Machine learning biedt grote potentie voor beveiliging

iStock-667849954_screens_pe

Machine learning (ML) en artificial intelligence (AI) zijn de buzzwords van dit moment in de IT. Dat geldt ook op het gebied van security, waar teams een dringende behoefte hebben aan meer geautomatiseerde methoden voor het detecteren van bedreigingen en kwaadaardig gebruikersgedrag. Deze teams worden namelijk vaak overspoeld met meldingen, omdat de meeste detectiemethoden nog gebaseerd zijn op handmatig onderzoek. ML en AI kunnen eraan bijdragen dat securityteams het gemakkelijker krijgen.

Definities

Wat verstaan we eigenlijk onder AI, ML en de bijbehorende data-science? AI is een technologie die een computer iets laat doen wat normaal gesproken door een mens wordt gedaan en wat intelligentie, analyse en besluitvorming vereist. ML is een technologie die zorgt dat een computer iets kan leren op basis van eerdere ervaringen. Dat gebeurt aan de hand van algoritmes. ML leidt op die manier tot AI. Beide technologieën vallen onder het vakgebied van data-science: de discipline om concrete, praktische informatie uit data te halen.

Rol van AI en ML in security

Security-teams komen in hun dagelijkse werk grote aantallen false positives en false negatives tegen.

Zij worden tegenwoordig dusdanig overspoeld met alerts dat de wal het schip keert. Teams kunnen inmiddels niet meer snel genoeg werken om alle meldingen bij te houden. Machine learning kan hier uitkomst bieden, doordat het bepaalde typen patronen sneller kan detecteren dan de mens. Bovendien hoeft een computer niet vooraf geprogrammeerd te zijn om alle patronen te kennen.

Met ML ‘leert’ het systeem verdachte patronen te herkennen.

Geen ei van Columbus

AI en ML worden vaak gepresenteerd als het ei van Columbus voor de securitybranche. Maar zover is het nog niet. Het zal nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten.

Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcard­transactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is deels al geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig geautomatiseerd kunnen afhandelen.

Hoewel ze geen ei van Columbus zijn, bieden AI en ML op termijn wel enorme kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Om te beginnen kunnen SOC’s in de toekomst beter inspelen op het tekort aan medewerkers, dat in de toekomst alleen nog maar nijpender wordt door het toenemend belang van technologie. De verwachting is dat het aantal incidenten zoveel toeneemt, dat handmatige verwerking absoluut geen optie is. ML en AI zullen het grote aantal incidenten sneller, effectiever, efficiënter en accurater kunnen aanpakken. Verder zal ML een rol van betekenis kunnen spelen bij zaken zoals:

Dreigingsvoorspelling en -detectie: Met ML zijn afwijkingen in verkeer en gebruikersgedrag te detecteren en te analyseren en de activiteit om opkomende bedreigingen te herkennen, zodat aanvallen tegen­gehouden kunnen worden.

Risicobeheer: ML is goed inzetbaar voor het monitoren van IT-assets, configuraties, netwerkverbindingen en andere infrastructuurelementen. Zo is kwetsbaarheidsinformatie te generen en te gebruiken.

Dreigingsreactie en herstel: Na detectie van een incident zijn de juiste reacties en herstel nodig. Met ML is een goede beoordeling en analyse van de incidenten mogelijk om daarna de volgende stappen te nemen die zorgen voor herstel, zonder schade aan de bedrijfsvoering.

Forensisch onderzoek: Elke aanval levert nieuwe forensische informatie op, die te gebruiken is om nieuwe aanvallen te identificeren en af te slaan.

De inzet van User and Entity Behavior Analytics (UEBA): Met deze technologie wordt het gedrag van gebruikers en apparaten (entities) in een IT-omgeving gemonitord en geanaly­seerd. LogRythm-image-62-of-89-1-240x300 Dat gebeurt al met behulp van een vorm van ML. Tot nu toe is daarbij nog de noodzakelijke beveiligingscontext nodig om inzicht te verschaffen in de betekenis van een afwijking. Machine learning zal UEBA op termijn aanzienlijk effectiever kunnen maken, doordat het kan omgaan met hoge datavolumes, waarna het ‘gekwalificeerde’ bedreigingen goed kan identificeren. Het zal vooral beter mogelijk zijn om moeilijk te traceren bedreigingen, zoals insider threats of het heimelijk gebruik van privileged accounts, te detecteren.

ML en AI zijn veelbelovende technologieën voor de securityfunctie van een organisatie, omdat ze inspelen op de twee grootste uitdagingen van de toekomst: een gebrek aan gekwalificeerde medewerkers en een sterke toename van bedreigingen. Daarom horen ze op de agenda van iedere organisatie.

Andrew Hollister is Sr. Technical Director EMEA bij LogRhythm

Lees ook
G DATA DeepRay levert een doorbraak in de strijd tegen cybercriminaliteit met behulp van Artificial Intelligence 

G DATA DeepRay levert een doorbraak in de strijd tegen cybercriminaliteit met behulp van Artificial Intelligence 

G DATA lanceert een nieuwe technologie die automatisch kwaadaardige codes kan detecteren. DeepRay is het resultaat van jarenlang onderzoek en brengt de detectie van dreigingen naar een nieuw niveau met behulp van Artificial Intelligence. De technologie is gebaseerd op een zelflerend systeem, die gecamoufleerde malware rechtstreeks op de computer van...

‘Meeste IT-beslissers zien Artificial Intelligence als silver bullet tegen cybersecurity-uitdagingen’

‘Meeste IT-beslissers zien Artificial Intelligence als silver bullet tegen cybersecurity-uitdagingen’

Een ruime meerderheid van de IT-beslissers gelooft dat Artificial Intelligence (AI) en het afgeleide machine learning (ML) een cruciale rol gaan spelen bij het oplossen van allerhande cybersecurityvraagstukken. In een onderzoek van IT-beveiliger ESET onder 900 IT-beslissers betitelt 75 procent deze technologieën als silver bullet in de strijd tegen...

Opkomst van robots levert voordelen én dreigingen op

Opkomst van robots levert voordelen én dreigingen op

Chatbots, autonome voertuigen en onderling verbonden machines in digitale fabrieken geven een voorproefje van hoe de toekomst eruit zal zien. De uitgebreide implementatie van Artificial Intelligence toepassingen biedt veel voordelen voor bedrijven zoals een verhoogde efficiëntie, minder repetitieve taken en betere klantervaringen. In verkeerde handen...