Tiedä: Tiedustelu ja analytiikka (syventävä)¶

Tiedustelu ja analytiikka keskittyvät komponentteihin CTI ja CERT & ISAC SOIM-kuvassa. Tässä alaluvussa tarkastellaan joitain näkökulmia näihin ja päädytään korostamaan, että tiedustelu ja tiedon jakaminen parantavat tilannetietoisuutta, joka on paitsi tärkeää myös paljolti sääntelyn vaatimaa.

Kyberturvallisuustiedon hallinta (syventävä)¶

SIEM-alustat ovat tärkein tekninen työkalu, joka tukee analyytikoita näiden puolustustehtävässä. Varhaisin yritys kyberturvatiedon hallintaan on haavoittuvuustietojen jakaminen CERT-ohjeistoissa. Nykyään tietojen hallinnointia varten on CVE-tietokanta ja CVSS-luokitus. Muitakin tietokantoja on, kuten NIST National Vulnerability Database. Näiden alustojen suorituskyky riippuu niistä tiedoista, jotka on annettu niiden analyytikoille.

CVE tarjoaa tavan viitata haavoittuvuuksiin. Nämä tiedot ovat erittäin hyödyllisiä IDS-tunnusmerkeille, sillä haavoittuva tuote ja sen versio määräytyy tarkasti. Lisäksi tarvitaan kuitenkin laajempaa käsittelyä varten korkeamman tason luokitusta, ja tähän CVSS tarjoaa standardin tavan arvioida haavoittuvuuksien vaikutuksia numeerisilla pisteillä.

SIEM:n ja SOAR:n suorituskyky perustuu siihen, että tietokannassa on tarkat ja täydelliset tiedot. Tietoa täytyy myös ylläpitää.

Kyberuhkien tiedustelu, CTI (syventävä)¶

Kyberhyökkääjiltäkin on vanhastaan hankittu tietoja hunajapurkkitekniikalla, josta todetaan tässä vain, että se on poikkeuksellinen tietojärjestelmä, koska sen arvo piilee kokonaan sen luvattomassa tai laittomassa käytössä. Hunajapurkit ja -verkot esitellään verkon tietoturvan yhteydessä. Niiden tilalle ovat pitkälti tulleet muunlaiset hyökkäysten indikaattorit ja havaintojen tilastollinen käsittely. Hunajapurkit ovat kuitenkin osoittaneet, että on hyödyllistä tarkkailla haitallista toimintaa, siepata haittaohjelmia ja havaita uudet uhat ennen kuin ne voivat levitä laajalle. Hyökkäysmekanismeja ja -trendejä tutkitaan tarkastelemalla sekä Internetin laajuista haitallista toimintaa että tekemällä haittaohjelma-analyysia.

Kyberuhkien tiedustelu sisältää myös tiedon jakamista, jota kansalliset viranomaiset yhä enemmän vaativat. Tiedon jakaminen on data-analytiikan tulos, ja se on erittäin hyödyllistä puolustajille, koska riskit, turvaamis- ja lieventämismahdollisuudet ymmärretään silloin paremmin.

Tilannetietoisuus (syventävä)¶

Tilannetietoisuus (situational awareness) määritellään kognitiiviseksi prosessiksi, jossa ympäristön elementit havaitaan tietyn ajan ja tilan sisällä, niiden merkitys ymmärretään ja niiden asema voidaan projisoida lähitulevaisuuteen. Määritelmä on lähtöisin lentäjiltä ja kyberturvallisuuteen sovellettuna se tarkoittaa tarkoittaa tietoisuutta kaikesta epäilyttävästä tai mielenkiintoisesta toiminnasta kyberavaruudessa. Teknologian lisäksi kybertilannetietoisuuden tutkimukseen vaikuttavat yhteiskuntatieteet. Sitä on myös laajalti tutkittu sotilaspiireissä.

SIEM-maailma on läpikäymässä perusteellisia muutoksia sääntelyn ja kyberhyökkäysten vaikutuksesta. Sääntelyn näkökulmasta kriittisen infrastruktuurin operaattoreiden on sisällettävä havaitsemis- ja lievennyskyvyt. Tätä edustaa Euroopan NIS direktiivin toteutuminen kansallisessa lainsäädännössä (versio NIS2 2025-). ENISA tarjoaa säännöllisesti tietoa kyberturvapoikkeamista, erityisesti havaitsemis- ja hallintamenettelyistä. Yhteistyö tiedonjakamisessa lisääntyy jatkuvasti ja tiedon jakaminen on äärimmäisen tärkeää asianmukaiselle päätöksenteolle.