11.11.2020 • Tietoturva
Koneoppimisella tehokkaampaa tietoturvavalvontaa – Microsoft Defender
Microsoft on viime vuodet panostanut isosti tietoturvatuoteperheensä, nykyisten Microsoft Defender -tuotteiden kehittämiseen ja jalkauttamiseen. Panostus on selvästi tuottanut tulosta, tämä käy ilmi omassa työssänikin lähestulkoon päivittäin. Tuoteperhe on saavuttanut valtavan suosion niin maailmalla kuin Suomessakin ja hyvästä syystä, sillä lähes jokainen tuote on kiitänyt oman turvaamisalueensa huipulle analyytikkojen vertailuissa.
Kukin Defender-tuote keskittyy tietyn osa-alueen turvaamiseen toimintaympäristössään, hyvänä esimerkkinä vaikkapa EDR-ratkaisu Defender for Endpoint, joka vastaa yksinomaan päätelaitteiden suojaamisesta. Suurin etu näistä tuotteista ei kuitenkaan synny yksittäisestä käytöstä, vaan etenkin yhteisestä käyttöönotosta. Tuotteet on lähtökohtaisesti suunniteltu tukemaan toisiaan keräämällä dataa omilta vastuualueiltaan ja hyödyntämällä sitä eri portaaleissa. Yhteisellä käyttöönotolla voidaan saavuttaa äärimmäisen hyvä näkyvyys oman ympäristön turvaamiseen ja tietoturvan hallinnointiin.
Haasteena liian tehokkaan tietoturvan hälyähky
Siinä missä Defender-tuotteet tuovat turvaa näkyvyyden ja hallittavuuden kautta, on tässäkin alustassa oma heikkoutensa. Tälle ongelmalle on monta eri nimeä, mutta itse puhun eniten hälyähkystä. Mitä tuolla sitten tarkoitetaan?
Usein päädytään tilanteeseen, jossa on saavutettu tietoturvaan kattava näkyvyys, jota samalla sumentaa huikea määrä kerätystä datasta nostettuja hälytyksiä.
Kun laajennamme näkyvyytemme tietoturvassa eri osa-alueille, kuten päätelaitteille, pilviresursseihin, identiteetinhallintaan tai vaikkapa paikallisen AD:n suojaamiseen, syntyy kokonaisuudesta ympäristössä kuin ympäristössä iso kattaus. Tuon kentän tehokas valvonta ja ohjaus jää usein kauas optimaalisesta, jos mukaan ei ole laskettu riittäviä henkilöstöresursseja tai tarpeeksi kokemusta viilaamaan palveluita omaan ympäristöön soveltuviksi. Näin ollen päädytään usein tilanteeseen, jossa on saavutettu kattava näkyvyys, jota samalla sumentaa huikea määrä kerätystä datasta nostettuja hälytyksiä. Kun ympäristön hallinta halutaan hoitaa tehokkaasti, mutta samalla huolellisesti, tarvitaan priorisoitua jatkokehitystä.
Ennen kuin jatketaan aiheesta, kerrataan lyhyesti, mitä Defender-tuotteet tekevät ja miten Microsoftin muut alustat tukevat toimintaa. Microsoft Defender -uudelleenbrändäys astui voimaan kuluvan vuoden 2020 Ignite-tapahtumassa, jossa julkistettiin uusi nimi entisille Threat Protection -tuotteille. Jos siis mietit mihin Defender ATP, Office 365 ATP ja Azure ATP katosivat, ovat ne edelleen siellä missä ennenkin, vain eri nimillä (vastaavasti Defender for Endpoint, Defender for Office 365 ja Defender for Identity). Cloud App Security ja Identity Protection säilyttivät muutoksessa nimensä, joskin Azuren Security Centerin alle ilmestyi uusi, erillinen Azure Defender. Nuo tuotteet muodostavat niin M365 Defenderin kuin Azure Defenderin.
Tekoälystä ratkaisu hälyähkyyn
Ongelma liiallisista vääristä hälytyksistä ei toki ole millään tapaa uusi. Jo vuosia etenkin ulkoiset SOC-palvelut ovat kamppailleet resurssoinnin ja työkalujen kanssa pysyäkseen kasvavien data- ja hälytysmäärien perässä. Microsoft tunnistaa myös saman ongelman. Viimeisimmässä syyskuun 2020 tietoturvaraportissaan Microsoft avaa kuukausittain syntyviä havainnointilukuja ja ongelmia, joita kaikista vastaanotetuista signaaleista kertyy.
Ratkaisuna kertyvien hälytysten käsittelyyn on valjastettu koneoppiminen. Tekoälyn ja koneoppimisen hyödyntämisestä tietoturvapoikkeamien havainnoinnissa on puhuttu jo pitkään, mutta etenkin viimeisen kahden vuoden aikana nämä toiminnallisuudet ovat nousseet näkyvämmiksi Defender-tuotteissa. Defender-tuotteiden lisäksi on koneoppimista alettu hyödyntämään myös Azure Sentinelissa, Microsoftin pilvipohjaisessa SIEM-ratkaisussa. Jos Sentinel ei ole entuudestaan jo tuttu, voit lukea siitä lisää blogistamme.
Esimerkiksi Sentinelissä koneoppimista voidaan hyödyntää kahdella menetelmällä: käyttämällä valmista ”Advanced multistage attack detection” -sääntöä tai hyödyntämällä BYOML-mallia (Bring Your Own Machine Learning). ”Advanced multistage attack detection”, tai tuttavallisemmin Fusion-sääntö, lukee Sentineliin saapuvia muiden alustojen, kuten Identity Protectionin ja Cloud App Securityn tuottamia hälytyksiä ja kykenee havaitsemaan eri hyökkäyskokonaisuuksia näistä datalähteistä. BYOML-malli puolestaan mahdollistaa omien koneoppimismallien hyödyntämistä Sentinelissä Azure Machine Learning Studion kautta. Kumpikin toiminnallisuus on vielä varhaisessa vaiheessa kyvykkyyksiltään, mutta etenkin BYOML mahdollistaa innokkaimmille ylläpitäjille huikean havainnointikyvykkyyden parantamisen.
Tuotteen havainnointikyvykkyys kasvaa palautteen myötä, mikä tekee ylläpitämisestä pidemmällä aikavälillä paljon tehokkaampaa.
Toinen esimerkki koneoppimisen hyödyntämisestä löytyy Azure Active Directory Identity Protectionin toiminnasta. Identity Protection suorittaa jatkuvaa riskiluokittelua Azure AD -ympäristössä ja arvioi niin hetkellisiä kirjautumisriskejä kuin myös kumulatiivista käyttäjäprofiilitason riskiä. Havainnointia on mahdollista kehittää antamalla palautetta Identity Protectionin löydöksistä vahvistamalla tai ohittamalla löydetyt uhat. Tuotteen havainnointikyvykkyys kasvaa hitaasti manuaalisen palautteen myötä, mikä tekee ylläpitämisestä aluksi raskaampaa, mutta pidemmällä aikavälillä paljon tehokkaampaa.
Kuinka eteenpäin?
Yhteenvetona, jos ympäristösi kaipaa tällä hetkellä kuriin saattamista hälytysten osalta, suosittelen tutustumaan edellä Microsoft Defender -ratkaisuun ja muihin mainittuihin tuotteisiin. Etenkin Azure Sentinelillä voidaan mahdollistaa ympäristön tehokkaampi koneoppimispohjainen, mutta ennen kaikkea keskitetty valvonta.
Kun kaikki oleellinen tieto löytyy yhdestä sijainnista eikä perinteistä portaalien välillä pomppimista tarvitse suorittaa, tulee niin havainnoimisesta kuin tutkinnastakin yksinkertaisempaa. Myös me Sulavalla autamme mielellämme parantamaan ympäristösi ylläpitoa, joten ota rohkeasti yhteyttä ja keskustellaan, miten voimme auttaa!
Helsingin kaupungin kasvatuksen ja koulutuksen toimiala (Kasko) vahvisti turvallista opetusympäristöään uusilla tietoturvatyövälineillä
Vastuullisena toimijana Kasko pyrkii jatkuvasti kehittämään tietoturvatoiminnallisuuksiaan. Viimeisimmässä projektissa otettiin käyttöön laajasti uusia työvälineitä ja ominaisuuksia turvallisen opetusympäristön vahvistamiseen.
”Tietohallintomme näkökulmasta keskeinen asia oli näkyvyyden paraneminen M365-kokonaisuuteen. Tietoturvatiedon ja tapahtumahallinnan valvontatyökalu Azure Sentinelin käyttöönotto, turhien hälytysten vähentäminen, ehdollisen kirjautumisen käyttöönotto sekä valmius monivaiheiseen tunnistautumiseen olivat projektin ytimessä. Myös sähköpostin turvallisuuden parantaminen oli tärkeää ja toteutimme siihen monenlaisia uudistuksia”, Kaskon tietoturvapäällikkö Martti Kukkonen kuvailee.
Lue myös:
COVID-19, modernit työtavat, kyberrikollisuus ja SOC-palvelut
Oliver Lahti
Consulting & Training
Oliver on erikoistunut Sulavalla pilvipohjaisiin infrastruktuuriratkaisuihin ja tietoturvaan. Oliverilla on kokemusta myös Azure-alustan hallinnoinnista ja muista Microsoft 365 -ohjelmista.