Door Matt Kraning, CTO, Cortex
Kunstmatige intelligentie (AI) en machine learning (ML) zijn termen die tegenwoordig overal in het IT-beveiligingslandschap te horen zijn, aangezien zowel organisaties als aanvallers deze vooruitgang proberen te benutten om hun doelen te bereiken. Voor de slechteriken gaat het om het afbreken van verdedigingen en het sneller vinden van kwetsbaarheden. Maar welke waarde kunnen AI en ML bieden als u werkt aan het beveiligen van een organisatie?
Het zou geweldig zijn om te zeggen dat deze technologieën een doel op zich zijn voor uw cyberbeveiliging en dat alleen al door ze te gebruiken uw organisatie volledig wordt beschermd. Maar zo eenvoudig is het niet. Niet alle toepassingen van AI en ML zijn gelijk. En – spoiler alert – het gaat niet alleen om het gebruik van de nieuwste algoritmen.
Om de uitdagingen en snelheid van het huidige bedreigingslandschap het hoofd te bieden, zijn AI en ML essentiële onderdelen van een holistische beveiligingsoplossing en moeten ze gericht zijn op het uiteindelijke resultaat van het voorkomen van elk type aanval dat je kunt en zo snel mogelijk reageren op de die je niet kunt.
AI alleen is geen antwoord
Kunstmatige intelligentie zelf is geen onderscheidende factor voor beveiliging. In feite zijn er tegenwoordig veel verschillende AI-frameworks en -modellen die algemeen worden gebruikt. Over het algemeen komen die frameworks uit de academische wereld en zijn open-source, openbare implementaties die voor iedereen beschikbaar zijn. Het is dus niet het AI-framework dat het verschil maakt. Wat zich onderscheidt, is hoe de AI wordt gebruikt en welke gegevens beschikbaar zijn voor AI om van te leren.
Wat maakt AI beter en slimmer voor cybersecurity?
Ongeacht het doel, AI die leert hoe te handelen via machine learning, heeft hoogwaardige gegevens en zoveel mogelijk gegevens nodig om effectief te zijn. Door die overvloed aan goede data krijgt AI inzicht in mogelijke scenario’s. Hoe meer real-world data het verwerft, hoe slimmer het wordt en hoe meer ervaring het kan gebruiken.
Denk hier dus over na door de lens van cyberbeveiliging. Leren van slechts één implementatie of bedreigingsvector is niet genoeg. Wat nodig is, is een oplossing die leert van alle implementaties en een tool die gebruikmaakt van informatie van al zijn gebruikers, niet slechts van één enkele organisatie. Hoe groter de pool van omgevingen en gebruikers, hoe slimmer de AI. Daarvoor heb je ook een systeem nodig dat zowel grote volumes als verschillende soorten data aankan.
AI gaat over meer dan alleen wiskunde doen met een computer. Hoewel data een cruciaal onderdeel is voor AI om effectief te zijn, moeten de AI en ML zelf ook worden ingebakken in operationele processen. AI en ML moeten niet worden gezien als op zichzelf staande technologieën, maar eerder als ondersteunende technologieën die waarde toevoegen aan beveiligingsprocessen en -operaties.
De meest succesvolle AI-technieken zijn degene die grootschalige statistische patroonovereenkomst van ML combineren om te leren, samen met andere technieken die zaken als domeinkennis integreren om een hybride systeem te bieden. Statistische technieken die uitsluitend zijn afgeleid van ML, zijn over het algemeen niet in staat om zich aan te passen aan nieuw ontwikkelde, voorheen ongeziene bedreigingen waaraan per definitie weinig tot geen basisstatistieken zijn gekoppeld. Evenzo kan domeinexpertise worden gebruikt om logica te creëren (vaak gedeeltelijk afgeleid van grootschalige gegevensanalyse) die specifieke tactieken en technieken van aanvallers effectief voorkomt en detecteert.
Het aggregeren van deze inzichten met behulp van expertsystemen resulteert echter in onevenwichtige en scheve foutenpercentages bij implementaties. Wat nodig is, is een AI-systeem dat statistische inzichten van ML gebruikt, samen met domeingestuurde inzichten uit andere delen van het systeem die kunnen worden gegeneraliseerd naar nieuwe aanvallen, terwijl consistente en lage foutenpercentages voor iedereen behouden blijven.
De waarde die AI en ML echt bieden voor cyberbeveiliging
Op een fundamenteel niveau zorgt het goed gebruiken van AI en ML in de beveiliging van uw organisatie ervoor dat teams van het Security Operations Center (SOC) veel effectiever kunnen doen, met minder mensen. Het is een vermenigvuldigende factor die de capaciteit van een organisatie versterkt en de vaardigheden van analisten in staat stelt om het juiste werk te doen om hun ervaring te benutten.
Een veelvoorkomende use case voor AI en ML in beveiliging is om een basislijn van normale operaties vast te stellen en vervolgens een team te waarschuwen voor mogelijke afwijkingen. AI en ML kunnen ook worden gebruikt om de operationele effectiviteit te verbeteren door de meer alledaagse taken te identificeren die mensen voortdurend uitvoeren. De technologie kan automatiserings-playbooks maken of voorstellen die tijd en middelen besparen.
AI en ML helpen ook bij het informeren en stimuleren van automatisering, wat de sleutel is tot schaalbaarheid in omgevingen waar personeel en middelen altijd beperkt zijn. Elke SOC moet tegenwoordig meer bedreigingen aanpakken die geavanceerder zijn, met minder mensen. Uiteindelijk is het doel van AI en ML om te helpen een goed beveiligingsresultaat te bieden op een manier die specifiek snel gebruik maakt van zeer schaarse middelen.
Hoe AI en ML de beveiligingsresultaten kunnen verbeteren
Bij beveiligingsoperaties is er nooit slechts één probleem dat moet worden opgelost, maar eerder een reeks problemen die vaak gepaard gaan. Met AI en ML die helpen de automatisering te verbeteren en handmatige processen bij beveiligingsactiviteiten te verwijderen, kan het mogelijk zijn om te voorkomen dat meer risico’s beveiligingsincidenten worden. Voorkom je meer risico’s, dan kan de organisatie effectiever reageren, omdat er minder daadwerkelijk wordt gereageerd op beveiligingsincidenten.
AI en ML bieden u het voordeel van focus en de kracht om mee te groeien met het bedreigingslandschap door dezelfde tools als de aanvallers te gebruiken, waardoor de algehele beveiligingshouding van uw organisatie wordt versterkt.
Bezoek ons hier voor meer informatie.
Over Matt Kraning
Matt Kraning is de CTO van Cortex bij Palo Alto Networks. Hij is een expert in grootschalige optimalisatie, gedistribueerde detectie en algoritmen voor machine learning die op massaal parallelle systemen draaien. Voordat hij Expanse mede oprichtte, werkte Matt voor DARPA, waaronder een uitzending naar Afghanistan. Matt heeft een doctoraat en master in elektrotechniek en een bachelor in natuurkunde, allemaal van Stanford University.
