technologie
Hier bij Kaspersky analyseren we regelmatig nieuwe technologieën en zijn we constant op zoek naar manieren om die op het gebied van cybersecurity in te zetten. Ontologie is momenteel wellicht geen erg populaire aanpak, maar het kan tal van processen behoorlijk versneller en vereenvoudigen. Ik geloof dat het slechts een kwestie van tijd is voor het gebruik van ontologie binnen cybersecurity echt aanslaat.
Wat is een ontologie binnen informatiesystemen?
In de informatiewetenschap is een ontologie een systematische beschrijving van alle termen in een specifiek vakgebied, hun kenmerken of attributen, en hun relaties. De Marvel Comics Universe-ontologie omvat bijvoorbeeld de namen en attributen (superkrachten, wapens, zwakke plekken) van alle superhelden, hun krachtniveaus enzovoorts. Een ontologie kan van alles beschrijven, van wijnen tot elektriciteitsnetten.
Met het gebruik van een tal zoals OWL, Web Ontology Language is het mogelijk om tools te ontwikkelen, ontologieën te analyseren en verborgen verbanden en ontbrekende of obscure details te identificeren. Het analyseren van de ontologie van het Marvel-universum kan bijvoorbeeld helpen bij het bepalen van het beste team van superhelden met de meest doelmatige manier om een schurk te verslaan.
Hiervoor en voor vergelijkbare taken, zouden we bijvoorbeeld het Protégé-platform kunnen gebruiken. Deze software werd ontwikkeld aan de Stanford University om biomedische gegevens te analyseren, maar is nu een gratis, open-source ontologie-editor en raamwerk voor het bouwen van intelligente systemen om kennis uit elk domein te beheren.
Ontologieën vs. machine learning
De tools voor het werken met ontologieën hebben veel gemeen met machine-learning algoritmes, maar er is één belangrijk verschil: machine-learning modellen voorspellen, en ontologische tools leiden af.
Machine-learning modellen analyseren grote reeksen gegevens en gebruiken die om voorspellingen te doen over nieuwe objecten. Een machine-learning model kan bijvoorbeeld 100 schadelijke e-mails bekijken en de specifieke kenmerken die ze met elkaar gemeen hebben uitlichten. Als het model diezelfde kenmerken vervolgens in een nieuwe e-mail herkent, kan het bepalen dat dit nieuwe bericht dus ook schadelijk is.
Een ontologie speelt ook een rol bij de analyse van gegevens, maar in plaats van te leiden tot voorspellingen, wijst het op informatie die logisch voortvloeit uit aangeleverde parameters. Een ontologie leert niet en borduurt niet voort op eerdere ervaringen om informatie te analyseren. Als we bijvoorbeeld in de ontologie aangeven dat e-mail A een phishing-e-mail is en dat alle phishing-e-mails schadelijk zijn, en vervolgens aangeven dat e-mail B een phishing-e-mail is, dan zal de ontologie concluderen dat e-mail B schadelijk is. Als we daarna e-mail C analyseren maar geen kenmerken verstrekken, zal de ontologie hier geen conclusies aan verbinden.
Ontologieën en machine learning kunnen elkaar aanvullen. Zo kunnen ontologieën machine-learning modellen bijvoorbeeld optimaliseren en versnellen. Ze maken het trainen van modellen veel gemakkelijker door logische redeneringen te simuleren en door informatie automatisch te kunnen classificeren en met elkaar in verband te brengen. En door gebruik te maken van tijdbesparende ontologische axioma’s — regels die de relatie tussen concepten beschrijven — kan het inputveld voor het machine-learning model worden verkleind, waardoor er sneller een antwoord kan worden gevonden.
Andere toepassingen van ontologieën in cybersecurity
Ontologieën kunnen ook helpen bij het identificeren van verborgen mogelijkheden of zwakke plekken. Zo kunnen we bijvoorbeeld analyseren in hoeverre de infrastructuur van een bedrijf beschermd is tegen een specifieke cyberbedreiging, zoals ransomware. Daarvoor creëren we een ontologie van potentiële anti-ransomware-maatregelen en passen die toe op de lijst van bestaande beveiligingsmaatregelen binnen de organisatie.
Aan de hand van de ontologie kunt u dan nagaan of de infrastructuur voldoende beschermd is of dat er werk aan de winkel is. U kunt dezelfde methode gebruiken om te bepalen of een IT-beveiligingssysteem voldoet aan normen zoals IEC, NIST of andere. Dit kan ook handmatig worden gedaan, maar dat zou veel langer duren en ook nog eens duurder uitvallen.
Ontologieën maken ook het leven van IT-beveiligingsspecialisten gemakkelijker door hen in staat te stellen in dezelfde taal met elkaar te communiceren. Het gebruik van ontologieën kan de cybersecurity verbeteren door specialisten te helpen de problemen en aanvallen waarmee anderen te maken krijgen in een context te plaatsen, waardoor ze met betere beveiligingsmaatregelen kunnen komen. Dit soort informatie komt ook van pas wanneer deskundigen informatiebeveiligingsarchitecturen vanaf nul opbouwen door een systematisch overzicht te bieden van kwetsbaarheden, aanvallen en hun verbanden.
Dit hele concept kan ingewikkeld en abstract klinken, maar u hebt bijna elke dag te maken met ontologieën. Denk bijvoorbeeld eens aan zoekopdrachten op het internet. Ontologieën liggen ten grondslag aan semantische zoekopdrachten, zodat u kunt zoeken naar antwoorden op echte zoekopdrachten in plaats van te verzanden in de betekenis van elk afzonderlijk woord in die zoekopdrachten. Dit zorgt voor een enorme toename van de kwaliteit van zoekresultaten. Pinterest, een sociaal netwerk voor het delen van afbeeldingen maakt gebruik van soortgelijke technologieën, en baseert zich op ontologieën om de acties en reacties van gebruikers te analyseren, en gebruikt die gegevens vervolgens om aanbevelingen en gerichte reclame te optimaliseren.
Het bovenstaande vertegenwoordigt een aantal ideeën van hoe ontologieën kunnen worden gebruikt om tal van aspecten in het bedrijfsleven en cybertech te verbeteren. Hier bij Kaspersky zijn we niet alleen geïnteresseerd in de vooruitzichten van ontologie op het gebied van cybersecurity, maar ook in het grotere geheel, waarin ontologie enorme kansen biedt voor het bedrijfsleven.
Tips