Yay! It finally happened! On April 24th, 2025, to be exact.
Microsoft’s cybersecurity reference architecture has now been updated. The previous version (v3) was released back in December 2023 — so it’s been well over a year (and nearly a half) since the last update.
This update is especially timely, considering how Microsoft has been rolling out new security tools, recommendations, and features at a dizzying pace lately.
So, what’s changed?
The “Core Capabilities” diagram has been revamped. It now includes things like Microsoft Security Exposure Management, Windows LAPS (for managing local admin passwords), passkeys, and Microsoft Entra Verified ID (less common in Finland). And of course, Microsoft Security Copilot has been added (fantastic, but brutally expensive).
Entra Permission Management has been removed (EoL – thanks to Entra’s new packaging approach).
Microsoft Entra ID Governance Adaptive Access has been added.
There’s a strong emphasis that security must be embedded everywhere. This is highlighted in the slide titled “Security must be integrated everywhere.”
The AI section has been updated (I’ll write a separate blog post about that soon — it’s a juicy topic).
A brand new “Standards Mapping” section is included. It focuses on Zero Trust reference architecture from The Open Group and maps Microsoft’s products to it. It now also includes role listings for human identities (as defined by The Open Group).
There’s a lot of content from The Open Group’s upcoming Security Matrix, especially around threat prioritization.
Secure Score seems to be trending down, while Exposure Management is on the rise.
The threat intelligence facts have been updated, and Microsoft’s security investments are highlighted — with some quite impressive numbers.
The security modernization journey is presented in an engaging and clear (sometimes even entertaining) way, along with the operating models Microsoft recommends.
It’s light to digest, with slick visuals — just a casual 115 slides in the standard deck.
If you haven’t yet downloaded the slides, do it now by – just click HERE.
Alright, I admit it. My title was peak clickbait journalism. I’m not planning to write a sci-fi epic about the battle between flesh and metal to the bitter end.
My goal is to examine the capabilities of artificial intelligence and computer-based intelligence in the field of cybersecurity and compare them to human-led security measures in similar use cases. More specifically, I will focus on Microsoft’s security stack, meaning the suite of security technologies offered by Microsoft.
What does matter? What Should Be Protected and Monitored?
In a large IT environment, there are hundreds of moving parts. There’s plenty to secure. Just vulnerability management alone can involve at least a three-digit number of operational targets. And what about cybersecurity’s classic weakest link? No, I’m not talking about Active Directory, though as a standalone technological component, it could very well fit the description. I’m referring to people—users. Those mobile, busy, and often thoughtless little penetration testers.
Securing data requires preparedness. We must ensure that systems are more or less up to date and correctly configured. This is what’s known as cyber hygiene, or proactive cyber defense. On the other hand, we must observe systems and their behavior—identify unusual activities and anomalies. This falls under reactive security.
Traditionally, security monitoring service providers have emphasized the importance of reactive security. The idea is to monitor the environment even in the [expensive] early hours of the morning. The often-heard mantra, “Cybercriminals don’t work office hours,” is used to justify why monitoring should continue outside regular working hours. This statement is likely true. I find it hard to believe that a criminal trade union is actively lobbying for working hour protections for outlaws. But does it really matter? And more importantly, is this argument still relevant in the cybersecurity mindset of 2025?
The answer is both yes and no. Yes, in the sense that a severe vulnerability in an e-commerce system, for example, could be exploited in the early hours of the morning, leading to a data breach. And no, because research suggests that the vast majority of threats (depending on the source, anywhere from 2/3 to 80–90%) are coming through cybersecurity’s weakest link: the user. And very few employees work 24/7 under a slave contract. As far as I know, such practices are even legally prohibited in civilised countries (not in US, I think 😉).
Therefore, monitoring resources should be focused 70–90% on the hours when the weakest link (the user) is active and working.
Human vs. Robot as a security monitoring worker?
It took a while to get to the main topic. Am I getting old and rambling? Well, maybe the background was useful, especially when considering the aspect of monitoring and comparing human intelligence to artificial intelligence.
Monitoring has two key aspects: response speed and detection capability. The first indicates how well and quickly a system reacts to risks or anomalies. The second determines how many anomalies can actually be detected. Neither aspect is useful on its own. If we recognize every single anomaly but only investigate them a month later, the attack has likely already achieved its goal, making our reaction too late and therefore useless. The thief came, saw, and conquered. On the other hand, if our response time is within a second but our detection capability only covers half of the systems, the thief could have come, seen, and conquered without us even knowing.
It’s an undeniable fact that a microprocessor’s response to stimuli is significantly faster than that of a human. A computer reacts to a command in milliseconds, while a human takes seconds at best—thousands of times slower. In terms of reaction speed, the robot wins hands down.
What about detection capability? A computer brain can scan a thousand lines of log data in the blink of an eye. Again, it vastly outperforms a human. Artificial intelligence doesn’t get tired or perform worse due to illness. Consistency is one of the most important measures of detection capability. And once again, the robot takes the win.
No matter how we look at it, humans need automation—computer intelligence—to support them. Both for detection capabilities, since humans are too inefficient and slow to process all relevant data, and for reaction speed, since human processing speed is inadequate. The real question isn’t human vs. robot—it’s about how much human involvement is needed. And why? Job preservation? Ethical contributions? There may be reasons. In some cases, it makes sense for a human to approve or make a decision based on AI-processed data and proposed outcomes. However, most counterarguments I’ve encountered stem from emotional reactions—statements like, “But that’s not how it’s always been” and “That just won’t do.”
Where Do Human Brains win the game?
Where do I see human intelligence as superior? At its best, a sharp and skilled cybersecurity expert possesses innovation that AI cannot yet replicate. We often talk about intuition or a gut feeling that something isn’t right. In reality, this is intuitive reasoning. Even a tech-enthusiast nerd like me doesn’t believe AI will match human intuition anytime soon.
How does this manifest in security operations? AI produces more false positives. For example, it may classify it as a security risk when the meticulous accountant, Paolo, suddenly starts making typos in his password on a Friday night. A human analyst might suspect fatigue or drunkness as the cause of the typing errors.
Higher-level tasks, such as architecture and strategic assessments aligned with business requirements, remain beyond AI’s reach. Artificial intelligence performs best when dealing with predefined models and a limited number of variables.
This has been proven in games. In chess, you will never beat AI. The best human player, making zero mistakes, might achieve a draw. That’s because chess has a limited set of possible moves. AI calculates every single move. The outcome is predetermined. But in a more complex mathematical game like Go, the situation changes. When the number of variables is no longer limited, human players can still compete (at least against AI with limited computational power). And my colleague Massimo insists that AI also outperforms humans in No Limit Hold’em poker too. Go figure – or should I ask from Copilot? 😉
Conclusion
AI is better suited for monitoring tasks that require fast responses. It doesn’t tire or make human errors. The more complex the task, or if it requires “psychological or political insight,” the human operator is unbeatable.
Perhaps traditional first-line monitoring tasks should be assigned to robots, with the most critical decisions escalated to human supervisors.
Ultimately, it depends on the industry and use case. In some operations, it makes sense to have human monitors. In others, where constant vigilance and perfectly consistent execution are required, assigning the task to a human isn’t worthwhile.
However, I see less and less need for humans to handle repetitive routines or basic monitoring tasks—especially during hours when users aren’t actively introducing risk vectors through human errors. AI is a perfectly good security guard for an e-commerce server in the early morning hours!
Jep, myönnetään. Otsikkoni oli nk. klikkijournalismia parhaimmillaan. En ole suunnitellut kirjailla scifi-tyylistä eeposta lihan ja metallin taistosta katkeraan loppuun.
Tarkoitukseni on tarkastella keinoälyn ja tietokoneaivojen kyvykkyyksiä tietoturvan saralla ja verrata niitä ihmisen tekemiin toimenpiteisiin vastaavissa käyttötapauksissa. Tarkemmin vielä rajaan arvioinnin Microsoft-tietoturvapinoon eli Microsoftin tarjoamaan tietoturvateknologiapakettiin.
Mikä on relevanttia? Mitä kannattaa suojata ja mitä valvoa?
Suuremmassa tietojärjestelmäympäristössä on satoja liikkuvia osia. Turvattavaa riittää. Pelkkä haavoittuvuuksien hallinta kattaa helposti vähintään kolminumeroisen määrän operoitavia kohteita. Ja entäpä sitten tietoturvan klassinen heikoin lenkki? Ei, en nyt kirjoita Active Directorystä, vaikka yksittäisenä teknologisena komponenttina se hyvinkin saattaisi sopia kuvaukseen. Tarkoitin ihmisiä, käyttäjiä. Näitä palkkaa nauttivia, liikkuvia ja touhukkaita, ajattelemattomia pieniä penetraatiotestaajia.
Turvassa olevat tiedot edellyttävät varautumista. Meidän täytyy huolehtia siitä, että järjestelmät ovat enemmän tai vähemmän ajan tasalla ja konfiguraatiot tehty oikein. Tämä on sitä kyberhygieniaa eli ennakoivaa kyberpuolustusta. Toisaalta meidän tulee havainnoida järjestelmiä ja niiden toimintaa. Noteerata oudot toiminnot ja poikkeavuudet. Tämä taasen voidaan lukea reaktiiviseen tietoturvaan.
Perinteisesti valvontapalveluiden myyjät ovat korostaneet reaktiivisen tietoturvan merkitystä. Ja tottahan toki siten, että ympäristöä valvotaan myös aamuyön [kalliina] tunteina. Usein kuulee toisteltavan hokemaa ”kyberrosvot eivät ole sidottuja virka-aikaan” ja tämä toimii perusteluna sille, miksi valvomon pitäisi kytätä myös virka-ajan ulkopuolella. Väite pitää mitä todennäköisimmin paikkansa. Minun on vaikea uskoa pahisten ammattiliiton kovinkaan aktiivisesti ajavan työaikalain suojaa lainsuojattomille. Mutta onko sillä mitään merkitystä? Ja entäpä, onko koko väite relevantti enää vuoden 2025 tietoturva-ajattelussa?
Vastaus on kyllä ja ei. Kyllä siinä mielessä, että esimerkiksi verkkokauppajärjestelmän paha haavoittuvuus saattaa altistaa hyväksikäytölle ja sitä kautta tietomurrolle vaikkapa aamuyön tunteina. Ja vastaus ei on myös perusteltu, sillä tutkimusten mukaan valtaosa uhista (lähteestä ja otoksesta riippuen 2/3:sta jopa 80-90%:n) aktualisoituu sen tietoturvan heikoimman lenkin kautta. Eli käyttäjän siis. Ja harva työntekijä paiskii 24/7 orjasopimuksella. Käsitykseni mukaan moinen taitaa olla sivistysmaissa jopa lailla kielletty.
Näinpä siis valvomon kannattaisi suunnata kyttäysresursseistaan 70-90% nimenomaan siihen aikaan, kun tietoturvan heikoin lenkki (käyttäjä) on aktiivinen ja touhuaa töitään.
Ihminen vs. robotti valvojana?
Kestipä kauan päästä varsinaiseen aiheeseen. Alankohan tulla vanhaksi ja jaarittelijaksi? Noh, ehkäpä taustoituksella oli kuitenkin oma merkityksensä. Etenkin kun tarkastellaan tätä valvonta-aspektia ja asetetaan ihmisaivot keinotekoista älykkyyttä vastaan.
Valvonnassa on kaksi pääaspektia. Reagointinopeus ja huomiointikyvykkyys. Ensimmäinen ilmaisee sen, kuinka hyvin ja nopeasti reagoidaan riskiin tai poikkeamaan. Toinen taas osoittaa sen, miten paljon poikkeamista kyetään tunnistamaan. Kummastakaan yksinään ei ole hyötyä. Jos tunnistamme joka ikisen poikkeaman ja outouden, mutta ehdimme syventyä niihin vasta kuukauden päästä, hyökkäys on todennäköisesti jo saavuttanut tavoitteensa ja reaktio siis myöhässä ja sitä kautta hyödytön. Rosvo tuli, näki ja voitti. Toisaalta, vaikka reagointikykymme olisi sekunnin luokkaa, mutta huomiointikyvykkyytemme kattaa vain puolet järjestelmistä, rosvo on voinut tulla, nähdä ja voittaa ilman että olemme asiasta edes tietoisia.
Lienee kiistaton tosiasia, että mikroprosessorin reagointikyky ärsykkeeseen on merkittävästi ihmistä nopeampi. Tietokone reagoi millisekunneissa käskyyn, ihminen parhaimmillaan sekunneissa – tuhansia kertoja hitaammin. Reagointinopeudessa robotti siis voittaa suvereenisti.
Entäpä sitten huomiointikyvykkyys? Koneaivo lukee tuhat riviä lokitietoa silmänräpäyksessä. Jälleen ihmistä valtavasti, suorastaan käsittämättömästi nopeammin. Keinoälykkyys ei väsy eikä suorita flunssaisena huonommin. Tasalaatuisuus on huomiointikyvykkyyden tärkeimpiä mittareita. Ja jälleen siis robotti vetää pidemmän korren.
Toimittiinpa miten vain, ihminen tarvitsee automaatiota eli koneaivoja tuekseen. Sekä havainnointikyvykkyyteen, kun ihminen on vain liian tehoton ja hidas käymään kaikkea aiheeseen liittyvää dataa läpi, että reagointiin, kun ihmisen prosessointinopeus ei riitä. Kyse ei oikeasti olekaan ihminen vs. robotti -asetelmasta. Todellisuudessa kyse on lopulta siitä, kuinka paljon ihmistä tarvitaan puikkoihin. Ja miksi? Työllistävä vaikutus? Ihmisen eettinen kontribuutio? Syitä voi löytyä toki. Joissain tapauksissa on perusteltua edellyttää ihminen tekemään hyväksynnän tai päätöksen robotin prosessoiman tiedon ja ehdottaman tuloksen pohjalta. Useimmat vasta-argumentit, joihin olen itse törmännyt, pohjaavat kuitenkin tunnepohjaiseen reaktioon. ”Mutku ei niin oo koskaan ollut” ja ”eihän se nyt vain käy”.
Tästähän päästäänkin siihen ihmisen vahvuuteen. Missä itse näen ihmisaivot voitokkaina? Parhaimmillaan terävä ja osaava tietoturvavelho omaa innovatiivisuutta, jota koneäly ei ainakaan toistaiseksi pysty matkimaan. Usein arjessa puhutaan vaistosta tai fiiliksestä, ettei kaikki ole oikein. Todellisuudessahan kyse on intuitiivisesta päättelystä. Edes minun kaltainen teknologiauskovainen nörtti ei kuvittele koneälyn ainakaan lähitulevaisuudessa pääsevän lähellekään ihmistä tällä sektorilla.
Miten se sitten käytännössä näkyisi secu-tekemisessä? Koneäly tekee enemmän nk. false positive -arvioita. Eli päättelee uhaksi sen, kun kirjanpidon särmä Pertti alkaakin perjantai-iltana tehdä yllättäen kirjoitusvirheitä esimerkiksi salasanaa syöttäessä. Ihmisanalyytikko saattaa arvailla väsymyksellä tai nautintoaineilla olevan osansa näppäilyvirheissä.
Toisaalta korkeamman tason tehtävät, kuten vaikkapa arkkitehtuuri ja strateginen arviointi liiketoiminnan vaatimuksia vasten, ovat toistaiseksi vielä tekoälyn ulottumattomissa olevia aspekteja. Keinotekoinen älykkyys toimii mitä parhaimmin silloin, kun käsiteltävät asiat mahtuvat ennalta määriteltyihin malleihin ja toisaalta muuttujien määrä on rajallinen.
Tämähän on todistettu esimerkiksi pelaamalla. Shakissa et voita koneälyä ikinä. Paras ihmispelaaja, joka ei tee yhden yhtään virhettä, voi päästä tasoihin. Kas kun shakin siirtojen määrä tuottama vaihtoehtojen määrä on rajattu. Koneäly laskee joka ikisen siirtovaihtoehdon läpi. Lopputulos on siis ennalta selvä. Mutta kun siirrytään vaikeampaan matemaattiseen peliin, kuten vaikka Go, tilanne muuttuu. Kun muuttujien määrä ei olekaan enää rajallinen, ihmispelaaja pärjääkin jälleen (ainakin rajallista koneälyn laskentakapasiteettia vastaan). Ja kollegani Massimo väittää myös keinoälyn voittavan ihmisen myös No Limit Hold’em pokerissa. Nih.
Lopputulos
Koneäly sopii paremmin nopeaa reagointia vaativiin valvomotehtäviin. Se on väsymätön eikä tee inhimillisiä virheitä. Mitä suuremmaksi kompleksisuus menee tai mikäli tehtävä vaatii ”psykologista tai poliittista silmää”, ihmistoimija on lyömätön.
Ehkäpä perinteiset ensimmäisen linjaston valvontatehtävät voisi sälyttää robottien tehtäväksi ja tärkeimmät päätökset eskaloitaisiin ihmisvalvojalle.
Kokonaisuushan riippuu lopulta toimialasta ja käyttötapauksesta. Joissain toiminnoissa on perusteltua käyttää ihmisiä valvontatehtävissä. Ja toisaalta tiettyjä tehtäviä, joissa vaaditaan jatkuvaa skarppiutta ja täysin tasalaatuista suorittamista, ei taas kannata antaa ihmiselle.
Yhä vähemmän näen kuitenkaan tarvetta toistuvien rutiinien tai perustason valvontatoimien allokointiin ihmisvalvojille. Ainakaan niinä aikoina, kun käyttäjämme eivät aktiivisesti ole luomassa inhimillisillä virheillään näitä uhkavektoreita. Koneäly on aivan hyvä valvoja sille verkkokauppapalvelimelle aamuyön tunteina!
Cloud Coaching Club 