Tag: SOC

Who would win? Human or AI?

On By SamikidoIn EnglishLeave a comment

Alright, I admit it. My title was peak clickbait journalism. I’m not planning to write a sci-fi epic about the battle between flesh and metal to the bitter end.

My goal is to examine the capabilities of artificial intelligence and computer-based intelligence in the field of cybersecurity and compare them to human-led security measures in similar use cases. More specifically, I will focus on Microsoft’s security stack, meaning the suite of security technologies offered by Microsoft.

What does matter? What Should Be Protected and Monitored?

In a large IT environment, there are hundreds of moving parts. There’s plenty to secure. Just vulnerability management alone can involve at least a three-digit number of operational targets. And what about cybersecurity’s classic weakest link? No, I’m not talking about Active Directory, though as a standalone technological component, it could very well fit the description. I’m referring to people—users. Those mobile, busy, and often thoughtless little penetration testers.

Securing data requires preparedness. We must ensure that systems are more or less up to date and correctly configured. This is what’s known as cyber hygiene, or proactive cyber defense. On the other hand, we must observe systems and their behavior—identify unusual activities and anomalies. This falls under reactive security.

Traditionally, security monitoring service providers have emphasized the importance of reactive security. The idea is to monitor the environment even in the [expensive] early hours of the morning. The often-heard mantra, “Cybercriminals don’t work office hours,” is used to justify why monitoring should continue outside regular working hours. This statement is likely true. I find it hard to believe that a criminal trade union is actively lobbying for working hour protections for outlaws. But does it really matter? And more importantly, is this argument still relevant in the cybersecurity mindset of 2025?

The answer is both yes and no. Yes, in the sense that a severe vulnerability in an e-commerce system, for example, could be exploited in the early hours of the morning, leading to a data breach. And no, because research suggests that the vast majority of threats (depending on the source, anywhere from 2/3 to 80–90%) are coming through cybersecurity’s weakest link: the user. And very few employees work 24/7 under a slave contract. As far as I know, such practices are even legally prohibited in civilised countries (not in US, I think 😉).

Therefore, monitoring resources should be focused 70–90% on the hours when the weakest link (the user) is active and working.

Human vs. Robot as a security monitoring worker?

It took a while to get to the main topic. Am I getting old and rambling? Well, maybe the background was useful, especially when considering the aspect of monitoring and comparing human intelligence to artificial intelligence.

Monitoring has two key aspects: response speed and detection capability. The first indicates how well and quickly a system reacts to risks or anomalies. The second determines how many anomalies can actually be detected. Neither aspect is useful on its own. If we recognize every single anomaly but only investigate them a month later, the attack has likely already achieved its goal, making our reaction too late and therefore useless. The thief came, saw, and conquered. On the other hand, if our response time is within a second but our detection capability only covers half of the systems, the thief could have come, seen, and conquered without us even knowing.

It’s an undeniable fact that a microprocessor’s response to stimuli is significantly faster than that of a human. A computer reacts to a command in milliseconds, while a human takes seconds at best—thousands of times slower. In terms of reaction speed, the robot wins hands down.

What about detection capability? A computer brain can scan a thousand lines of log data in the blink of an eye. Again, it vastly outperforms a human. Artificial intelligence doesn’t get tired or perform worse due to illness. Consistency is one of the most important measures of detection capability. And once again, the robot takes the win.

No matter how we look at it, humans need automation—computer intelligence—to support them. Both for detection capabilities, since humans are too inefficient and slow to process all relevant data, and for reaction speed, since human processing speed is inadequate. The real question isn’t human vs. robot—it’s about how much human involvement is needed. And why? Job preservation? Ethical contributions? There may be reasons. In some cases, it makes sense for a human to approve or make a decision based on AI-processed data and proposed outcomes. However, most counterarguments I’ve encountered stem from emotional reactions—statements like, “But that’s not how it’s always been” and “That just won’t do.”

Where Do Human Brains win the game?

Where do I see human intelligence as superior? At its best, a sharp and skilled cybersecurity expert possesses innovation that AI cannot yet replicate. We often talk about intuition or a gut feeling that something isn’t right. In reality, this is intuitive reasoning. Even a tech-enthusiast nerd like me doesn’t believe AI will match human intuition anytime soon.

How does this manifest in security operations? AI produces more false positives. For example, it may classify it as a security risk when the meticulous accountant, Paolo, suddenly starts making typos in his password on a Friday night. A human analyst might suspect fatigue or drunkness as the cause of the typing errors.

Higher-level tasks, such as architecture and strategic assessments aligned with business requirements, remain beyond AI’s reach. Artificial intelligence performs best when dealing with predefined models and a limited number of variables.

This has been proven in games. In chess, you will never beat AI. The best human player, making zero mistakes, might achieve a draw. That’s because chess has a limited set of possible moves. AI calculates every single move. The outcome is predetermined. But in a more complex mathematical game like Go, the situation changes. When the number of variables is no longer limited, human players can still compete (at least against AI with limited computational power). And my colleague Massimo insists that AI also outperforms humans in No Limit Hold’em poker too. Go figure – or should I ask from Copilot? 😉

Conclusion

AI is better suited for monitoring tasks that require fast responses. It doesn’t tire or make human errors. The more complex the task, or if it requires “psychological or political insight,” the human operator is unbeatable.

Perhaps traditional first-line monitoring tasks should be assigned to robots, with the most critical decisions escalated to human supervisors.

Ultimately, it depends on the industry and use case. In some operations, it makes sense to have human monitors. In others, where constant vigilance and perfectly consistent execution are required, assigning the task to a human isn’t worthwhile.

However, I see less and less need for humans to handle repetitive routines or basic monitoring tasks—especially during hours when users aren’t actively introducing risk vectors through human errors. AI is a perfectly good security guard for an e-commerce server in the early morning hours!

Kumpi voittaa, robotti vai ihminen?

On By SamikidoIn SuomeksiLeave a comment

Jep, myönnetään. Otsikkoni oli nk. klikkijournalismia parhaimmillaan. En ole suunnitellut kirjailla scifi-tyylistä eeposta lihan ja metallin taistosta katkeraan loppuun.

Tarkoitukseni on tarkastella keinoälyn ja tietokoneaivojen kyvykkyyksiä tietoturvan saralla ja verrata niitä ihmisen tekemiin toimenpiteisiin vastaavissa käyttötapauksissa. Tarkemmin vielä rajaan arvioinnin Microsoft-tietoturvapinoon eli Microsoftin tarjoamaan tietoturvateknologiapakettiin.

Mikä on relevanttia? Mitä kannattaa suojata ja mitä valvoa?

Suuremmassa tietojärjestelmäympäristössä on satoja liikkuvia osia. Turvattavaa riittää. Pelkkä haavoittuvuuksien hallinta kattaa helposti vähintään kolminumeroisen määrän operoitavia kohteita. Ja entäpä sitten tietoturvan klassinen heikoin lenkki? Ei, en nyt kirjoita Active Directorystä, vaikka yksittäisenä teknologisena komponenttina se hyvinkin saattaisi sopia kuvaukseen. Tarkoitin ihmisiä, käyttäjiä. Näitä palkkaa nauttivia, liikkuvia ja touhukkaita, ajattelemattomia pieniä penetraatiotestaajia.

Turvassa olevat tiedot edellyttävät varautumista. Meidän täytyy huolehtia siitä, että järjestelmät ovat enemmän tai vähemmän ajan tasalla ja konfiguraatiot tehty oikein. Tämä on sitä kyberhygieniaa eli ennakoivaa kyberpuolustusta. Toisaalta meidän tulee havainnoida järjestelmiä ja niiden toimintaa. Noteerata oudot toiminnot ja poikkeavuudet. Tämä taasen voidaan lukea reaktiiviseen tietoturvaan.

Perinteisesti valvontapalveluiden myyjät ovat korostaneet reaktiivisen tietoturvan merkitystä. Ja tottahan toki siten, että ympäristöä valvotaan myös aamuyön [kalliina] tunteina. Usein kuulee toisteltavan hokemaa ”kyberrosvot eivät ole sidottuja virka-aikaan” ja tämä toimii perusteluna sille, miksi valvomon pitäisi kytätä myös virka-ajan ulkopuolella. Väite pitää mitä todennäköisimmin paikkansa. Minun on vaikea uskoa pahisten ammattiliiton kovinkaan aktiivisesti ajavan työaikalain suojaa lainsuojattomille. Mutta onko sillä mitään merkitystä? Ja entäpä, onko koko väite relevantti enää vuoden 2025 tietoturva-ajattelussa?

Vastaus on kyllä ja ei. Kyllä siinä mielessä, että esimerkiksi verkkokauppajärjestelmän paha haavoittuvuus saattaa altistaa hyväksikäytölle ja sitä kautta tietomurrolle vaikkapa aamuyön tunteina. Ja vastaus ei on myös perusteltu, sillä tutkimusten mukaan valtaosa uhista (lähteestä ja otoksesta riippuen 2/3:sta jopa 80-90%:n) aktualisoituu sen tietoturvan heikoimman lenkin kautta. Eli käyttäjän siis. Ja harva työntekijä paiskii 24/7 orjasopimuksella. Käsitykseni mukaan moinen taitaa olla sivistysmaissa jopa lailla kielletty.

Näinpä siis valvomon kannattaisi suunnata kyttäysresursseistaan 70-90% nimenomaan siihen aikaan, kun tietoturvan heikoin lenkki (käyttäjä) on aktiivinen ja touhuaa töitään.

Ihminen vs. robotti valvojana?

Kestipä kauan päästä varsinaiseen aiheeseen. Alankohan tulla vanhaksi ja jaarittelijaksi? Noh, ehkäpä taustoituksella oli kuitenkin oma merkityksensä. Etenkin kun tarkastellaan tätä valvonta-aspektia ja asetetaan ihmisaivot keinotekoista älykkyyttä vastaan.

Valvonnassa on kaksi pääaspektia. Reagointinopeus ja huomiointikyvykkyys. Ensimmäinen ilmaisee sen, kuinka hyvin ja nopeasti reagoidaan riskiin tai poikkeamaan. Toinen taas osoittaa sen, miten paljon poikkeamista kyetään tunnistamaan. Kummastakaan yksinään ei ole hyötyä. Jos tunnistamme joka ikisen poikkeaman ja outouden, mutta ehdimme syventyä niihin vasta kuukauden päästä, hyökkäys on todennäköisesti jo saavuttanut tavoitteensa ja reaktio siis myöhässä ja sitä kautta hyödytön. Rosvo tuli, näki ja voitti. Toisaalta, vaikka reagointikykymme olisi sekunnin luokkaa, mutta huomiointikyvykkyytemme kattaa vain puolet järjestelmistä, rosvo on voinut tulla, nähdä ja voittaa ilman että olemme asiasta edes tietoisia.

Lienee kiistaton tosiasia, että mikroprosessorin reagointikyky ärsykkeeseen on merkittävästi ihmistä nopeampi. Tietokone reagoi millisekunneissa käskyyn, ihminen parhaimmillaan sekunneissa – tuhansia kertoja hitaammin. Reagointinopeudessa robotti siis voittaa suvereenisti.

Entäpä sitten huomiointikyvykkyys? Koneaivo lukee tuhat riviä lokitietoa silmänräpäyksessä. Jälleen ihmistä valtavasti, suorastaan käsittämättömästi nopeammin. Keinoälykkyys ei väsy eikä suorita flunssaisena huonommin. Tasalaatuisuus on huomiointikyvykkyyden tärkeimpiä mittareita. Ja jälleen siis robotti vetää pidemmän korren.

Toimittiinpa miten vain, ihminen tarvitsee automaatiota eli koneaivoja tuekseen. Sekä havainnointikyvykkyyteen, kun ihminen on vain liian tehoton ja hidas käymään kaikkea aiheeseen liittyvää dataa läpi, että reagointiin, kun ihmisen prosessointinopeus ei riitä. Kyse ei oikeasti olekaan ihminen vs. robotti -asetelmasta. Todellisuudessa kyse on lopulta siitä, kuinka paljon ihmistä tarvitaan puikkoihin. Ja miksi? Työllistävä vaikutus? Ihmisen eettinen kontribuutio? Syitä voi löytyä toki. Joissain tapauksissa on perusteltua edellyttää ihminen tekemään hyväksynnän tai päätöksen robotin prosessoiman tiedon ja ehdottaman tuloksen pohjalta. Useimmat vasta-argumentit, joihin olen itse törmännyt, pohjaavat kuitenkin tunnepohjaiseen reaktioon. ”Mutku ei niin oo koskaan ollut” ja ”eihän se nyt vain käy”.

Tästähän päästäänkin siihen ihmisen vahvuuteen. Missä itse näen ihmisaivot voitokkaina? Parhaimmillaan terävä ja osaava tietoturvavelho omaa innovatiivisuutta, jota koneäly ei ainakaan toistaiseksi pysty matkimaan. Usein arjessa puhutaan vaistosta tai fiiliksestä, ettei kaikki ole oikein. Todellisuudessahan kyse on intuitiivisesta päättelystä. Edes minun kaltainen teknologiauskovainen nörtti ei kuvittele koneälyn ainakaan lähitulevaisuudessa pääsevän lähellekään ihmistä tällä sektorilla.

Miten se sitten käytännössä näkyisi secu-tekemisessä? Koneäly tekee enemmän nk. false positive -arvioita. Eli päättelee uhaksi sen, kun kirjanpidon särmä Pertti alkaakin perjantai-iltana tehdä yllättäen kirjoitusvirheitä esimerkiksi salasanaa syöttäessä. Ihmisanalyytikko saattaa arvailla väsymyksellä tai nautintoaineilla olevan osansa näppäilyvirheissä.

Toisaalta korkeamman tason tehtävät, kuten vaikkapa arkkitehtuuri ja strateginen arviointi liiketoiminnan vaatimuksia vasten, ovat toistaiseksi vielä tekoälyn ulottumattomissa olevia aspekteja. Keinotekoinen älykkyys toimii mitä parhaimmin silloin, kun käsiteltävät asiat mahtuvat ennalta määriteltyihin malleihin ja toisaalta muuttujien määrä on rajallinen.

Tämähän on todistettu esimerkiksi pelaamalla. Shakissa et voita koneälyä ikinä. Paras ihmispelaaja, joka ei tee yhden yhtään virhettä, voi päästä tasoihin. Kas kun shakin siirtojen määrä tuottama vaihtoehtojen määrä on rajattu. Koneäly laskee joka ikisen siirtovaihtoehdon läpi. Lopputulos on siis ennalta selvä. Mutta kun siirrytään vaikeampaan matemaattiseen peliin, kuten vaikka Go, tilanne muuttuu. Kun muuttujien määrä ei olekaan enää rajallinen, ihmispelaaja pärjääkin jälleen (ainakin rajallista koneälyn laskentakapasiteettia vastaan). Ja kollegani Massimo väittää myös keinoälyn voittavan ihmisen myös No Limit Hold’em pokerissa. Nih.

Lopputulos

Koneäly sopii paremmin nopeaa reagointia vaativiin valvomotehtäviin. Se on väsymätön eikä tee inhimillisiä virheitä. Mitä suuremmaksi kompleksisuus menee tai mikäli tehtävä vaatii ”psykologista tai poliittista silmää”, ihmistoimija on lyömätön.

Ehkäpä perinteiset ensimmäisen linjaston valvontatehtävät voisi sälyttää robottien tehtäväksi ja tärkeimmät päätökset eskaloitaisiin ihmisvalvojalle.

Kokonaisuushan riippuu lopulta toimialasta ja käyttötapauksesta. Joissain toiminnoissa on perusteltua käyttää ihmisiä valvontatehtävissä. Ja toisaalta tiettyjä tehtäviä, joissa vaaditaan jatkuvaa skarppiutta ja täysin tasalaatuista suorittamista, ei taas kannata antaa ihmiselle.

Yhä vähemmän näen kuitenkaan tarvetta toistuvien rutiinien tai perustason valvontatoimien allokointiin ihmisvalvojille. Ainakaan niinä aikoina, kun käyttäjämme eivät aktiivisesti ole luomassa inhimillisillä virheillään näitä uhkavektoreita. Koneäly on aivan hyvä valvoja sille verkkokauppapalvelimelle aamuyön tunteina!

Keskusteluja tietoturvan valvonnasta

On By SamikidoIn SuomeksiLeave a comment

Igniten upeiden julkistusten nostattamassa euforiassa äidyin keskustelemaan ystäväni ja ex-pomoni (tai oikeastaan pomoni pomon) Pasi Yliluoman kanssa tietoturvan valvonnasta ja kaikesta sen ympärillä.

Modernisti olimme kumpikin tahollamme. Minä työhuoneeni nojatuolin syöverissä viinilasillinen kädessä ja Pasi jotain lenkkiä tai hyötyliikuntaa vetämässä, urheilullinen nuori mies kun on. Kylläpä reilu vuosikymmen on muuttanut kommunikaatiokulttuuria. Meiltä siis, vanhakantaisemmathan pakkomodernisoituivat vasta covidin takia.

Niin tai näin, juttu lensi. Pyysin copilottia tekemään yhteenvedon, sillä dialogi oli sikäli kiinnostava, että kuvittelen jonkun virtuaalikamunikin mahdollisesti kiinnostuvan aiheesta. Oli pakko siivota ja lyhentää rankasti. Litteroidussa muodossa tajuaa kuinka rönsyilevää vanhojen secupartojen dialogi saattaakaan olla. Odottakaas vain vanhainkotivaihettamme! Tuskin pääsemme päivässä edes aiheeseen. 😉

Ota ja lukaise tiivistelmä väittelystämme. Mieluusti kuulisin palautetta. Oletko samaa mieltä, kiistät tai korjaat? Anna palaa kommentteja. Somessa ei tarvitse olla häveliäs!

Sami: Olen jo pidempään hämmästellyt, kuinka mainiosti ”siviilikin” voi nykyään arvioida tapahtumia ja järjestelmien esiin nostamia poikkeamia. Olen opastanut Microsoftin nk. Security Copilotin (virallinen nimi on ”Copilot for Security”) käyttöä muutamalle tutulle IT-asiantuntijalle, jotka eivät ole mitenkään secu-genreen erikoistuneita tai sitä seuranneita. Etenkin se ”guided responses” -toiminto – jonka ehkä voisi kääntää vaikka ”ohjattu tietoturvavaste” – on varsin vaikuttava.

Jotenkin mieleen tulee elämä jokunen vuosikymmen sitten. IT-tiimi valvoi keskitettyjä virustorjuntakikottimia ja varmisti, että palomuuri puksutti. VPN-käyttöoikeusia anottiin lomakkeella ja harkinnan mukaan IT niitä myönsikin sitten. Backupit testattiin ja varautumissuunnitelmakin oli putkirikon tai tulipalon varalle. Ei tarvittu tietoturvapapistoa. Järjestelmänvalvonta kyttäsi ja herätti päivystäjän, jos iso bittihikka iski yöllä.

Tietoturvatorstai oli kuukauden ensimmäinen torstai ja silloin ladattiin uudet virustietokannat hallintapalvelimelle ja asennettiin päivitykset palvelimille.

Pasi: Kyllähän uhkien ja tapahtumien määräätkin ovat kehittyneet ja kasvaneet exponentiaalisesti niistä ajoista. Mutta totta kyllä, että kaiken hallittavuus oli lähempänä vuosituhannen alkua helpompaa. Tai ainakin se tuntui siltä. Harvoinhan se IT-tiimi itse palomuuria tai haastavimpia tietojärjestelmien elementtejä asenteli. Muistathan, että jo vuosituhannen taitteesta asti on ollut tietoturvavalvomoita ja järjestäytynyttä tekemistä IT-tiimin tukena.

Sami: Totta kyllä, mutta ne tietoturvavalvomot olivat pääsääntöisesti lähinnä tietoverkon valvontaa. Palomuuri tärkeimpänä elementtinä. Monesti NOCin (tietoverkkojen valvontakeskus) ja SOCin (tietoturvan valvontakeskus) rooleja oli vaikea erottaa toisistaan. Ääritapauksissa niitä pyöritettiin enemmän tai vähemmän samoin resursseinkin.

2000-luvulla valvontaan lisättiin se keskitetty virustorjunta, eli esim. McAfeen tai TrendMicron hallintopalvelin. Ah! Ja tapahtumalokia keräiltiin, jos joltakin vehkeeltä. Näin jopa tapauksia, jossa kaikilta työasemilta kerättiin eventtitiedot talteen. Näiden hyödynnettävyyden perinteisessä valvomossa kyseenalaistan. Oman käsitykseni mukaan niitä hillottiin lähinnä teoreettista forensiikkakäyttöä varten.

Pasi: Myöhemmin 2010-luvulla EDR nousi tärkeään asemaan tietoturvavalvomoiden toiminnassa. Gartnerin kuuluisa SOC-näkyvyyskolmiokin nosti EDR:n yhdessä SIEMin ja NDR:n kanssa tärkeimmiksi näkyvyyslähteiksi.

Mielestäni SOC-toiminta muuttui 2020 lähestyttäessä. Markkinaan ilmestyi jopa tietoturvavalvomopalveluita, joita tuotettiin pelkän EDR:n tai NDR:n varaan. Niiden nimittämistä SOC-tyyppiseksi tietoturvavalvomoksi voi mielestäni kyseenalaistaa perustellusti.

Sami: Juu, en itse nimittäisi näitä ”managed detection and response” -palveluita SOC’eiksi ensinkään. MUTTA. Itse ilahduin näiden ilmestymisestä kenttään. Oman kokemukseni mukaan ne ajavat pitkälti saman asian kuin nk. SOC. Monesti ehkä jopa tehokkaammin, kun täysin irrelevantit lokienkeräilyt on poissa.

Itseasiassa minun mielestäni juuri tämä MDR-palveluiden synty on lähtölaukaus nykymuotoisten SOCien kuolemiselle.

Pasi: No sittenhän me olemme samaa mieltä! Itsekin uskon, että perinteinen tietoturvavalvomo alkaa olla tiensä päässä. Hyöty-kustannussuhde on kestämätön. Aivan liikaa turhaa ja manuaalista tekemistä. Tai ehkä sen verran korjaan, että tietyillä toimialoilla henkilöiden suorittama aktiivinen valvontatyö kuuluu kyllä asiaan. Joskin itse näkisin silloin näiden toimijoiden SOCit enemmänkin talon sisäisinä funktioina tai hyvin lähellä liiketoimintaa olevina toimintoina, joiden kontolle voisi sälyttää myös preventiivistä tietoturvaa.

Sami: Exactly! Juuri tästä investointi-tuotto -aspektista itsekin päädyin pohdintooni. Siis miettimään, kuinka 15 v sitten Dentsu-Aegiksen tietohallintoa vetäessäni pärjäsimme pienellä tiimillä ilman valvomoita. Silloin ympäristö oli sikäli kompakti ja teknologiakenttä rajattu, että koin hallitsevani ja osaavani verrattain suvereenisti kaiken siihen liittyvän.

Tilanne muuttui radikaalisti pilvipaholaisen rynnättyä möyhäämään koko IT-palveluiden tuotannon. Automaatio, mikropalvelut, hajautettu laskenta, SaaS- ja PaaS-palvelut toivat muutosvauhtia, joka hengästyttää heikompia. Tehokkuus kiistämättä on noussut varmaan liki kymmenkertaiseksi. Toisaalta shadow IT on räjähtänyt käsiin myös. Ja etenkin kokonaisuuden kompleksisuus on samoin noussut käsittämättömällä vauhdilla. Enää en usko minkään nyrkkitiimin kykenevän niin mitenkään hallitsemaan kaikkea käsillä olevaa. Eli kokonaisuus on väistämättä liian kompleksi ja vaatisi renessanssineron hallitsemaan kaikkea.

Pasi: Vaikeus ja osaamiskirjon laajuus ei kyllä voi olla selitys tai tekosyy sille, etteikö tietoturvaa valvottaisi ja poikkeamiin reagoitaisi asianmukaisesti. Maailma ja internet on kuitenkin nykyään merkittävästi vaarallisempi paikka kuin silloin 15 vuotta sitten. Erinomainen muutos on myös se, että valvonnan tarpeeseen on useilla tahoilla “herätty” kunnolla, paljolti jonkun kantapääopin kautta.

Mutta en kyllä näe tämänkään tukevan ajatusta perinteisestä tietoturvavalvomosta. Enemmänkin se IT-tiimi tarvitsee älykkäitä työkaluja, joka palauttaa kaiken heidän näppeihinsä. Kuten sinulla joskus silloin 15+ vuotta sitten asia oli kun olit tietohallintopäällikkönä siellä media-alalla. Siis valvonta ja turvaaminen lähemmäs liiketoimintaa. 

Sami: No ihan just näin ja aamen! Sellainen tietoturvavalvomo, jota SOC-edustaa usein johtaa juuri väärään suuntaan. Eli kokonaisuus tietoturvan osalta on vieläkin vähemmän IT-tiimin hallinnassa, kun SOC elää omaa elämäänsä omassa norsunluutornissaan. Pahin, mitä olen nähnyt, on asenne että ”nää, jää on joku secu-ongelma, ne hoitaa se SOC ei meidän kannata tähän käyttää aikaa”.

Tuo on suorastaan vaarallinen metodi. Sinänsä, mikäli tiimit olisi integroitu tehokkaasti ja secu osa IT-palvelutuotantoa, näin ehkä voisikin olla. Mutta tietoturvavalvomo on oma siilonsa. Ainakaan perinteinen SOC ei osallistu tietoturva-arkkitehtuurin suunnitteluun eikä vastaa palvelinylläpidoista (joihin kovennukset ja haavoittuvuuksien hallintakin kuuluvat).

Pasi: JOS olisikin niin, että SOC valvoisi oikeita asioita liiketoiminnan kannalta ja olisi linjassa tietoturva-arkkitehtuurin kanssa sekä jatkuvassa synkassa IT-tiimin kanssa, tilanne olisi hyvä. Ja vielä parempi kun IT:llä ja yritysten liiketoiminnoilla olisi yhteinen näkemys turvattavista asioista. Tosin silloin nimitys ei ehkä olisi SOC vaan IT Opsin SecOps funktio. Ikävä kyllä tämä ei ole realiteetti vielä yleisesti.

Tämän päivän tietoturvavalvomot ostetaan pitkillä sopimuksilla. Sopimusta tehtäessä määritetään näkyvyydet ja vastuut. Samaan aikaan IT on agilea (ketterää) ja maailma muuttuu vauhdilla. SOC-valvonta ei muutu ihan yhtä vauhdikkaasti. Ja toisaalta perinteinen valvontabisnes pohjaa aika vanhakantaiseen ja manuaaliseen tekemiseen.  Tuottosuhde saisi olla parempaa ja toiminta virtaviivaisempaa. . Kyseinen malli ajaa heikkoon kustannusrakenteeseen ja siten kannattamattomaan liiketoimintaan.

Sami: Aivan juuri noin! Itse olen jo pidemmän aikaa kutsunut useimpia SOCeja ”anti-SOCeiksi”. Eli eivät valvo sitä, mikä olisi tärkeää. Eivät ole riittävän ketteriä eivätkä muutu synkronissa IT-palvelutuotannon kanssa. Monesti SOC-näkyvyys on jotain, joka on rakennettu palvelun tilauksen aikaan. Sitten pilviluuta on pyyhkinyt IT:tä ja SOC tuijottaa jotain palomuuria ja eventtitietoa on-prem palvelimista – kun arvokkain tietosisältö on jo pilvessä.

Mitä tulee SOC-palveluiden SLA-lupauksiin tai keskimääräisiin vasteaikoihin, pidän niitä itse täytenä huttuna (in English: bullshit 😉). Se, kuinka nopeasti keskimäärin joku koskee hälytykseen on täysin epärelevanttia. Selvitysaika olisi oleellisempi. Milloin on korjattu. Mutta eihän sille kukaan lupaa mitään SLA:ta.

AI ja automatiikka pieksee jokaisen SOCin reagointikyvykkyyden. Parhaat SOCit reagoivat keskimäärin vain minuuteissa. Automaatio reagoi sekunneissa. Lisäksi keinoälyn tukema automaatio alkaa olla Tier 1 analyytikkoa nohevampi ensivasteessa. Odotan kiinnostuksella, milloin markkinoille syntyy ensimmäinen AI-robotiikka-SOC, jossa Tier 1 analyytikot on pääosin korvattu keinoälyn vahvistamalla ohjemistorobotiikalla ja automaatiolla. Tier 2 analyytikoille näen vielä tarvetta, mutta en missään tapauksessa 24/7 (ellei muukin IT sitten toimi 24/7).

Pasi: Sami, Sami… eihän nykyinen liiketoimintamalli tue tuollaista! SOC-palveluhan joutuisi muuttamaan radikaalisti toimintamalliaan ja mikä pahinta pudottamaan laskutuksiaan. 

Tarve automaatio-valvomolle on varmasti olemassa, mutta markkina muuttuu hitaasti. Lisäksi valvomoita johtavat pääsääntöisesti nämä, joita sinä nimität ”vanhoiksi secu-parroiksi” eikä muutosvastarinta ole ihan vähäistä jos menet ehdottamaan kaiken mylläämistä uusiksi. Toisaalta ostajan merkitys markkinan muutokseen on iso, muutos ostamisessa olisi se “oikea markkinan myllääjä”.

Sami: Mutta enhän minä edes ehdota mitään ”kaiken mylläämistä uusiksi”! Tämähän on jo reilun parikymmentä vuotta tapahtunut kautta linjan IT-palvelutuotannossa. Virtualisointi, pilvi, AI ja automaatio ovat jo mullistaneet esimerkiksi ohjelmistokehityksen tai palvelinylläpidon tai IT-tukitoiminnot.

OK, niissäkin hitausmomentti tulee rakenteista ja perinteisten organisaatioiden hitaasta liikkeestä, mutta kyllähän vaikka räätälöity ohjelmistokehitys on täysin eri sfääreissä 2024 kuin mitä se oli vuonna 2004. Agile manifest toi momentumin prosessien suoraviivaistamiseen ja työkalujen modernisaatio on varovastikin arvioiden ainakin kymmenkertaistanut koodarin tehokkuuden.

Secu-puoli on vain seurannut hitaammin perässä tehokkuuden ja automaation suhteen. Olisiko nyt aika todeta, että 2025 on automaatio-tietoturvavalvonnan vuosi? Ainakin Microsoft tuntuu ajattelevan varsin pitkälti näin.