Eräs uusi ja äärimmäisen kiinnostava alue on tekoälyn (AI) hyödyntäminen kyberhyökkäysten ja uhkien torjunnassa. Lupauksia ja viittauksia löytyy alan toimijoiden markkinointiviesteissä runsaasti.  On haastavaa arvioida useimpien todellista kyvykkyyttä ja toteutusmahdollisuuksia, joten blokissani keskityn muutamaan huipputeknologian toimittajaan (Bluehexagon ja ExtraHop) sekä näiden toteuttamiseen tietoverkkoon käytännössä.

Nämä tekoälyyn perustuvat tietoturvan analysointi- ja torjuntaratkaisut ovat toistaiseksi  arvokkaita suurillekin yrityksille, mutta pistemäisesti soveltaen käyttöä voi hyvin suositella tietoturvariskien pienentämiseksi.

Miksi tekoäly voittaa perinteiset menetelmät ?

Molemmat valmistajat markkinoivat pystyvänsä tekoälyn avulla nopeampaan uhkien havainnointiin, lähes reaaliaikaiseen seurantaan sekä täydelliseen verkon tilannekuvaan analysoimalla nimenomaisesti verkon liikennettä.  Keskeiset argumentit palvelun välttämättömyyteen ja toteutusmalliin löytyvät kolmesta väittämästä:

  • Perinteinen ”sormenjälkeen” perustuva virusten ja haavoittuvuuksien havainnointi työasemissa, palomuureissa, hyökkäystorjuntajärjestelmissä tai proxy/sandbox järjestelmissä on liian hidasta. Tutkimusten mukaan uusia uhkia ilmaantuu Internet-verkkoon joka 4.sekuntti. Turvayhtiöiden sormenjälkien määritys ja jakelu torjuntajärjestelmiin on siten aina noin 24 tuntia myöhässä.
  • Yli puolet tietoverkon liikenteestä on nykyisin salattua. Haitallista toimintaa tai haittaohjelmaa on vaikeaa havaita ja torjua verkossa perinteisillä menetelmillä. Esimerkkinä Network Behavior (NBAD) joka aiheuttaa enemmän vääriä hälytyksiä kuin havainnoi mitään relevanttia.
  • Verkkopalveluiden järjestelmät ovat laajoja ja monimutkaisia. Toimintamallit ja organisaatiot ovat siiloissa tästä johtuen. Yhteistä tilannekuvaa on parannettu mm. SIEM-järjestelmillä. SIEM käyttö kuitenkin käytännössä edellyttää tekoälyn käyttöä volyymien ja erilaisten relaatioiden ollessa aivan liian suuria ihmiselle. Tapahtumien analysointi tekoälyllä SIEM-konseptissa kuitenkin tapahtuu viiveellä, joka voi olla kohtalokas.

 

Miten tekoälyyn perustuva teknologia integroidaan verkkoon?

Bluehexagon ja ExtraHop huipputeknologiasta innostuneet lopulta kysyvät kahta asiaa:

  1. Kuinka järjestelmä pääsee kiinni yrityksen tietoliikenteeseen ja saa luotettavasti dataa analysoitavaksi kytkentäisessä ja segmentoidussa verkossa?
  2. Kuinka toteuttaa datan kerääminen ja analysointi muuttamatta verkon arkkitehtuuria sekasotkuksi ja riskeeraamatta sen 99,99% käytettävyyttä.

Ensimmäinen ja huonoin vaihtoehto on peilata/kopioida useista Ethernet-porteista määriteltyyn SPAN porttiin, jossa tekoälyjärjestelmän sensori (appliance) on kytkettynä. Ratkaisussa on lukuisia sudenkuoppia analysoinnin näkökulmasta: SPAN- toteutus ei ole passiivinen, se muuttaa liikenteen aikaleimaa, se pudottaa ruuhkatilanteessa helposti puolet paketeista pois, se poistaa korruptoituneet paketit ja osan otsakkeista estäen virheiden näkymisen. SPAN porttiin voidaan myös lähettää liikennettä eli se on itse mahdollinen hyökkäyksen kohde.

Parempi vaihtoehto on Network TAP.  Se on passiivinen verkkolaite, jonka kautta liikennevirta kierrätetään. TAP kopio liikenteen ilman pakettihävikkiä 100% muuttamatta mitään.  TAP avulla tekoälyyn perustuva analysointijärjestelmä tai analysointiverkko on eristetty tuotantoverkosta. Erilaisiin käyttötarkoituksiin löytyy paljon erilaisia tuotteita. 

Analysoitavien datamäärien kasvaessa suuriksi joudutaan kasvattamaan myös kallista analysointikapasiteettia.   Tässä kohtaan avuksi otetaan TAP:n kaveriksi Network Packet Broker (NPB).  Sen avulla suodatetaan ja ohjataan kopioitua liikennettä erilaisille keskitetyille analysointijärjestelmille tarkalla harkinnalla.

 

 

Hyödyt operatiivisessa toiminnassa.

Ammattimaisesti toimivat verkon ylläpitäjät eivät kytke tuotantojärjestelmään testaamattomia laitteita tai aiheuta tuotantoverkon ylimääräisiä huoltokatkoja. Testaamisen aloittamiseen on näin korkea kynnys, joka on hyvä ratkaista jo verkon arkkitehtuurisuunnittelussa.

  • TAP avulla on helppo kytkeä erilaisia analysointi ja turvajärjestelmiä luotettavasti koskematta kriittiseen tuotantoverkkoon.
  • Uusia tekoälyn teknologioita voidaan testata ja osaamista kerryttää. Samanaikaisesti tuotantoverkko voidaan pitää mahdollisimman yksinkertaisena ja tehokkaana.
  • TAP & NPB avulla analysointikapasiteetti voidaan optimoida ja säästää investoinneissa erityisesti Data Center ympäristöissä.
  • Vähemmän huoltokatkoja, vähemmän ilta ja yötöitä, vähemmän katastrofaalisia aamuvuoroja pikkutuntien konfiguraatiovirheen takia, vähemmän reklamaatio ja sanktiokeskusteluita.

Lunastaako tekoälyyn pohjautuva kyberuhkien torjunta paikkansa lähitulevaisuudessa jää nähtäväksi, mutta lupaavalta vaikuttaa ja tilausta on.  Muista kuitenkin, että kokeilun tulokset ovat luotettavia, kun ne perustuvat tuotantodatan ja liikenteen täydelliseen kopioon.  Laita seuraavassa tilaisuudessa TAP paikalleen .

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy