Vuosi 2020 oli tietoturvallisuuden synkkä vuosi. Kyberhyökkäkset jatkoivat kasvuaan. Kiristyshaittaohjelmien todellisuudesta saimme Suomessakin ikävän muistutuksen kuinka löyhällä moraalilla hyökkääjä voi toimia. Länsimaiden pohtiessa Kiinalaisen Huawein aiheuttamaa uhkaa kansalliselle turvallisuudelle saimme vuoden lopuksi uutisen historian suurimmasta ja onnistuneimmasta kyberhyökkäyksestä. Venäläiset tai heidän tukemansa tahot ujuttivat SolarWinds-verkonvalvontaohjelmistoon takaoven. Hyökkäys altisti 18 000 suuryritystä vaaralliseen tilanteeseen kuukausien ajaksi.

Voiko kyberhyökkäykseltä suojautua ilman jätti-investointeja?

Olen seurannut merkittäviä kyberhyökkäyksiä viimeisten kymmenen vuoden ajalta. Kaikissa on havaittavissa merkittävä toimialaan linkittyvä ongelma. Tietoturvateknologia ja sen operoinnin käytännöt eivät ole pystyneet vastaamaan haasteeseen kohdeverkon suojaamisesta, jos kyseessä on ammattimainen tai valtiollinen toiminta. Tarvittava kokonaisuus on yksinkertaisesti liian kallis suurimmalle osalle yrityksistä. Solarwinds kyberhyökkäyksen esimerkissä kohteena olleilla yrityksillä oli poikkeuksellisen hyvät ja kattavat tietoturvaratkaisut sekä tietototurvallisuuden operointikeskus (SOC) käytössään. Tämä fakta saa monet yritykset epäröimään onko turvallinen digitaalinen tulevaisuus mahdollinen skenaario, jossa riskit, kustannukset ja käyttökokemus ovat tasapainossa

Uusi Cisco Secure X – vastaa haasteeseen

Cisco Secure X konsepti julkistettiin kesällä 2020 tavoitteena yhdistää lukuisat tietoturvan erillisjärjestelmät yhteen hallintakonsoliin.  Tavoitteena on hyödyntää eri järjestelmien tuottamaa informaatiota ristiin, sekä parantaa tietoturvan hallintaa ja reagointikykyä. Lopputuloksena yrityksille on saatavissa huippuluokan SOC-toiminnot merkittävästi edellistä vuosikymmentä edullisemmin. Tutustuttuani tähän konseptiin ja integroituani muutaman Cisco tietoturvapalvelun olen vaikuttunut tuotteesta. Tässä konseptissa Cisco on onnistunut strategisessa valinnassaan ja omassa ajattelussaan.

Kiteytettynä Cisco Secure X kääntää keskitetyn tietoturvan havainnoinnin arkkitehtuurin ylösalaisin. Sen sijaan, että verkkojärjestelmät ja pilvipalvelut lähettävät tapahtumatietoa (lokeja tai dataa) keskitettyyn järjestelmään analysoitavaksi, Secure X lukee tapahtumat verkkolaitteista ja pilvipalveluista hyödyntämällä API-rajapintaa.  API-ratkaisuun perustuva malli tarjoaa samalla työnkulkuun perustuvan SOC-automaation, joka on edellytys kustannustehokkaalle toiminnalle.

CIO ja CISO – strateginen valinta

Toistaiseksi Secure X tukee pääosin Cisco Systems verkko-, ohjelmisto- ja pilviteknologiaa. Nykyisille Cisco Systems asiakkaille ilmainen tuote on merkittävä lisäarvo ja kädenojennus tietoturvan hallintaan.  Luonnollisesti se herättää kysymyksen, kannattaako kaikki munat laittaa samaan koriin?  Kysymykseen tuskin löytyy oikeaa vastausta. Sen kuitenkin tiedämme, että monitoimittajataratkaisut ja siiloihin organisoitu hallinta eivät edelliseen vuosikymmeneen onnistuneet ratkaisemaan haastetta edes tyydyttävästi.

Toinen relevantti kysymys on, kannattaako SOC-ratkaisua lähteä rakentamaan Secure X varaan, jos yrityksellä ei ole käytössään Cisco Systems tuotteita ja palveluita?  Mielenkiintoista on tarkastella asiaa toisesta näkökulmasta eli kokonaiskustannuksista tulevaisuuden verkkoarkkitehtuurissa.

Vaihtoehto 1 – SIEM-ratkaisu SOC runkona

SIEM-ratkaisut tulivat markkinoille 2000-luvun alussa SOC-toiminteiden perustaksi. SIEM-ohjelmiston toiminta perustuu yritysverkon laitteiden ja ohjelmistojen lähettämän tapahtumalokin analysointiin. Ratkaisu on parhaimmillaan hieno, mutta haasteitakin on.

  1. Tapahtumalokiin perustuva datan siirtäminen kuormittaa WAN-verkkoa, joka puolestaan edellyttää WAN-verkon (upload) kapasiteetin merkittävää kasvattamista.
  2. Massiivinen lokitietojen käsittely ja säilytys edellyttää tehokkaita ja nopeita palvelin- ja levyjärjestelmiä sekä huolellista ylläpitoprosessia.
  3. Tapahtumien havainnointi vaatii kehittynyttä tekoälyalgoritmia ja kallista SIEM/järjestelmää ylläpitoineen. Tekoälyn hyödyntäminen puolestaan vaatii paljon dataa. Tapahtumamäärien kasvaessa hintalappu kasvaa. Lisäksi datan siirtäminen pilvipalvelusta ulos maksaa. Tässä tyypillisesti ajaudutaan rajoittamaan datan määrää ja järjestelmän piiriin otettavaa kokonaisuutta, joka laimentaa ratkaisun tehokkuutta.
  4. Verkkolaitteen ja ohjelmistojen kyvykkyydet seurata liikennettä ja tapahtumia määrittää lopulta havaitseeko SIEM-järjestelmä tietoturvan kannalta oleellisia poikkeamia. Yritysverkon laitteet ja/tai turvaohjelmistot joudutaan usein päivittämään riittävien kyvykkyyksien saavuttamiseksi. Mitä tarkemmalla tasolla analysoidaan, sitä enemmän dataa muodostuu.
  5. SIEM-järjestelmät eivät kykene komentamaan laajaa yritysverkkoa ja sen tietoturvan toimintoja. Tämä prosessi täytyy toteuttaa erillisellä automaatiojärjestelmällä. Ilman automaatiota ylläpitoprosessi on tehoton, kallis ja liian hidas reagoimaan.

 

Cisco Secure X on potentiaalinen SOC perusta

Cisco Secure X kokonaisuus muodostuu toistaiseksi ilmaisesta Secure X pilvipalvelusta, joka kommunikoi Ciscon tietoturvaohjelmistojen, -laitteiden ja -palveluiden kanssa saumattomasti hyödyntäen API-rajapintoja.  Secure X ratkaisun hyödyt yritykselle ovat konkreettiset:

  1. Tapahtumalokeja tai dataa ei siirretä pois laitteista ja pilvipalveluista
  2. Massiivista lokienhallintaohjelmistoa ja levyjärjestelmää ei tarvita
  3. Erillistä SIEM & AI-järjestelmää tai palvelua ei tarvita
  4. Integraatiot Cisco tietoturvatuotteisiin toimivat ”plug & play”
  5. Tietoturvan työnkulun automaatio sisältyy tuotteeseen

Konseptin kokonaisuuden investointi- ja ylläpitokustannuksia tuleekin vertailla avoimesti ja laaja-alaisesti. On hyvin mahdollista, että toimittajan vaihdoista huolimatta uusi kokonaisuus on taloudellisesti järkevämpi. Laite- ja ohjelmistovaihtojen analysoinnin lisäksi on suositeltavaa tarkastella verkon modernisointia ja pilvipalveluiden hyödyntämistä. Esimerkkinä seuraava yrityksen perusratkaisu.

  • Cisco Secure X hallinta ja SOC automaatio
    • Cisco Secure Endpoint (työasemat, palvelimet ja mobiilipäätelaitteet)
    • Cisco Umbrella (Secure Web Gateway, Cloud FW, CASB)
    • Cisco Duo Multifactor authentication & access control
    • Cisco SD-WAN toimipisteiden verkottaminen
  • Secure X – ServiceNow™ Security Operations integration
  • Secure X – Microsoft™ Security API (AD, Azure, O365) integration

Venäläinen ruletti kannattaa lopettaa ajoissa

Liiketoimintasovellusten hajautuessa pilveen, käyttäjien hajautuessa etätyöhön, kriittiset Internet-palvelut ja pitkät alihankintaverkostot sekä vaativat teollisen Internetin-ratkaisut edellytettävät uutta strategiaa yritysverkoille ja sen ammattimaiselle suojaamiselle.  Cisco Secure X on uudessa toimintaympäristössä kiinnostava ja kehittyvä ratkaisu osana kokonaisuutta. Venäläisessä ruletissa onni loppuu aina jossain kohtaa.

 

Hannu Rokka, Senior Advisor

Hannu Rokka