Puolustuksen kyberturvallisuus on yrityskyberturvallisuutta kolmella kertoimella — valtiollinen vihollinen, luokiteltujen enklaaviverkkojen topologia ja operatiivisen teknologian kytkentä. Tässä kontekstissa toimivat alustat rakennetaan uhkamallin pohjalta: omaisuudet luetteloitu luokittelun ja kriittisyyden mukaan, uhkatieto kulkee STIX/TAXII-putkilinjojen kautta, havaitseminen ja reagointi kerrostuvat päälle. Epäonnistuvat alustat rakennettiin uudelleenbrändäämällä kaupallinen tietoturvaohjelmisto puolustusleimalla. Tämä neliosainen sarja käy läpi oikean toteutustavan. Osa 1 käsittelee perustuksen.

Arkkitehtuurinen viitekehys on artikkelissa Täydellinen opas puolustuksen kyberturvallisuuteen. C2-rakentamissarja osoitteessa C2-järjestelmän rakentaminen alusta alkaen on alusta, jota tämä kyberipino puolustaa; NATO-yhteentoimivuussarja osoitteessa NATO-yhteentoimivuuden toteutusläpikäynti asettaa koalition tietojenjakamisen kontekstin.

Vaihe 1: Rakenna eksplisiittinen uhkamalli

Puolustuksen kyberturvallisuus, joka ei ala eksplisiittisestä uhkamallista, puolustaa fiktiota vastaan. Uhkamalli dokumentoi keitä vastaan alusta puolustautuu, mitä nämä vastustajat kykenevät tekemään ja mitä he haluavat. Jokainen myöhempi arkkitehtuuripäätös viittaa malliin.

Puolustuslaatisen uhkamallin osat:

  • Uhkatoimijat. Valtiollinen vihollinen (nimetyin maatunnuksin silloin kun operatiivinen konteksti tukee sitä), valtioon sidoksissa olevat ryhmät, rikollistoimijat, sisäpiiriuhat, toimitusketjun kompromisointivektorit. Jokaisella toimijalla on motiivi-, kyky- ja kärsivällisyysprofiili.
  • Vastustajan taktiikat. MITRE ATT&CK -kartoitus on yhteinen kieli; sovita se ensimmäisestä sprintistä alkaen. Erityiset TTP:t (taktiikat, tekniikat, menettelyt), joita alusta ennakoi.
  • Vastustajan tavoitteet. Tiedustelu, pysyvyys, sivuttaisliike, tiedon suodattaminen, operatiivinen häiriö, kineettinen valmistelu. Eri tavoitteet vaativat erilaisia puolustusasentoja.
  • Hyökkäyspinta. Verkon sisääntulopisteet, toimitusketjun riippuvuudet, ihmisiin kohdistuvat pinnat (tietojenkalastelu, manipulointi), operatiivisen teknologian rajapinnat.
  • Oletetut vastustajan kyvyt. Nollapäiväeksploitaatio, räätälöidyt implantit, signaalien sieppauskyky, pitkäkestoisuutta sietävä. Alustan puolustustekniikka skaalautuu näihin kykyihin, ei kaupallisen rikollisen tasolle.
  • Soveltamisalan ulkopuolelle jäävät uhat. Eksplisiittisesti lueteltu: datakeskuksen fyysinen turvallisuus, sähkömagneettinen turvallisuus vakiokäytännön ulkopuolelta, muiden turva-arkkitehtuurin osien käsittelemät uhat. Rajaus estää laajentumisen äärettömään puolustukseen.

Uhkamalli on elävä asiakirja, versioitu säilytyspaikkaan lähdekoodin rinnalla, turvallisuus- ja insinöörijohtajien tarkastama. Se on hankintalaatinen artefakti, jota akkreditointiarvioijat pyytävät ensimmäisenä.

Vaihe 2: Omaisuusluettelo luokittelulla ja kriittisyydellä

Kyberipino puolustaa tiettyjä omaisuuseriä. Niiden luettelointi on arkista ja ratkaisevaa — ohjelmat, jotka ohittavat omaisuusluettelon, puolustavat väärää vastustajaa ja väärää hyökkäyspintaa vastaan.

Omaisuusluettelo kerää jokaisesta omaisuuserästä:

  • Omaisuuden tunniste ja lyhytnimi. Vakaa, ihmisluettava, jäljitettävissä koko tietoturvatyöketjun läpi.
  • Omaisuuden tyyppi. Järjestelmä, tietokanta, verkkosegmentti, sovelluspalvelu, mallipaino, koulutusaineisto, operatiivisen teknologian ohjain.
  • Luokittelutaso. NATO RESTRICTED, NATO SECRET, COSMIC TOP SECRET, kansalliset vastineet. Taso muokkaa kaikkea jatkossa.
  • Osastot ja julkaisukelpoisuus. STANAG 4774 -käytäntöjen mukaisesti (ks. NATO-yhteentoimivuussarjan osa 3).
  • Kriittisyystaso. Tehtäväkriittinen, tehtävälle välttämätön, tehtävää tukeva, hallinnollinen. Eri tasot oikeuttavat erilaiset puolustusasetot.
  • Omistajuus. Omaisuuden toiminnasta ja turvallisuudesta vastaava organisaatio.
  • Verkkoenklaaivi. Missä luokitellussa tai luokittelemattomassa verkossa omaisuus toimii.
  • Riippuvuudet. Mistä muista omaisuuseristä tämä riippuu; mitä siitä riippuu.

Luettelo on automatisoitu mahdollisuuksien mukaan (CMDB-integraatio, löytöskannaus sallittaessa) ja kuratoitu siellä, missä automaatio ei riitä (operatiivisen teknologian omaisuudet vaativat usein manuaalista luettelointia). Elävä asiakirja, versioitu, kaiken jatkossa tulevan perusta.

Vaihe 3: Perusta CTI-putkilinja

Kyberuhkatieto on kerros, joka tekee havaitsemisesta merkityksellistä. Raakatunnisteita sisään, kontekstualisoitua uhkatietoa läpi, toimintakelpoista tiedustelua ulos havaitsemis- ja reagointityöketjulle. Putkilinjan arkkitehtuuri on yhtä tärkeä kuin syötteet.

Putkilinjan vaiheet:

Syöttö. Useita syötetyyppejä: STIX/TAXII-syötteet kaupallisilta toimittajilta, kumppani-CSIRT-tiedotteet, kansalliset CERT-neuvot, haavoittuvuustietokannat (NVD, toimittajien neuvot), OSINT-lähteet. Jokaisella syötteellä on oma muotonsa, todennuksensa ja luottamusmallinsa.

Normalisointi. Muunna syötteet kanoniseen CTI-esitysmuotoon — STIX 2.1 -objektit (tunnisteeet, haittaohjelmat, uhkatoimijat, kampanjat, hyökkäysmallit). Normalisointi on yksisuuntainen; kanoninen muoto on se, mitä kuluttajat näkevät. Yksityiskohtainen CTI-alustan suunnittelu on artikkelissa CTI-alustat puolustukselle.

Deduplikointi ja korrelaatio. Sama tunniste saattaa esiintyä viidessä syötteessä. Deduplikoi aggressiivisesti. Korreloi kontekstia jakavat tunnisteeet — sama uhkatoimija, sama kampanja, sama hyökkäysmalli — yhdistetyiksi tiedustelupaketiksi.

Rikastus. Lisää konteksti, joka raakasyötteistä puuttuu: luottamuspisteytys, MITRE ATT&CK -kartoitus, omaisuusrelevanssipisteytys luetteloa vastaan, luokittelunkäsittelyopas, julkaisukelpoisuustunnisteet.

Jakelu. Työnnä SIEM/SOAR:iin havaintosääntöjä varten, EDR:ään päätepisteiden esto-listoille, verkon tietoturvatyökaluihin liikennesuodatusta varten, uhkametsästystiimeille tutkimussyötteiksi, operatiiviseen fuusiopinoon, missä kyberhavainnot syötetään multi-INT-kuvaan (ks. Fuusioputkilinja, osa 3).

Vaihe 4: STIX/TAXII-toteutus

STIX (Structured Threat Information Expression) on kyberuhkatiedon datamalli. TAXII (Trusted Automated Exchange of Intelligence Information) on siirtoprotokolla. Yhdessä ne ovat CTI-vaihdon yhteinen kieli puolustusorganisaatioiden ja kaupallisten uhkatietotoimittajien välillä.

Toteutuksen todellisuus:

Kuluttajapuoli ensin. Useimmat puolustusohjelmat kuluttavat STIX/TAXII:ta kaupallisilta toimittajilta (Mandiant, Recorded Future, CrowdStrike, MITRE) ja kumppani-CSIRT:eiltä. Kuluttajapuolen TAXII 2.x -asiakasohjelma on hyvin ymmärretty ja hallittavissa.

Skeeman validointi rajalla. Jokainen saapuva STIX-objekti validoidaan skeemaa vastaan ennen jatkokäsittelyä. Viallinen syöte kirjataan lokiin ja hylätään. Skeemavirheitä on käytetty injektiohyökkäysvektoreina; tiukka validointi on rakenteellinen puolustus.

Luottamuspisteytys. STIX-objekteilla on luottamuskentät. Käytä niitä. Toimittajan korkean luottamuksen tunniste ja OSINT-peräinen matalan luottamuksen tunniste käsitellään eri tavoin jatkohavaintopotkilinjassa.

Toimittajapuoli valikoivasti. Ohjelmat, jotka jakavat tiedustelua kumppaneiden kanssa — koalition CSIRT:t, ISAC-osallistuminen, sisäinen-ulkoinen jakaminen tapaustenhallintaa varten — toteuttavat TAXII-toimittajapäätepisteet. Toteutus on raskaampi kuin kuluttajapuoli ja vaatii tämän sarjan osassa 3 käsitellyn luokittelunkäsittelykurin.

Vaihe 5: OSINT-putkilinja lähdemonimuotoisuudella

Avoimeen lähdemateriaaliin perustuva tiedustelu on korkean arvon CTI-syöte. Sosiaalinen media, paste-sivustot, kiristysohjelmavuotosivustot, tekniset foorumit, toimittajien tietoturvatiedotteet, uutiset. OSINT-havaitseminen hyökkäyksestä kumppanijoukkoja tai infrastruktuuria vastaan on operatiivisen arvon tiedustelua, jossa toimittajasyötteet usein jäävät jälkeen.

OSINT-putkilinjan malli:

Lähdemonimuotoisuus. Yksikään lähde ei dominoi. Useat lähteet vähentävät yksittäisen syötteen harhaa ja nostavat väärät positiiviset esiin nopeammin.

Luottamus lähteen mukaan. Jokaisella lähteellä on kalibroitu luottamuspistemäärä historiallisen tarkkuuden perusteella. Anonyymillä foorumilla väitetty tunniste käsitellään eri tavoin kuin kansallisessa CERT-tiedotteessa vahvistettu tunniste.

Attribuointi ja lähdeviittaus. Jokaisessa OSINT-peräisessä tunnisteessa on lähde-URL, tilannekuvauksen aikaleima ja analyysimerkintä. Ilman alkuperää tunniste ei selviä tarkistuksesta eikä sitä voi levittää koalition kumppaneille.

Oikeudelliset ja eettiset suojakaiteet. Sosiaalisen median OSINT-keräyksellä on oikeudellisia rajoitteita, jotka vaihtelevat lainkäyttöalueittain. Alustan OSINT-keräyspolitiikka on dokumentoitu, oikeudellisesti tarkastettu ja koodissa pakotettu. Yksityiskohtainen käsittely on artikkelissa OSINT-uhkamonitorointi puolustukselle.

Keskeinen oivallus: CTI-putkilinja on kerros, joka muuntaa geneerisen tietoturvaohjelmiston puolustusluokan puolustukseksi. SIEM ilman CTI:tä havaitsee tavanomaisia uhkia. CTI:llä valtion tason uhkiin rikastettu SIEM havaitsee uhkat, joita vastaan alusta todella puolustautuu. Investointi CTI-infrastruktuuriin on kyberpinoston suurimman vipuvaikutuksen päätös.

Vaihe 6: Kyber fuusiodisipliinina

Moderni puolustuksen kyberturvallisuus käsittelee kyberhavaintoja toisena tiedusteludisipliinina SIGINT:n, IMINT:n ja ELINT:n rinnalla. Kyberpinoston tuotokset virtaavat operatiiviseen fuusioputkilinjaan; operatiivisen fuusioputkilinjan tuotokset rikastuttavat kyber-päätöksentekoa. Integraatio on kaksisuuntainen.

Arkkitehtuurinen malli:

Kyberitapahtumat havaintoina. Vahvistetut kompromissit, hyökkäysyrityksen havainnot, attribuoidut kampanjat — jokainen tulee havainnoksi kanonisessa raitatietokannassa, merkittynä kyber-disipliinin metadatalla. Yksityiskohtainen malli on artikkelissa Puolustuksen fuusioputkilinjan rakentaminen, osa 3.

CTI-rikastus fyysisen alueen raiteille. Kun kyberitunniste viittaa vastustajan toimintaan maantieteellisessä sijainnissa, tunniste rikastuttaa fyysisen alueen raitaa operatiivisessa kuvassa. Vahvistetun kyberkompromissin kanssa samassa paikassa sijaitseva SIGINT-keräyspiste tulee operaattorin korkeamman prioriteetin raidaksi.

Jaettu luokittelukoneisto. Kyberdata-luokittelumerkinnät kulkevat saman STANAG 4774/4778 -sidonnan kautta kuin fyysisen alueen data. Kyber-erityiset osastot ja julkaisukelpoisuus toimivat laajemman luokittelujärjestelmän rinnalla.

Vaihe 7: Säilytyspaikan rakenne kyberikoodille

Kyberpinoston koodi on arkaluonteista — virheelliset muutokset voivat poistaa havaitsemisen käytöstä, johtaa kompromissien ohittamiseen tai vuotaa luokiteltua materiaalia. Säilytyspaikan kurinalaisuus lieventää riskiä.

Toimiva rakenne:

  • cyber/threat-model/ — versioitu uhkamallidokumentaatio, MITRE ATT&CK -kartoitukset, omaisuustason luokittelut.
  • cyber/asset-inventory/ — vaiheen 2 luettelo, jossa löytöautomaatio ja manuaalinen kuratointi yhdistyvät.
  • cyber/cti/feeds/ — syötekonfiguraatiot, normalisointisäännöt lähteittäin, deduplikointikäytännöt.
  • cyber/cti/enrichment/ — rikastusputkilinjat, luottamuspisteytyssäännöt, omaisuusrelevanssipisteytys.
  • cyber/detection-rules/ — SIEM-havaintosisältö (Sigma-säännöt, toimittajakohtaiset formaatit), versioitu, testattu CI:ssä tallennetun tapahtumadatan perusteella.
  • cyber/playbooks/ — SOAR-vastausplaybokit, testattu CI:ssä, turvallisuusjohdon tarkastama ennen käyttöönottoa.
  • cyber/forensics/ — keräys- ja analyysityökalut, säilytysketjumenettelyt.
  • cyber/ADRs/ — arkkitehtuuripäätösrekisterit merkittäville kyberarkkitehtuurivalinnoille.

Mitä seuraavaksi

Osa 1 on rakentanut perustan. Eksplisiittinen uhkamalli, omaisuusluettelo luokittelulla, CTI-putkilinja syöttää STIX/TAXII:ta ja OSINT:ia, kyber-fuusiodisipliini-integraatio, säilytyspaikan kurinalaisuus. Kyberipinolla on nyt selkeä kuva siitä, mitä vastaan se puolustautuu, mitä se puolustaa ja mistä sen tiedustelu tulee.

Osa 2 toteuttaa operaatiokerroksen: SIEM ja SOAR luokitelluille enklaaville suunniteltuna, CERT-välinen integraatio, automatisoitu playbook-kurinalaisuus, käytännön todellisuudet, jotka erottavat operatiivisen kyberin PowerPoint-kyberistä.