Machine learning biedt grote potentie voor beveiliging
Machine learning (ML) en artificial intelligence (AI) zijn de buzzwords van dit moment in de IT. Dat geldt ook op het gebied van security, waar teams een dringende behoefte hebben aan meer geautomatiseerde methoden voor het detecteren van bedreigingen en kwaadaardig gebruikersgedrag. Deze teams worden namelijk vaak overspoeld met meldingen, omdat de meeste detectiemethoden nog gebaseerd zijn op handmatig onderzoek. ML en AI kunnen eraan bijdragen dat securityteams het gemakkelijker krijgen.
Definities
Wat verstaan we eigenlijk onder AI, ML en de bijbehorende data-science? AI is een technologie die een computer iets laat doen wat normaal gesproken door een mens wordt gedaan en wat intelligentie, analyse en besluitvorming vereist. ML is een technologie die zorgt dat een computer iets kan leren op basis van eerdere ervaringen. Dat gebeurt aan de hand van algoritmes. ML leidt op die manier tot AI. Beide technologieën vallen onder het vakgebied van data-science: de discipline om concrete, praktische informatie uit data te halen.
Rol van AI en ML in security
Security-teams komen in hun dagelijkse werk grote aantallen false positives en false negatives tegen.
Zij worden tegenwoordig dusdanig overspoeld met alerts dat de wal het schip keert. Teams kunnen inmiddels niet meer snel genoeg werken om alle meldingen bij te houden. Machine learning kan hier uitkomst bieden, doordat het bepaalde typen patronen sneller kan detecteren dan de mens. Bovendien hoeft een computer niet vooraf geprogrammeerd te zijn om alle patronen te kennen.
Met ML ‘leert’ het systeem verdachte patronen te herkennen.
Geen ei van Columbus
AI en ML worden vaak gepresenteerd als het ei van Columbus voor de securitybranche. Maar zover is het nog niet. Het zal nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten.
Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcardtransactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is deels al geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig geautomatiseerd kunnen afhandelen.
Hoewel ze geen ei van Columbus zijn, bieden AI en ML op termijn wel enorme kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Om te beginnen kunnen SOC’s in de toekomst beter inspelen op het tekort aan medewerkers, dat in de toekomst alleen nog maar nijpender wordt door het toenemend belang van technologie. De verwachting is dat het aantal incidenten zoveel toeneemt, dat handmatige verwerking absoluut geen optie is. ML en AI zullen het grote aantal incidenten sneller, effectiever, efficiënter en accurater kunnen aanpakken. Verder zal ML een rol van betekenis kunnen spelen bij zaken zoals:
Dreigingsvoorspelling en -detectie: Met ML zijn afwijkingen in verkeer en gebruikersgedrag te detecteren en te analyseren en de activiteit om opkomende bedreigingen te herkennen, zodat aanvallen tegengehouden kunnen worden.
Risicobeheer: ML is goed inzetbaar voor het monitoren van IT-assets, configuraties, netwerkverbindingen en andere infrastructuurelementen. Zo is kwetsbaarheidsinformatie te generen en te gebruiken.
Dreigingsreactie en herstel: Na detectie van een incident zijn de juiste reacties en herstel nodig. Met ML is een goede beoordeling en analyse van de incidenten mogelijk om daarna de volgende stappen te nemen die zorgen voor herstel, zonder schade aan de bedrijfsvoering.
Forensisch onderzoek: Elke aanval levert nieuwe forensische informatie op, die te gebruiken is om nieuwe aanvallen te identificeren en af te slaan.
De inzet van User and Entity Behavior Analytics (UEBA): Met deze technologie wordt het gedrag van gebruikers en apparaten (entities) in een IT-omgeving gemonitord en geanalyseerd. 
Dat gebeurt al met behulp van een vorm van ML. Tot nu toe is daarbij nog de noodzakelijke beveiligingscontext nodig om inzicht te verschaffen in de betekenis van een afwijking. Machine learning zal UEBA op termijn aanzienlijk effectiever kunnen maken, doordat het kan omgaan met hoge datavolumes, waarna het ‘gekwalificeerde’ bedreigingen goed kan identificeren. Het zal vooral beter mogelijk zijn om moeilijk te traceren bedreigingen, zoals insider threats of het heimelijk gebruik van privileged accounts, te detecteren.
ML en AI zijn veelbelovende technologieën voor de securityfunctie van een organisatie, omdat ze inspelen op de twee grootste uitdagingen van de toekomst: een gebrek aan gekwalificeerde medewerkers en een sterke toename van bedreigingen. Daarom horen ze op de agenda van iedere organisatie.
Andrew Hollister is Sr. Technical Director EMEA bij LogRhythm
Meer over
Lees ook
AI bestrijden met AI
Het aantal bedrijven dat kunstmatige intelligentie (AI) toepast, is volgens Gartner sinds 2015 met meer dan 270% gestegen. Deze technologie biedt mogelijkheden om de huidige uitdagingen voor de economie, maatschappij en veiligheid aan te pakken. Maar het biedt ook mogelijkheden voor cyberaanvallers die het aanvalsoppervlak van hun doelwitten zien1
Cyberbedreigingen komen in 2023 van nieuwe kanten
Bedrijfsleiders gaan nadenken over wat 2023 hen zal brengen. Cyberbeveiliging is als gevolg van onder andere de populariteit van thuiswerken, de digitale transformatie en politieke onrust het afgelopen jaar steeds belangrijker geworden. Deze trend zet zich ook in 2023 voort. In een markt die zo snel verandert als deze, is het essentieel om risico’1
Nieuwe versie van i-PRO Active Guard maakt van VMS een krachtige zoekmachine voor realtime alarmmeldingen en zoekacties achteraf
i-PRO Co., Ltd., wereldleider op het gebied van professionele beveiligingsapparatuur voor bewaking en openbare veiligheid, heeft onlangs de nieuwste versie van zijn Active Guard plug-in aangekondigd. De op AI gebaseerde plug-in kan videomanagementsystemen (VMS) veranderen in krachtige zoekmachines die realtime zoekopdrachten of diepe forensische a1