AI, machine learning en automatisering: wapens tegen cybercriminaliteit

Laurence

Laurence Pitt is security strategist bij Juniper Networks

We leven in een wereld waarin allerhande onderdelen van ons dagelijkse leven worden geautomatiseerd. Eerst werden huishoudelijke apparaten ‘smart’ gemaakt, en binnenkort worden we door onze zelfrijdende auto naar het werk vervoerd. Het is een hele opgave om iets te vinden dat zich niet voor automatisering leent.

In het bedrijfsleven is automatisering al helemaal gemeengoed geworden. Alles is inmiddels door de digitale transformatie aangeraakt, van bedrijfsprocessen tot software-as-a-service (SaaS) en de automatisering van complexe netwerk- en cloud-omgevingen. Waarom lijkt het dan alsof cybersecurity nog altijd een fikse inhaalslag moet maken?

Cybercriminelen maken al gebruik van automatisering voor de uitvoering van succesvolle malware- en phishing-campagnes. Dit biedt hen de schaalbaarheid, snelheid en herhaalbaarheid die ze nodig hebben. Het is dan ook logisch dat we steeds vaker geavanceerde geautomatiseerde aanvallen signaleren. En dat stelt beveiligingsteams voor een groot probleem. Zij kunnen namelijk al snel overweldigd raken door routinematige taken en geestdodend onderzoek naar false positives (onterechte meldingen). Simpel gezegd zijn er niet genoeg technische en personele middelen beschikbaar om de laatste ontwikkelingen bij te kunnen benen. 

Het automatiseren van de beveiliging kan uitkomst bieden. Dit maakt het mogelijk om het aantal monotone taken terug te dringen die de waardevolle tijd van technici opslokken. Automatisering kan er tegelijkertijd voor zorgen dat al die taken accuraat worden uitgevoerd, ongeacht hun aantal of frequentie. Technici houden zo meer tijd over voor projecten van strategischer aard, terwijl de stabiliteit, veiligheid en compliance van het netwerk blijven gewaarborgd. 

Automatisering is de oplossing

Het belang van het automatiseren van de beveiliging om moderne, complexe en hardnekkige cyberbedreigingen in de kiem te smoren, kan niet genoeg worden benadrukt. Zo hebben bedrijven te maken met malware die zichzelf camoufleert om onopgemerkt te blijven, totdat het beoogde doelwit is bereikt. IBM was in staat om dit te demonstreren met zijn DeepLocker-concept. Deze malware werd ingebouwd in software voor videovergaderingen en pas geactiveerd wanneer het beoogde slachtoffer in beeld verscheen.

Het automatiseren van de beveiliging kan ook in deze gevallen uitkomst bieden. Of het nu gaat om het bewaken van het netwerk op ongebruikelijk gedrag en gegevensoverdracht of het instellen van netwerkregels, aan de mogelijkheden komt geen einde. Hier zijn een paar belangrijke aandachtspunten indien wordt overwogen om automatiseringstechnologie in te zetten: 

  • Netwerkanalisten ontvangen dagelijks honderden meldingen. In de meeste gevallen blijkt het om vals alarm te gaan. Desondanks moeten analisten alert blijven op tekenen van serieuze bedreigingen. Als deze taak wordt geautomatiseerd, wordt het aantal meldingen dat om nadere aandacht vraagt fors teruggebracht. Dit vergroot de efficiëntie van netwerkanalisten en verkleint de kans dat ze een belangrijke melding over het hoofd zien.
  • De meldingsmoeheid van analisten kan toenemen als zij monotone taken moeten uitvoeren. Elke melding kent drie mogelijke statussen: goed, slecht of onbekend. Dat betekent dat analisten steeds opnieuw dezelfde oordelen moeten vellen. En daarmee neemt de kans op fouten toe. Automatisering kan op basis van ervaringen uit het verleden regels opstellen om vast te stellen of een melding actie vereist. Zo blijven er alleen meldingen over die om nader onderzoek door een analist vragen.
  • Als een melding op een daadwerkelijk beveiligingsincident lijkt te wijzen, moet een analist handmatig onderzoek doen om na te gaan wat er is gebeurd en welke tegenmaatregelen moeten worden genomen. Zelfs de meest complexe melding vraagt echter om veel voorkomende en terugkerende maatregelen. Dit kan onder meer gaan om het in quarantaine zetten van apparaten die met malware zijn besmet, of het verwijderen van kwaadaardige bijlagen bij phishing-mails. Hoewel het automatiseren van de beveiliging nog niet kan worden ingezet voor de detectie van deze aanvallen, is het wel mogelijk om alle routinematige handelingen te automatiseren. Beveiligingsanalisten kunnen zo snel doorgaan met de volgende taak die hun aandacht vereist. 

Het automatiseren van de beveiliging kan de werklast van security operations centers (SOC’s) dus sterk verminderen. Dan rest nog de vraag hoe het zit met de twee grote technologische modekreten van dit moment: machine learning en artificial intelligence (AI). Kunnen die uitkomst bieden? 

Het is nog te vroeg om iets met zekerheid te zeggen, maar de kans is groot dat machine learning en AI belangrijke wapens voor bedrijven kunnen vertegenwoordigen in de strijd tegen cybercriminaliteit. Veel experts voorspellen zelfs dat deze technologieën de boventoon gaan voeren in de wereld van cybersecurity. Er is overduidelijk sprake van een behoefte om de mogelijkheden voor het automatiseren van de beveiliging te verbeteren. Dit is nodig voor transparantere analyses, het herkennen van kwaadaardig gedrag en verdachte patronen en het oplossen van beveiligingsvraagstukken. AI en machine learning kunnen daarbij belangrijke steunpilaren vormen door de noodzaak van menselijke tussenkomst te reduceren en bij te dragen aan snellere, consistentere en accuratere IT-beveiliging. 

Effectieve, datagestuurde incidentrespons

Traditionele cybersecurity maakt gebruik van data van beveiligingsoplossingen voor het inrichten van krachtige verdedigingsmechanismen. Machine learning zet data in na te gaan op welke punten cyberbedreigingen het netwerk zouden kunnen binnendringen. Door de data van beveiligingsoplossingen uit te breiden met data van switches en routers kan de bedrijfsbrede beveiliging verder worden verbeterd. Als er van de rand tot de kern van het netwerk beveiligingsfunctionaliteit wordt ingebouwd, kan het aantal cyberbedreigingen die het op waardevolle data en endpoints hebben gemunt sterk worden teruggedrongen. 

Het volledige potentieel van AI en machine learning voor cybersecurity moet nog worden benut. Dat betekent echter niet dat organisaties voorbij moeten gaan aan de mogelijkheden die zij bieden om de effectiviteit van beveiligingsteams te vergroten en bedrijfsbrede beveiliging een boost te geven.