Onko suojamuurin koolla enää merkitystä?

Kaikki me safarilla olleet tiedämme, miten hankalaa on löytää valokuvattavaksi juuri se yksi ja ainoa leopardi, joka lymyilee pusikossa. Mitä, jos kyseinen leopardi muuttaisi vielä koko ajan ulkonäköään – yhtenä hetkenä se on kirahvi, toisena gaselli, kolmantena jotain muuta. Silloin pitää tietää, miten kukin eläin käyttäytyy normaaliolosuhteissa ja odottaa sitä hetkeä kun esimerkiksi virtahepo kiipeää puuhun. Se vasta olisikin poikkeavaa.

Perinteisessä tietoturvassa suojeltavan omaisuuden ympärille rakennetaan mahdollisimman paksu ja korkea muuri, jonka laelle laitetaan vielä piikkilankaa ja lasinsiruja. Näin yritetään estää varkaiden pääseminen sisään. Jos varkaita näkyy, korotetaan muuria tai rakennetaan toinen siihen eteen.

Nykyään tilanne on toinen. Nyt ei puhuta enää niinkään paljon siitä, minkä kokoinen muuri on ja miten estetään pääsy sen ohi.  Nyt keskitytään siihen, miten kauan joku on muurien sisällä ollut ja mitä siellä on saanut aikaiseksi.

Trustwaven mukaan voi kestää jopa yli 200 päivää ennen kuin tietomurto huomataan. Eräs iso amerikkalainen pankki löysi alkuvuonna kutsumattomia vieraita seitsemän vuoden takaa. Ja nyt toukokuussa eBay:sta todettiin varastetuksi 145 miljooonaan asiakkaan tiedot, jotka nyt ovat julkisesti myytävänä (ei kuitenkaan eBay:ssa) 1.4 bitcoinin hintaan. eBay:n verkossa oltiin ilmeisesti liikuttu 2-3 kuukautta ennen kuin murto huomattiin.

Jos koolla ei ole enää merkitystä, miten murrot löydetään?

Perinteisiä suojautumistapoja kuten palomuureja ei tule unohtaa. Ne ovat edelleen oleellinen osa kokonaissuojausta. Tietoturva-ammattilaiset ovat kuitenkin siirtyneet puolustusasemista metsästäjän rooliin. Uusia haasteita ovat tuoneet taklattavaksi esimerkiksi uudet edistyneet haittaohjelmat, jotka pystyvät jatkuvasti muuttamaan sormenjälkiään. Näin ollen poikkeamien metsästäminen ja löytäminen nousee entistä tärkeämmäksi.

Edistyneiden uhkien löytämiseen verkosta tarvitaan kuitenkin muurien rinnalle jotain muutakin, joka perustuu logeihin ja liikenteeseen. Tarvitaan reaaliaikainen tilannekuva.

Kaikki tapahtumat, olivatpa ne työkoneella, palvelimella, palomuurissa, reitittimessa tai muussa laitteessa tai käyttöjärjestelmässä, voidaan tallentaa historiikkiin eli logiin. Logeja tutkimalla voidaan selvittää, mitä on tapahtunut. Vaikka logea voi toki tutkia manuaalisesti, se ei välttämättä ole paras tai taloudellisin tapa ottaen huomioon, että tapahtumia voi tulla päivässä miljoonia. Puhumattakaan siitä, jos samalla halutaan seurata reaaliaikaisesti tapahtumia ja liikennettä sekä vielä verrata niitä historialliseen dataan.

Tämän big datan pureskeluun tarvitaan ratkaisuja, jotka pystyvät bittiviidakosta löytämään ne relevanteimmat tapahtumat, jotka kertovat poikkeamista. Poikkeamista, jotka eivät kuulu normaaleihin työrutiineihin tai toimintamalleihin.

Poikkeamia hoidetaan ratkaisuilla, joihin lukeutuu muunmuassa IBM:n QRadar. Se pystyy lähes reaaliaikaisesti seuraamaan, mitä verkossa tapahtuu, tulkitsemaan logeja sekä vertaamaan näitä keskenään. Samaan aikaan voidaan verrata uutta sisääntulevaa dataa valtavaan määrään historiadataa, jota kertyy joka hetki verkossa tapahtuvasta liikenteestä ja sen poikkeamista.

Näin se toimii

Leikitellään ajatuksella: Kolmen sepän patsaan kohdalla on tietokone, joka on kerännyt viimeisen seitsemän vuoden ajan tietoa kaikesta pääkaupunkiseudun liikenteestä – sekä julkisesta että yksityisestä, jalankulkijoista juniin. Tietokannasta löytyy historiadatana rekisterinumerot, paljon on matkustajia, mihin on käännytty, mistä on tultu, minne ollaan menossa, onko etuvalo hajalla, onko autossa muita vikoja ja niin edelleen. Tämän lisäksi Kolmen sepän tietokone seuraa reaaliaikaisesti liikennettä jokaisella kadulla ja väylällä ja osaa sanoa, onko ajoneuvo ABC-123 koskaan viimeisen seitsemän vuoden aikana kääntynyt juuri siitä kohdasta vasempaan matkustajan ollessa kyydissä ajovalo rikki. Jos ei, lippu nousee. Poikkeus löytyi.

Kim Nyström

Ratkaisujohtaja, tietoturvapalvelut, IBM