Machine learning biedt grote potentie voor beveiliging

iStock-667849954_screens_pe

Machine learning (ML) en artificial intelligence (AI) zijn de buzzwords van dit moment in de IT. Dat geldt ook op het gebied van security, waar teams een dringende behoefte hebben aan meer geautomatiseerde methoden voor het detecteren van bedreigingen en kwaadaardig gebruikersgedrag. Deze teams worden namelijk vaak overspoeld met meldingen, omdat de meeste detectiemethoden nog gebaseerd zijn op handmatig onderzoek. ML en AI kunnen eraan bijdragen dat securityteams het gemakkelijker krijgen.

Definities

Wat verstaan we eigenlijk onder AI, ML en de bijbehorende data-science? AI is een technologie die een computer iets laat doen wat normaal gesproken door een mens wordt gedaan en wat intelligentie, analyse en besluitvorming vereist. ML is een technologie die zorgt dat een computer iets kan leren op basis van eerdere ervaringen. Dat gebeurt aan de hand van algoritmes. ML leidt op die manier tot AI. Beide technologieën vallen onder het vakgebied van data-science: de discipline om concrete, praktische informatie uit data te halen.

Rol van AI en ML in security

Security-teams komen in hun dagelijkse werk grote aantallen false positives en false negatives tegen.

Zij worden tegenwoordig dusdanig overspoeld met alerts dat de wal het schip keert. Teams kunnen inmiddels niet meer snel genoeg werken om alle meldingen bij te houden. Machine learning kan hier uitkomst bieden, doordat het bepaalde typen patronen sneller kan detecteren dan de mens. Bovendien hoeft een computer niet vooraf geprogrammeerd te zijn om alle patronen te kennen.

Met ML ‘leert’ het systeem verdachte patronen te herkennen.

Geen ei van Columbus

AI en ML worden vaak gepresenteerd als het ei van Columbus voor de securitybranche. Maar zover is het nog niet. Het zal nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten.

Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcard­transactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is deels al geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig geautomatiseerd kunnen afhandelen.

Hoewel ze geen ei van Columbus zijn, bieden AI en ML op termijn wel enorme kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Om te beginnen kunnen SOC’s in de toekomst beter inspelen op het tekort aan medewerkers, dat in de toekomst alleen nog maar nijpender wordt door het toenemend belang van technologie. De verwachting is dat het aantal incidenten zoveel toeneemt, dat handmatige verwerking absoluut geen optie is. ML en AI zullen het grote aantal incidenten sneller, effectiever, efficiënter en accurater kunnen aanpakken. Verder zal ML een rol van betekenis kunnen spelen bij zaken zoals:

Dreigingsvoorspelling en -detectie: Met ML zijn afwijkingen in verkeer en gebruikersgedrag te detecteren en te analyseren en de activiteit om opkomende bedreigingen te herkennen, zodat aanvallen tegen­gehouden kunnen worden.

Risicobeheer: ML is goed inzetbaar voor het monitoren van IT-assets, configuraties, netwerkverbindingen en andere infrastructuurelementen. Zo is kwetsbaarheidsinformatie te generen en te gebruiken.

Dreigingsreactie en herstel: Na detectie van een incident zijn de juiste reacties en herstel nodig. Met ML is een goede beoordeling en analyse van de incidenten mogelijk om daarna de volgende stappen te nemen die zorgen voor herstel, zonder schade aan de bedrijfsvoering.

Forensisch onderzoek: Elke aanval levert nieuwe forensische informatie op, die te gebruiken is om nieuwe aanvallen te identificeren en af te slaan.

De inzet van User and Entity Behavior Analytics (UEBA): Met deze technologie wordt het gedrag van gebruikers en apparaten (entities) in een IT-omgeving gemonitord en geanaly­seerd. LogRythm-image-62-of-89-1-240x300 Dat gebeurt al met behulp van een vorm van ML. Tot nu toe is daarbij nog de noodzakelijke beveiligingscontext nodig om inzicht te verschaffen in de betekenis van een afwijking. Machine learning zal UEBA op termijn aanzienlijk effectiever kunnen maken, doordat het kan omgaan met hoge datavolumes, waarna het ‘gekwalificeerde’ bedreigingen goed kan identificeren. Het zal vooral beter mogelijk zijn om moeilijk te traceren bedreigingen, zoals insider threats of het heimelijk gebruik van privileged accounts, te detecteren.

ML en AI zijn veelbelovende technologieën voor de securityfunctie van een organisatie, omdat ze inspelen op de twee grootste uitdagingen van de toekomst: een gebrek aan gekwalificeerde medewerkers en een sterke toename van bedreigingen. Daarom horen ze op de agenda van iedere organisatie.

Andrew Hollister is Sr. Technical Director EMEA bij LogRhythm

Meer over
Lees ook
Vijf manieren waarop AI en Machine Learning kunnen helpen bij fraudebestrijding

Vijf manieren waarop AI en Machine Learning kunnen helpen bij fraudebestrijding

Het zijn vandaag twee van de populairste begrippen: artificiële intelligentie (AI) en machine learning. Dat is niet verwonderlijk: beide concepten zorgen immers voor een omwenteling in zowat alle bedrijfstakken en disciplines. AI en machine learning helpen bedrijven om interne processen te stroomlijnen en zo efficiënter te werken, kunnen enorme hoeveelheden...

’AI moet zijn werk kunnen verklaren en verantwoorden’

’AI moet zijn werk kunnen verklaren en verantwoorden’

Artificial Intelligence (AI) wordt – met dank aan Hollywood - door veel mensen geassocieerd met robots die de wereld willen overnemen. Daar is in elk geval op dit moment nog absoluut geen sprake van, meent de Canadese computerwetenschapper Yoshua Bengio, specialist op het gebied van neurale netwerken en deep learning. Maar het is wel degelijk belangrijk...

AI schiet security-teams te hulp

AI schiet security-teams te hulp

Eindelijk komt er hulp voor de vaak zwaar overbelaste security-teams van bedrijven en overheidsinstellingen. Voelde hun werk tot nu toe vaak aan als dweilen met de kraan open, dankzij innovatieve AI-technieken kunnen zij eindelijk weer effectief optreden tegen cybercriminelen. We weten het inmiddels allemaal: het handmatig blijven beveiligen van een...