Machine learning biedt grote potentie voor beveiliging

Machine learning (ML) en artificial intelligence (AI) zijn de buzzwords van dit moment in de IT. Dat geldt ook op het gebied van security, waar teams een dringende behoefte hebben aan meer geautomatiseerde methoden voor het detecteren van bedreigingen en kwaadaardig gebruikersgedrag. Deze teams worden namelijk vaak overspoeld met meldingen, omdat de meeste detectiemethoden nog gebaseerd zijn op handmatig onderzoek. ML en AI kunnen eraan bijdragen dat securityteams het gemakkelijker krijgen.

Definities

Wat verstaan we eigenlijk onder AI, ML en de bijbehorende data-science? AI is een technologie die een computer iets laat doen wat normaal gesproken door een mens wordt gedaan en wat intelligentie, analyse en besluitvorming vereist. ML is een technologie die zorgt dat een computer iets kan leren op basis van eerdere ervaringen. Dat gebeurt aan de hand van algoritmes. ML leidt op die manier tot AI. Beide technologieën vallen onder het vakgebied van data-science: de discipline om concrete, praktische informatie uit data te halen.

Rol van AI en ML in security

Security-teams komen in hun dagelijkse werk grote aantallen false positives en false negatives tegen.
Zij worden tegenwoordig dusdanig overspoeld met alerts dat de wal het schip keert. Teams kunnen inmiddels niet meer snel genoeg werken om alle meldingen bij te houden. Machine learning kan hier uitkomst bieden, doordat het bepaalde typen patronen sneller kan detecteren dan de mens. Bovendien hoeft een computer niet vooraf geprogrammeerd te zijn om alle patronen te kennen.
Met ML ‘leert’ het systeem verdachte patronen te herkennen.

Geen ei van Columbus

AI en ML worden vaak gepresenteerd als het ei van Columbus voor de securitybranche. Maar zover is het nog niet. Het zal nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten.
Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcard­transactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is deels al geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig geautomatiseerd kunnen afhandelen.

Hoewel ze geen ei van Columbus zijn, bieden AI en ML op termijn wel enorme kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Om te beginnen kunnen SOC’s in de toekomst beter inspelen op het tekort aan medewerkers, dat in de toekomst alleen nog maar nijpender wordt door het toenemend belang van technologie. De verwachting is dat het aantal incidenten zoveel toeneemt, dat handmatige verwerking absoluut geen optie is. ML en AI zullen het grote aantal incidenten sneller, effectiever, efficiënter en accurater kunnen aanpakken. Verder zal ML een rol van betekenis kunnen spelen bij zaken zoals:

Dreigingsvoorspelling en -detectie: Met ML zijn afwijkingen in verkeer en gebruikersgedrag te detecteren en te analyseren en de activiteit om opkomende bedreigingen te herkennen, zodat aanvallen tegen­gehouden kunnen worden.

Risicobeheer: ML is goed inzetbaar voor het monitoren van IT-assets, configuraties, netwerkverbindingen en andere infrastructuurelementen. Zo is kwetsbaarheidsinformatie te generen en te gebruiken.

Dreigingsreactie en herstel: Na detectie van een incident zijn de juiste reacties en herstel nodig. Met ML is een goede beoordeling en analyse van de incidenten mogelijk om daarna de volgende stappen te nemen die zorgen voor herstel, zonder schade aan de bedrijfsvoering.

Forensisch onderzoek: Elke aanval levert nieuwe forensische informatie op, die te gebruiken is om nieuwe aanvallen te identificeren en af te slaan.

De inzet van User and Entity Behavior Analytics (UEBA): Met deze technologie wordt het gedrag van gebruikers en apparaten (entities) in een IT-omgeving gemonitord en geanaly­seerd. Dat gebeurt al met behulp van een vorm van ML. Tot nu toe is daarbij nog de noodzakelijke beveiligingscontext nodig om inzicht te verschaffen in de betekenis van een afwijking. Machine learning zal UEBA op termijn aanzienlijk effectiever kunnen maken, doordat het kan omgaan met hoge datavolumes, waarna het ‘gekwalificeerde’ bedreigingen goed kan identificeren. Het zal vooral beter mogelijk zijn om moeilijk te traceren bedreigingen, zoals insider threats of het heimelijk gebruik van privileged accounts, te detecteren.

ML en AI zijn veelbelovende technologieën voor de securityfunctie van een organisatie, omdat ze inspelen op de twee grootste uitdagingen van de toekomst: een gebrek aan gekwalificeerde medewerkers en een sterke toename van bedreigingen. Daarom horen ze op de agenda van iedere organisatie.

Andrew Hollister is Sr. Technical Director EMEA bij LogRhythm