Kyberturvallisuuden hallinta on noussut kriittiseen rooliin Venäjän hyökättyä Ukrainaan ja länsimaisten yritysten IT-järjestelmiin. Hallinnan operatiivinen palveluilmentymä kulkee nimellä SOC (Security Operation Center). SOC toiminta on perustunut vahvasti lokitietojen ohjaamiselle SIEM-järjestelmään analysoitavaksi. Yhä useammat yritykset suhtautuvat kriittisesti SIEM ratkaisuihin perustuvan SOC toimintaan. Lukiessani CEO Carlo Massinan SIEM: Stupidly Irrelevant Electronic Messaging blogia huomaan, että asiakkaani eivät ole yksi ongelman kanssa.
Vain 1 % kaikista hyökkäyksistä havaitaan lokien perusteella
Tämä tuskin yllättää huomioiden viimevuosien uutisoidut tietomurrot. SIEM-järjestelmä on perimmäinen syy yritysten valppauden herpaantumiseen. SIEM on antanut väärän turvallisuuden tunteen vuosia syöden hiljaa yrityksen IT-budjettia. Tämän lisäksi on todettu, että 75 % kiristyshaittaohjelmiston uhriksi joutuneilla yrityksillä oli virustorjunta ja päivitykset kunnossa. Nämä kaksi yritysten tietoturvallisuuden perinteistä kivijalkaa murenevat kiihtyvään tahtiin. Perustehtävää eli lokienhallintaa lukuun ottamatta SIEM-ratkaisut ovat olleet enemmän tai vähemmän epäonnistuneita. Järjestelmien myyjät ovat pyrkineet lisäämään uusia ominaisuuksia toivoen saavansa aikaan jotain hyödyllistä. Esimerkkejä ovat UEBA, SOAR, Threat Intelligence ja Machine Learning. Tästä huolimatta SOC/SIEM analysointihenkilöstö hukkuu vääriin tulkintoihin ja ajautuu burnout partaalle. Lisäominaisuuksia huolimatta on asiantuntijan työ neulan etsimistä heinäsuovasta.
Arvioidaan, että vain yksi prosentti hyökkäyksistä havaitaan lokeihin perustuvan SIEM-palvelun avulla. En siten ihmettele asiantuntijoiden, kuten Carlo Minassian tulkintaa SIEM:lle: Stupidly Irrelevant Electronic Messaging.
Asiakaspalaute: Kallis ja hyödytön SIEM
Haastatteluissa yritykset kertovat samasta havainnosta. Hienot laitteet ja markkinoidut SIEM-ohjelmistot tuottavat hyvin hälytyksiä, mutta eivät kykene erottamaan oleellista kaikesta kohinasta. Yritykset saavat ensin satoja hälytyksiä kuukaudessa, mutta kenelläkään ei ole keinoa kertoa, olivatko hälytykset todellisia. Asiakkailla tai kumppaneilla ei ole aikaa tai taitoja vastata. Palveluprosessilla yritetään korjata perusongelmaa, mutta vanhojen tapahtumien käsittely viikkoja myöhemmin ei tunnu mielekkäältä. Tulos on, että hälytykset jätetään huomiotta. Samanaikaisesti saamme jatkuvasti uutisia tietomurroista, joka todentaa, ettei käytössä olevilla ratkaisuilla, teknologialla ja toimintatavoilla pystytä suojautumaan riittävän tehokkaasti.
Tulevaisuus ei välttämättä ole niin kallis, mutta toimivampi
SIEM-ratkaisulle on paikkansa lokienhallinnassa, mutta tietoturvaa se ei näytä parantavan puhumattakaan tietomurtojen estämisestä tai kiristyshaittaohjelmiston uhriksi joutumisesta. Liiketoimintasovellusten ja datan hajautuessa pilveen, käyttäjien hajautuessa etätyöhön, kriittiset Internet-palvelut sekä vaativat teollisen Internetin-ratkaisut edellyttävät uutta strategiaa yritysverkoille ja sen ammattimaiselle suojaamiselle. Tarvitsemme uusia tietoturvaratkaisuja ja palveluita Stupidly Irrelevant Electronic Messaging palveluiden tilalle.
Hannu Rokka, Senior Advisor
5Feet Networks Oy