AI en ML nog niet de ‘silver bullet’ voor security

Rob_Pronk_062016

Rob Pronk is  Regional Director Northern Europe LogRhythm

Artificial intelligence en machine learning staan volop in de belangstelling. Ze spelen een steeds belangrijkere rol op allerlei terreinen en zorgen voor zelfrijdende auto's, slimme medische systemen en vergaand geautomatiseerde productie-omgevingen. Logischerwijs kijkt ook de security-branche naar AI en ML, al was het alleen maar omdat de sector enerzijds te maken heeft met een consequente toename van bedreigingen en anderzijds met een enorm tekort aan expertise. AI en ML hebben de belofte in zich om die twee problemen op te lossen.

HAL

Maar zover is het nu nog niet. In 1968 publiceerde Arthur Clark zijn verfilmde boek 2001 A Space Odyssey, waarin HAL, een supercomputer, een prominente rol speelde. Clark voorzag een 2001, waarin AI gemeengoed zou zijn en we alle hoeken van het universum zouden hebben onderzocht. De ruimte is sinds 1968 stukken beter in beeld gebracht, maar er valt nog veel te onderzoeken. En AI is dit jaar pas echt doorgebroken als veelbelovende technologie voor allerlei toepassingen. Dat is dus zeventien jaar later dan Clark had gedacht.

Definities

De hype rond AI zorgt onder meer voor begripsverwarring. AI, ML, deep learning en data science worden vaak door elkaar heen gebruikt, terwijl het toch verschillende begrippen zijn. AI richt zich op het creëren van een kunstmatige actie die een vorm van intelligentie laat zien. Machine learning is onderdeel van AI, dat zich bezighoudt met de ontwikkeling van algoritmes en technieken waarmee computers kunnen leren. Deep learning (DL) is een ML-methode en richt zich op het bouwen van ingewikkelde neurale netwerken. Data science tot slot richt zich op het extraheren van informatie uit data. 

Leren van patronen

De belangstelling voor deze technologieën onder security-experts is begrijpelijk als we bedenken dat de cyberbedreigingen in aantallen, maar vooral ook in geavanceerdheid toenemen. Een rules-based benadering is niet langer voldoende. Op dit moment is ML nog vooral nuttig voor het leren van patronen van normale activiteiten en het herkennen van afwijkingen daarop. Gezien het volume aan events in moderne systemen liggen hier belangrijke kansen.

Beperkingen

Maar er zijn ook beperkingen. Zo is AI nog te weinig in staat om de context van een incident te bepalen. AI kan bijvoorbeeld goed vaststellen dat een gebruiker atypisch gedrag vertoont. Maar niet ieder atypisch gedrag is per se een veiligheidsrisico. Een gebruiker die zich voor de allereerste keer aanmeldt bij een server is volgens AI een anomalie, maar het kan dan heel goed gaan om een nieuwe medewerker die alle recht heeft om zich aan te melden.

End-to-end

Bovendien zal het nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten. Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcardtransactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is al deels geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig zonder menselijke tussenkomst kunnen afhandelen.

Hoewel ze dus nog geen silver bullets zijn, bieden AI en ML wel tal van kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Zoals eerder al gezegd, kunnen organisaties beter inspelen op het tekort aan medewerkers en op de snelle toename van incidenten, waardoor handmatige verwerking absoluut geen optie is. Verder zal ML een rol van betekenis kunnen spelen bij zaken als dreigingsvoorspelling en -detectie, risicobeheer, dreigingsreactie en herstel en forensisch onderzoek. Het zal uiteindelijk gaan om de mate waarin experts erin slagen de juiste algoritmes te definiëren. Nu dat proces ook steeds meer geautomatiseerd kan worden, verlopen deze ontwikkelingen sneller dan ooit.