Sisältöön

Tekoälyn rooli - SecMeter

Ohita valikko
Ohita valikko

Tekoälyn rooli

Yritysturvallisuus > Kyberturvallisuus
Tekoälyn rooli kyberhyökkäyksissä ja kyberpuolustuksessa



Tekoälyn (AI, artificial intelligence) ja erityisesti koneoppimisen nopea kehittyminen on vaikuttanut merkittävästi kyberturvallisuuden toimintaympäristöön.

Samanaikaisesti kun tekoälyä hyödynnetään laajasti puolustuksellisissa tietoturvaratkaisuissa, sitä on alettu käyttää myös kyberhyökkäysten tukena.

Julkisessa keskustelussa tekoäly esitetään usein autonomisena toimijana, joka kykenee itsenäisesti murtautumaan järjestelmiin. Tämä narratiivi on kuitenkin harhaanjohtava ja yksinkertaistava.

Tämän johdosta on syytä tarkastella missä vaiheissa tekoälyä hyödynnetään kyberhyökkäysprosesseissa, ja miten samat teknologiat näkyvät puolustuksellisissa järjestelmissä?

Tarkastelu perustuu yleisesti hyväksyttyihin kyberturvallisuuden viitekehyksiin, kuten hyökkäyksen elinkaarimalliin sekä käyttäytymispohjaiseen tietoturva-analyysiin.

SecMeter ei pyri esittämään uusia murtautumismenetelmiä, vaan jäsentämään olemassa olevaa ilmiötä ymmärrettävällä ja analyyttisella tavalla.

Kaikki tässä tekstissä kuvatut tekoälyn käyttömahdollisuudet kyberhyökkäyksissä on esitetty periaatteellisella tasolla, eikä tarkoituksena ole antaa ohjeita tai valmiita menetelmiä murtautumiseksi.

Tekoälyn käyttö tietoturvatestauksessa tulee aina toteuttaa lainsäädännön ja yrityksen myöntämien kirjallisten lupien mukaisesti, esimerkiksi:

  • Penetraatiotestauksessa (penetration testing) sopimuksen ja luvan puitteissa
  • Bug bounty -ohjelmissa ennalta määritellyin säännöin
  • Responsible Disclosure -periaatteen mukaisesti, jotta haavoittuvuudet voidaan korjata ennen julkistusta
Tehtävälista
Hallinto ja strategia

  1. Määrittele tekoälyuhkien omistajuus (CISO / Head of Security)
  2. Päivitä riskienhallintamalli kattamaan AI-pohjaiset uhat (deepfake, automaattinen hyökkäys, LLM-phishing)
  3. Liitä AI-uhkat osaksi yrityksen kyberturvastrategiaa ja IR-suunnitelmaa
  4. Varmista johdon tuki ja budjetointi (EDR, SIEM, UEBA, MDR)

Identiteetti ja käyttöoikeudet (AI-hyökkäysten ensisijainen kohde)

  1. Pakota monivaiheinen tunnistautuminen (MFA) kaikkiin kriittisiin järjestelmiin
  2. Ota käyttöön ehdollinen pääsynhallinta (riskipohjainen autentikointi)
  3. Minimoi oikeudet (Least Privilege, Just-In-Time)
  4. alvo palvelutilejä ja API-avaimia (AI-automaation väärinkäyttö)
  5. Tunnista poikkeava käyttäytyminen UEBA:lla

Sähköposti ja viestintä (AI-phishingin torjunta)

  1. Ota käyttöön DMARC, DKIM ja SPF
  2. Käytä AI-pohjaista phishing-tunnistusta sähköpostissa
  3. Estä makrot ja vaaralliset liitteet oletuksena
  4. Toteuta prosessi toimitusjohtaja- ja laskuhuijausten varmentamiseen
  5. Kouluta henkilöstö tunnistamaan deepfake- ja personoidut huijaukset

Päätelaitteet ja palvelimet (EDR keskiössä)

  1. Ota käyttöön EDR/XDR kaikissa päätelaitteissa
  2. Estä epäluotettavien prosessien automaattinen suoritus
  3. Käytä sovellusten sallintalistaa (Application Control)
  4. Tunnista generatiivisen AI:n avulla luodut haittaohjelmat käyttäytymisen perusteella
  5. Automatisoi uhkien eristäminen (Containment)

Verkkoturva ja näkyvyys

  1. Segmentoi verkko (Zero Trust)
  2. Estä iteroivat ja automatisoidut hyökkäysyritykset (rate-limiting, IDS/IPS)
  3. Monitoroi DNS-, API- ja pilviliikennettä
  4. Havaitse AI-botit ja epänormaali liikenne

Lokit, analytiikka ja automaatio (SIEM + UEBA)

  1. Kerää ja normalisoi lokit kaikista kriittisistä lähteistä
  2. Ota käyttöön UEBA käyttäjä- ja laitekäyttäytymisen seurantaan
  3. Tunnista hyökkäysketjut, ei vain yksittäisiä tapahtumia
  4. Automatisoi hälytykset ja eskalointi SOC:lle
  5. Hyödynnä SOAR-toimintoja vasteaikojen lyhentämiseksi

Tekoälyn vastuullinen käyttö yrityksessä

  1. Määrittele AI-käyttöpolitiikka (mitä saa syöttää LLM:lle)
  2. Estä luottamuksellisen datan syöttö julkisiin AI-palveluihin
  3. Valvo API-rajapintoja ja AI-integraatioita
  4. Testaa prompt-injection- ja data poisoning -riskit

Henkilöstö ja toimintamallit

  1. Kouluta henkilöstö AI-avusteisten hyökkäysten tunnistamiseen
  2. Simuloi AI-phishing- ja deepfake-harjoituksia
  3. Päivitä Incident Response -harjoitukset AI-skenaarioilla
  4. Varmista 24/7-valvonta tai MDR-kumppani

Jatkuva kehitys ja testaus

  1. Testaa puolustusta red team / purple team -harjoituksilla
  2. Seuraa uusia AI-uhkatrendejä (MITRE ATT&CK, ENISA, NIST)
  3. Mittaa vasteaika (MTTD, MTTR)
  4. Paranna automaatiota ja sääntöjä jatkuvasti
Miten tekoälyä hyödynnetään murtautumisessa
Tekoälyä käytetään:

  • uskottavien sähköpostien, viestien ja chat-keskustelujen tuottamiseen
  • kohdennettujen spear phishing -hyökkäysten personointiin (esim. työnimike, kieli, kirjoitustyyli)
  • automaattiseen kielenkääntämiseen ja virheettömään ilmaisuun

Haavoittuvuuksien etsintä ja kohteiden kartoitus
Koneoppimismalleja voidaan käyttää:

  • verkkojen ja sovellusten käyttäytymisen analysointiin
  • todennäköisten haavoittuvuuksien priorisointiin
  • suurten loki- ja skannausaineistojen läpikäyntiin nopeammin kuin ihminen

Nämä menetelmät nopeuttavat perinteisiä hyökkäysvaiheita, mutta eivät itsessään luo uusia murtautumistekniikoita.

Haittaohjelmien kehittäminen ja muuntelu
Tekoäly voi auttaa:

  • haittaohjelmakoodin automaattisessa muuntelussa (polymorfismi)
  • haittaohjelmien piilottamisessa virustorjunnalta
  • käyttäytymiseen perustuvan tunnistuksen kiertämisessä
  • Täysin autonomiset “älyhaittaohjelmat” ovat toistaiseksi harvinaisia, mutta kokeellisia esimerkkejä on olemassa.

Salasanojen murtaminen ja tunnistautumisen kierto
Tekoälyä voidaan käyttää:

  • todennäköisempien salasanojen ennustamiseen vuotaneiden tietokantojen perusteella
  • käyttäjäkohtaisen käyttäytymisen mallintamiseen
  • CAPTCHA- ja bottisuojien kiertämisen avustamiseen

Mitä tekoäly eI vielä tee
On tärkeää korostaa, että:

  • tekoäly ei itsenäisesti murtaudu monimutkaisiin järjestelmiin ilman ihmisen ohjausta
  • se ei “keksi” täysin uusia haavoittuvuuksia tyhjästä

Merkittävä osa hyökkäyksistä perustuu edelleen vanhoihin haavoittuvuuksiin, kuten heikkoihin salasanoihin, päivittämättömiin järjestelmiin ja käyttäjien huolimattomuuteen.

Kyberhyökkäyksen rakenne tekoälyä hyödyntävässä ympäristössä
Kyberhyökkäykset noudattavat tyypillisesti systemaattista etenemismallia, jossa tekoälyn rooli on pääasiassa prosessien tehostaminen eikä rakenteen muuttaminen. Hyökkäyksen voidaan katsoa koostuvan neljästä päävaiheesta:

  1. tiedonkeruusta,
  2. kohteiden priorisoinnista,
  3. hyökkäysvektorin valinnasta sekä
  4. toteutuksesta ja jatkohyödyntämisestä.

Tiedonkeruu
Tiedonkeruuvaiheessa kerätään kohdetta koskevaa avointa ja teknistä tietoa, kuten organisaatiorakenteita, käytettyjä teknologioita ja julkisesti saatavilla olevia metatietoja. Tekoälyä voidaan käyttää suurten tietomäärien automaattiseen analysointiin ja olennaisten piirteiden tunnistamiseen.

On kuitenkin huomattava, että tekoäly ei kykene itsenäisesti määrittelemään tiedon merkitystä hyökkäystavoitteiden kannalta. Ihmisen rooli on keskeinen tiedon kontekstualisoinnissa ja hyödyntämisessä.

Kohteiden priorisointi
Kerätyn tiedon perusteella hyökkääjä arvioi, mitkä kohteet ovat todennäköisimpiä onnistumisen kannalta. Tekoälyä voidaan hyödyntää tilastollisessa riskinarvioinnissa ja kohteiden pisteytyksessä aikaisempien havaintojen perusteella.

Lopullinen päätös priorisoinnista edellyttää kuitenkin inhimillistä harkintaa, sillä tekoäly ei kykene arvioimaan esimerkiksi yrityksen sisäistä dynamiikkaa tai hyökkäyksen strategista merkitystä.

Hyökkäysvektorin valinta
Hyökkäysvektorin valinta määrittää, millä keinoin kohteeseen pyritään vaikuttamaan. Sosiaalinen manipulointi on osoittautunut erityisen tehokkaaksi, ja tekoälyä voidaan käyttää viestien kieliasun, sisällön ja kohdentamisen automatisointiin.

Tässä vaiheessa tekoälyn merkitys liittyy erityisesti skaalautuvuuteen ja laadun parantamiseen. Ihminen vastaa kuitenkin edelleen hyökkäyksen ajoituksesta, kontekstista ja poikkeustilanteisiin reagoimisesta.

Tekoälyn rajat hyökkäystoiminnassa
Vaikka tekoäly tehostaa useita hyökkäyksen vaiheita, se ei toimi autonomisena toimijana. Tekoäly ei

  • määrittele hyökkäyksen tavoitteita,
  • ymmärrä oikeudellisia tai eettisiä rajoitteita,
  • kykene luotettavaan päätöksentekoon täysin uusissa tilanteissa ilman ihmisen ohjausta.

Tekoälyn roolia kyberhyökkäyksissä voidaankin kuvata optimointiteknologiana, joka toimii ihmisen määrittelemien tavoitteiden ja rajaehtojen puitteissa.



Puolustuksen näkökulma
Sama teknologia on laajasti käytössä myös puolustuksessa:

  • tunkeutumisen havaitsemisjärjestelmissä (IDS/IPS)
  • poikkeavan käyttäytymisen tunnistuksessa
  • uhkatiedon analysoinnissa
  • automaattisessa reagoinnissa hyökkäyksiin

Käytännössä kyse on asevarustelusta, jossa tekoäly on molemmilla puolilla.

Tekoäly puolustuksellisissa tietoturvajärjestelmissä
Tekoälyllä on keskeinen rooli nykyaikaisissa puolustuksellisissa tietoturvaratkaisuissa, joissa käsitellään suuria määriä tapahtuma- ja lokitietoa.

SIEM-järjestelmät
Security Information and Event Management (SIEM) -järjestelmät kokoavat lokitietoa useista lähteistä ja muodostavat kokonaiskuvan järjestelmän tilasta. Tekoälyä hyödynnetään tapahtumien korreloinnissa, hälytysten priorisoinnissa ja väärien positiivisten vähentämisessä.



EDR ja UEBA
Endpoint Detection and Response (EDR) -ratkaisut keskittyvät päätelaitteiden käyttäytymisen analysointiin, kun taas User and Entity Behavior Analytics (UEBA) -järjestelmät mallintavat käyttäjien normaalia toimintaa.

Molemmissa tekoäly mahdollistaa käyttäytymispohjaisen poikkeamien tunnistamisen, joka on välttämätöntä nykyaikaisia, muuntuvia hyökkäyksiä vastaan.

Endpoint Detection and Response (EDR) on nykyaikainen tietoturvaratkaisu, joka keskittyy päätelaitteiden (endpoints) jatkuvaan valvontaan, poikkeavuuksien tunnistamiseen ja reagointiin. Päätelaitteita voivat olla esimerkiksi työasemat, kannettavat tietokoneet, palvelimet ja mobiililaitteet.



UEBA (User and Entity Behavior Analytics) on tietoturva-analytiikan lähestymistapa, jossa:

  • mallinnetaan käyttäjien ja entiteettien (esim. palvelimet, työasemat, sovellukset) normaalia toimintaa
  • tunnistetaan tästä poikkeava käyttäytyminen
  • arvioidaan poikkeamien aiheuttamaa riskiä

UEBA ei perustu ensisijaisesti tunnettuun hyökkäysmalliin, vaan käyttäytymisen poikkeavuuteen.



Eettinen testaus ja vastuullinen paljastaminen
Eettinen tietoturvatestaus, kuten penetraatiotestaus ja bug bounty -ohjelmat, perustuu ennalta määriteltyihin sääntöihin ja lupiin. Näissä yhteyksissä tekoälyä käytetään ensisijaisesti analyysin ja priorisoinnin tukena.

Hyökkäyskoodin rajoitettu saatavuus perustuu vastuullisen paljastamisen periaatteeseen. Avoin julkaisu ennen haavoittuvuuksien korjaamista altistaisi järjestelmät merkittävälle riskille ja heikentäisi kokonaisvaltaista tietoturvaa.

Johtopäätökset
Tekoäly ei ole itsenäinen kybertoimija, vaan väline, joka tehostaa sekä hyökkäyksellisiä että puolustuksellisia prosesseja. Kyberturvallisuuden kannalta keskeistä ei ole tekoälyn olemassaolo sinänsä, vaan se, miten ihmiset määrittelevät sen käyttötarkoitukset ja rajaehdot.

Puolustuksellisessa kontekstissa tekoäly on muodostunut välttämättömäksi työkaluksi, jonka avulla voidaan hallita järjestelmien kasvavaa monimutkaisuutta. Kyberturvallisuus on yhä selvemmin riippuvainen ihmisen ja tekoälyn välisestä yhteistoiminnasta, ei niiden välisestä vastakkainasettelusta.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön