Tietoturvayhtiö WithSecure väittää siirtävänsä puolustuksen askeleen pidemmälle: uusi Elements-alustan Proactive Security -kyvykkyys lupaa tunnistaa ja estää hyökkäyspolkuja jo ennen kuin varsinaiset haavoittuvuudet ovat edes tiedossa.
Kyse ei kuitenkaan ole haavoittuvuuksien ennustamisesta, vaan siitä, että järjestelmä pyrkii havaitsemaan exploitable-tilanteita ja poikkeavaa käyttäytymistä ennen kuin niitä on ehditty luokitella esimerkiksi nollapäivähaavoittuvuuksiksi. WithSecuren mukaan perinteinen malli, jossa odotetaan CVE:tä ja julkaistaan sitten korjaus, ei enää toimi. Nykymaailmassa hyökkäykset kiihtyvät tekoälyn avulla.
Yhtiön mukaan uusia haavoittuvuuksia hyödynnetään jo keskimäärin kahden päivän välein ja nollapäivähaavoittuvuuksia kolmen päivän välein. Samalla hyödyntämisen aikajänne on romahtanut: ensimmäiset exploitit voivat ilmestyä tunneissa tai viimeistään päivissä haavoittuvuuden paljastumisesta, ja joissakin tapauksissa hyökkäykset alkavat käytännössä välittömästi. Organisaatiot elävät silti edelleen kuukausittaisten päivityssyklien varassa, mikä jättää hyökkääjille merkittävän etumatkan.
WithSecuren ratkaisu yhdistää Elements-alustan XDR- ja exposure management -toiminnot. Käytännössä tämä tarkoittaa, että päätelaitteista kerättyä käyttäytymisdataa analysoidaan jatkuvasti, ja järjestelmä etsii tilanteita, joissa järjestelmä voisi olla hyödynnettävissä – vaikka varsinaista haavoittuvuutta ei vielä tunnettaisi.
Keskeinen uusi termi on “pre-zero-day”. Sen taustalla on ajatus, että hyökkäyksen estäminen ei enää voi perustua tunnettuun haavoittuvuuteen, vaan hyökkäyspolkujen sulkemiseen etukäteen. Jos korjausta ei ole saatavilla, järjestelmä voi esimerkiksi eristää laitteen, pakottaa tunnusten vaihdon tai käynnistää automaattisen torjunnan.
Toinen keskeinen osa on ohjelmistoinventaario, joka rakentaa reaaliaikaisen kuvan organisaation ohjelmistopinnasta ja tunnistaa riskialttiit sovellukset. Tämä tieto syötetään suoraan altistumanhallintaan, jolloin riskit voidaan priorisoida ilman manuaalista kartoitusta.
WithSecure korostaa myös ratkaisun sopivuutta erityisesti palveluntarjoajille (MSP), joille automaatio on keskeinen keino hallita kasvavaa uhkaympäristöä ilman vastaavaa resurssien lisäystä.
Kun hyökkäykset käynnistyvät tunneissa ja korjaukset viiveellä, reaktiivinen tietoturva ei enää riitä. Kysymys ei ole enää siitä, kuinka nopeasti uhkiin reagoidaan vaan siitä, pystytäänkö ne estämään ennen kuin ne ehtivät alkaa.
