanut koodarin tehokkuuden.
Secu-puoli on vain seurannut hitaammin perässä tehokkuuden ja automaation suhteen. Olisiko nyt aika todeta, että 2025 on automaatio-tietoturvavalvonnan vuosi? Ainakin Microsoft tuntuu ajattelevan varsin pitkälti näin.
Cloud Coaching Club 