AI en machine learning bij cyberbeveiliging — Wat belooft dit voor de toekomst

Definitie van AI, machine learning en deep learning bij cyberbeveiligin

AI bij cyberbeveiliging, met ondersteuning van machine learning, zal naar verwachting een krachtige tool worden in de nabije toekomst. Net als in andere sectoren is menselijke interactie lang essentieel en onvervangbaar geweest bij beveiliging. Hoewel cyberbeveiliging momenteel in hoge mate afhankelijk is van menselijke inbreng, merken we dat technologie langzamerhand beter wordt in specifieke taken dan wijzelf.

Elke technologische verbetering leidt tot betere manieren om de menselijke rol aan te vullen. Een paar onderzoeksgebieden staan centraal in deze ontwikkelingen:

• Kunstmatige intelligentie (AI) is ontworpen om computers het volledige responsieve vermogen van de menselijke geest te bieden. Deze koepelterm die veel onderwerpen beslaat, omvat machine learning en deep learning.
• Machine learning (ML) benut bestaande gedragspatronen en maakt besluitvorming mogelijk op basis van gegevens en conclusies uit het verleden. Menselijke tussenkomst blijft vereist voor bepaalde veranderingen. Machine learning is waarschijnlijk tot op heden de relevantste AI-discipline voor cyberbeveiliging.
• Deep learning (DL) werkt op vergelijkbare wijze als machine learning door beslissingen te nemen op basis van patronen uit het verleden, maar brengt tevens zelf wijzigingen aan. Deep learning valt bij cyberbeveiliging momenteel binnen het gebied van machine learning. Daarom zullen wij ons hier voornamelijk op ML richten.

Wat AI en machine learning kunnen betekenen voor cyberbeveiliging

Er wordt gezegd dat AI bij cyberbeveiliging revolutionair is en geenszins toekomstmuziek. Dit is echter maar ten dele waar en de verwachtingen moeten worden getemperd. In werkelijkheid zal de toekomst vooral geleidelijke verbeteringen brengen. Hoewel er weinig perspectief is op een volledig autonome inzet en eerder sprake is van geleidelijke veranderingen, nemen onze mogelijkheden evengoed sterk toe ten opzichte van het verleden.

Bij het onderzoeken van de implicaties van machine learning en AI bij beveiliging is het belangrijk om te bepalen wat momenteel de pijnpunten binnen cyberbeveiliging zijn. Er zijn veel processen en aspecten die we lang als normaal hebben geaccepteerd, maar die kunnen worden verbeterd met de verschillende AI-technologieën.

Menselijke fouten bij de configuratie

Menselijke fouten vormen een belangrijk deel van de zwakten van cyberbeveiliging. Het kan bijvoorbeeld enorm moeilijk zijn om de juiste systeemconfiguratie te beheren, ook als daarvoor grote IT-teams worden ingezet. De voortdurende innovatie heeft ertoe geleid dat computerbeveiliging in hoge mate uit lagen bestaat. Responsieve tools kunnen teams helpen om problemen op te sporen en aan te pakken wanneer netwerksystemen worden vervangen, gewijzigd en bijgewerkt.

Bedenk hoe nieuwere internetinfrastructuren zoals cloud computing kunnen worden gecombineerd met oudere lokale frameworks. In ondernemingssystemen moet een IT-team zorg dragen voor compatibiliteit om deze systemen te beveiligen. Teams worden zwaar belast door handmatige processen om de beveiligingsconfiguratie te beoordelen, omdat ze eindeloze updates moeten combineren met normale dagelijkse ondersteuningstaken. Dankzij slimme, adaptieve automatisering kunnen teams tijdig informatie ontvangen over zojuist gedetecteerde problemen. Ze kunnen advies krijgen over mogelijke maatregelen of zelfs automatisch de vereiste instellingen toepassen.

Menselijke efficiëntie bij herhaalde taken

Menselijke efficiëntie is een ander pijnpunt in de cyberbeveiligingsbranche. Geen enkel handmatig proces is elke keer perfect herhaalbaar, helemaal in een dynamische omgeving zoals de onze. De afzonderlijke installatie van de vele endpointsystemen van een organisatie behoort tot de meest tijdrovende taken. Ook na de aanvankelijke installatie moeten IT-teams vaak teruggaan naar dezelfde systemen om onjuiste configuraties te corrigeren of verouderde installaties te herstellen die niet kunnen worden gepatcht met updates op afstand.

Wanneer medewerkers dreigingen moeten verhelpen, geldt bovendien dat de reikwijdte van de betrokken dreiging snel kan veranderen. Waar de menselijke respons kan worden vertraagd door onverwachte uitdagingen, kan een systeem op basis van AI en machine learning met minimale vertraging te werk gaan.

'Alert fatigue'

'Alert fatigue' kan ook een zwakte vormen binnen organisaties als er niet goed mee wordt omgegaan. Het aanvalsoppervlak neemt toe als de eerder genoemde beveiligingslagen ingewikkelder en groter worden. Veel beveiligingssystemen zijn ingesteld om veel bekende problemen te melden met een reeks zuiver reactieve waarschuwingen. Menselijke teams moeten deze waarschuwingen doornemen om beslissingen te nemen en maatregelen te treffen.

Als er veel waarschuwingen worden gegeven, wordt de besluitvorming een zeer zwaar proces. Al met al ervaren cyberbeveiligingsmedewerkers dagelijks alarmmoeheid bij het nemen van beslissingen. Het zou ideaal zijn om proactief te ageren op deze vastgestelde dreigingen en kwetsbaarheden, maar veel teams hebben daar niet genoeg tijd en medewerkers voor.

Soms moeten teams besluiten om eerst de grootste zorgen aan te pakken en de andere doelstellingen te negeren. Door AI te gebruiken bij cyberbeveiliging kunnen IT-teams meer van deze dreigingen op een effectieve en praktische manier bestrijden. Al deze dreigingen kunnen veel makkelijker worden aangepakt als ze worden gebundeld met automatische labeling. Daarnaast kunnen bepaalde problemen worden verholpen door het machinelearningalgoritme zelf.

Reactietijd op dreigingen

De reactietijd op dreigingen is absoluut een van de belangrijkste maatstaven voor de doelmatigheid van cyberbeveiligingsteams. Het is bekend dat schadelijke aanvallen, van concept tot implementatie, bijzonder snel verlopen. In het verleden waren cybercriminelen soms weken bezig met het onderzoeken van netwerkmachtigingen en het uitschakelen van beveiliging, voordat de aanval werd gestart.

Helaas profiteren niet alleen cyberbeveiligingsexperts van technologische innovaties. Bij cyberaanvallen wordt tegenwoordig ook steeds meer gebruikgemaakt van automatisering. Daardoor is de aanvalsduur bij recente dreigingen zoals LockBit-ransomware sterk afgenomen. Momenteel kunnen bepaalde aanvallen zelfs al binnen een half uur plaatsvinden.

De menselijke reactie kan achterlopen op de initiële aanval, zelfs bij bekende aanvalstypen. Daarom houden teams zich meer bezig met het reageren op geslaagde aanvallen dan het voorkomen van aanvalspogingen. Aan de andere kant van het spectrum vormen ongedetecteerde aanvallen een gevaar op zichzelf.

Met ML-ondersteunde beveiliging kunnen gegevens van een aanval worden verkregen om deze onmiddellijk te groeperen en voor te bereiden voor analyse. Op deze wijze kunnen cyberbeveiligingsteams vereenvoudigde rapporten ontvangen om sneller aan de slag te gaan en beslissingen te nemen. Naast rapportage kan dit type beveiliging ook acties aanbevelen om de verdere schade te beperken en toekomstige aanvallen te voorkomen.

Identificatie en voorspelling van nieuwe dreigingen

Identificatie en voorspelling van nieuwe dreigingen is een andere factor die de reactietijd op cyberaanvallen beïnvloedt. Zoals eerder aangegeven, loopt de reactie vaak ook achter bij bestaande dreigingen. Onbekende aanvalstypen, methoden en tools kunnen de reacties van teams nog verder vertragen. Stille dreigingen zoals gegevensdiefstal worden soms zelfs helemaal niet gedetecteerd. Een onderzoek van Fugue uit april 2020 wees uit dat ongeveer 84% van de IT-teams bezorgd is dat hun cloudgebaseerde systemen worden gehackt zonder dat ze het merken.

De voortdurende ontwikkeling van aanvallen die leidt tot zero-day-exploits is altijd een aandachtspunt bij de inspanningen om netwerken te beveiligen. Maar het goede nieuws is dat cyberaanvallen vaak niet helemaal opnieuw worden ontwikkeld. Omdat ze vaak zijn gebaseerd op methoden, frameworks en broncodes van voorgaande aanvallen, bestaan er aanknopingspunten om ze te bestrijden met machine learning.

Met op ML gebaseerde programmering kunnen de overeenkomsten tussen de nieuwe dreiging en voorgaande dreigingen worden vastgesteld om aanvallen te detecteren. Mensen kunnen dit niet snel genoeg op een effectieve manier doen, wat aangeeft dat adaptieve beveiligingsmodellen vereist zijn. Vanuit dit oogpunt kan machine learning teams ook ondersteunen bij het voorspellen van nieuwe dreigingen en de reactietijd verkorten door het bewustzijn van dreigingen te vergroten.

Personeelscapaciteit

Personeelscapaciteit is een van de problemen waaronder veel IT- en cyberbeveiligingsteams over de hele wereld gebukt gaan. Afhankelijk van de behoeften van een organisatie kan het aantal gekwalificeerde medewerkers beperkt zijn.

Het komt echter vaker voor dat het aanstellen van medewerkers een groot deel opslokt van het budget van organisaties. Medewerkers moeten niet alleen worden betaald voor hun dagelijkse werk maar het is ook nodig om ze doorlopend op te leiden en te certificeren. Het is een zware taak om bij te blijven als cyberbeveiligingsmedewerker, met name vanwege de voortdurende innovatie die al enige malen ter sprake is gekomen.

AI-gebaseerde tools kunnen de mogelijkheid bieden om met kleinere teams te werken. Hoewel de medewerkers dan op de hoogte moeten blijven van de nieuwste ontwikkelingen op het gebied van AI en machine learning, zal de lagere personeelsbehoefte kosten- en tijdsbesparingen met zich meebrengen.

Aanpasbaarheid

Aanpasbaarheid is een minder voor de hand liggend aandachtspunt dan andere genoemde kwesties, maar kan een grote invloed hebben op de beveiligingscapaciteiten van een organisatie. Menselijke teams zijn soms onvoldoende in staat om hun vaardigheden aan te passen aan de specifieke behoeften.

Als de medewerkers niet zijn opgeleid op het gebied van specifieke methoden, tools en systemen, zal je team minder effectief zijn. Zelfs schijnbaar eenvoudige taken, zoals het introduceren van een nieuw beveiligingsbeleid, kan tijdrovend zijn met menselijke teams. Dit hoort bij de menselijke aard: we hebben tijd nodig om nieuwe dingen te leren. Met de juiste gegevenssets kunnen correct getrainde algoritmes een maatwerkoplossing bieden die is toegesneden op jouw behoeften.

Hoe AI wordt gebruikt voor cyberbeveiliging

Kunstmatige intelligentie (AI) bij cyberbeveiliging wordt beschouwd als een bovenliggende verzameling disciplines zoals machine learning en deep learning voor cyberbeveiliging, maar met een eigen functie.

AI richt zich in feite op 'succes' terwijl 'nauwkeurigheid' minder belangrijk is. Natuurlijke reacties bij gecompliceerde probleemoplossing zijn het uiteindelijke doel. Bij werkelijke AI worden echt onafhankelijke beslissingen genomen. De code is geprogrammeerd om de ideale oplossing te vinden in een situatie in plaats van de logische conclusie op basis van de gegevensset.

Om dit beter duidelijk te maken is inzicht in de huidige werking van moderne AI en de onderliggende disciplines vereist. Autonome systemen liggen buiten het bereik van breed ingezette systemen, met name op het gebied van cyberbeveiliging. Veel mensen associëren AI met dergelijke zelfstandige systemen. Maar momenteel zijn AI-systemen die onze beveiligingsservices ondersteunen of uitbreiden praktischer en beschikbaar.

De ideale rol van AI bij cyberbeveiliging is het interpreteren van de patronen die worden vastgesteld door machinelearningalgoritmen. Uiteraard kan de huidige AI nog geen resultaten interpreteren met dezelfde capaciteiten als mensen. Er wordt op dit gebied gewerkt aan de ontwikkeling van mensachtige frameworks, maar echte AI is een doel voor de lange termijn waarvoor systemen abstracte concepten in verschillende situaties moeten herkennen en gebruiken. Met andere woorden, dit niveau van creativiteit en kritisch denken ligt verder weg dan sommige geruchten over AI suggereren.

Hoe machine learning wordt gebruikt voor cyberbeveiliging

Beveiligingsoplossingen met machine learning verschillen van de voorstelling die mensen hebben van AI-oplossingen. Niettemin zijn ze verreweg de krachtigste AI-tools voor cyberbeveiliging die we momenteel hebben. Bij deze technologie wordt op basis van gegevenspatronen bepaald hoe waarschijnlijk het is dat een gebeurtenis zal plaatsvinden.

ML is in bepaalde opzichten het tegengestelde van echte AI. Machine learning is vooral gericht op 'nauwkeurigheid' en in mindere mate op 'succes'. Dit betekent dat ML probeert te leren van een taakgerichte gegevensset. Dit resulteert vervolgens in optimale prestaties voor de desbetreffende taak. Op basis van de gegevens wordt de enige mogelijke oplossing gevonden, zelfs als deze niet ideaal is. Bij ML worden de gegevens niet werkelijk geïnterpreteerd, zodat de menselijke medewerkers daarvoor verantwoordelijk blijven.

Machine learning blinkt uit in langdradige taken zoals identificatie van gegevenspatronen en daarop volgende aanpassingen. Mensen zijn minder geschikt voor dergelijke taken, omdat ze er snel genoeg van krijgen en in het algemeen niet van monotone taken houden. Hoewel de interpretatie van de gegevens nog in menselijke handen ligt, kan machine learning dus een bijdrage leveren aan het omzetten van de gegevens in leesbare en ontleedbare vorm. Machine learning bij cyberbeveiliging kan verschillende vormen aannemen, die allemaal specifieke voordelen hebben:

Gegevensclassificatie

Bij gegevensclassificatie worden categorieën toegewezen aan gegevenspunten op basis van vooraf gedefinieerde regels. Het labelen van deze punten is belangrijk om een profiel te maken van de aanvallen, kwetsbaarheden en andere aspecten van proactieve beveiliging. Dit is een essentieel snijpunt van machine learning en cyberbeveiliging.

Gegevensclustering

Bij gegevensclustering worden de afwijkende gegevens die zijn aangetroffen met vooraf gedefinieerde classificatieregels opgenomen in 'geclusterde' verzamelingen met gegevens die gedeelde of eigenaardige kenmerken hebben. Hiermee kunnen bijvoorbeeld aanvalsgegevens worden geanalyseerd waarvoor een systeem nog niet is getraind. Deze clusters kunnen inzicht bieden in de manier waarop een aanval heeft plaatsgevonden en in de elementen die zijn benut en blootgesteld. 

Aanbevolen maatregelen

De aanbevolen maatregelen vullen de proactieve maatregelen van een ML-beveiligingssysteem aan. Deze aanbevelingen komen op natuurlijke wijze voort uit gedragspatronen en eerdere beslissingen. Het is belangrijk om aan te geven dat het hier geen intelligente besluitvorming door werkelijke autonome AI betreft. In plaats daarvan gaat het om een adaptief framework dat logische relaties kan vaststellen op basis van bestaande gegevenspunten. Tools van dit type kunnen van onschatbare waarde zijn bij het reageren op dreigingen en het beperken van risico's.

Synthese van mogelijkheden

Met synthese van mogelijkheden worden geheel nieuwe mogelijkheden gecreëerd door bestaande gegevens en nieuwe, onbekende gegevenssets te analyseren. Dit verschilt van de aanbevelingen, omdat het meer gaat om de kans dat een actie of systeemstatus overeenkomt met vergelijkbare situaties in het verleden. Met deze synthese kunnen bijvoorbeeld zwakke punten in de systemen van een organisatie preventief worden opgespoord.

Voorspellende prognoses

Voorspellende prognoses zijn de meest toekomstgerichte processen van ML-componenten. Hierbij worden potentiële resultaten voorspeld door bestaande gegevenssets te evalueren. Dit kan primair worden gebruikt voor het ontwikkelen van dreigingsmodellen, het opzetten van fraudepreventie en het voorkomen van gegevensinbreuken. Ook is het essentieel in veel voorspellende endpointoplossingen.

Voorbeelden van machine learning bij cyberbeveiliging

Voor meer uitleg volgen hier een paar voorbeelden die de waarde van machine learning bij cyberbeveiliging onderstrepen:

Classificatie voor gegevensprivacy en compliance

De afgelopen jaren is het waarschijnlijk zeer belangrijk geworden om je organisatie te beschermen tegen schendingen van privacywetten. Na de Algemene Verordening Gegevensbescherming (AVG) zijn er ook andere wetten in werking getreden zoals de California Consumer Protection Act (CCPA).

De verzamelde gegevens van je klanten en gebruikers moeten in overeenstemming met deze wetten worden beheerd. Dit betekent doorgaans dat inzage in deze gegevens moet worden geboden of dat deze moeten worden verwijderd indien daarom wordt verzocht. Als deze wetten niet worden nageleefd, kan dit leiden tot hoge boetes en reputatieschade voor je organisatie.

Met gegevensclassificatie kunnen identificerende gebruikersgegevens worden gescheiden van geanonimiseerde of 'identiteitsvrije' gegevens. Daardoor is het niet nodig om deze verzamelingen van oude en nieuwe gegevens – die met name in grote of oudere organisaties enorm kan zijn – handmatig te onderzoeken.

Beveiligingsprofielen voor gebruikersgedrag

Door aangepaste profielen voor netwerkmedewerkers te maken op basis van gebruikersgedrag, kan de beveiliging volledig worden aangepast aan je organisatie. Met een dergelijk model kan een ongeautoriseerde gebruiker worden geïdentificeerd aan de hand van afwijkend gebruikersgedrag. Subtiele kenmerken zoals toetsaanslagen kunnen deel uitmaken van een voorspellend dreigingsmodel. Zodra de mogelijke kenmerken van potentieel ongeautoriseerd gebruikersgedrag bekend zijn, kan ML maatregelen aanbevelen om het aanvalsoppervlak te verkleinen.

Beveiligingsprofielen voor systeemprestaties

Net als een profiel voor gebruikersgedrag is het mogelijk om een aangepast diagnostisch profiel van de computerprestaties te compileren wanneer deze in goede staat is. Door de processor, het geheugen en kenmerken zoals intensief internetgebruik te monitoren kan schadelijke activiteit worden vastgesteld. Wel moet er rekening mee worden gehouden dat sommige gebruikers regelmatig veel gegevensverkeer veroorzaken vanwege videovergaderingen of downloads van grote mediabestanden. Door de gebruikelijke basisprestaties van een systeem te bepalen, kunnen we uitzonderingen opsporen, net als met de regels voor gebruikersgedrag uit het voorgaande ML-voorbeeld.

Blokkering van bots op basis van gedrag

Botactiviteit kan de ingaande bandbreedte van websites zwaar belasten. Dit geldt met name voor zakelijk internetverkeer, bijvoorbeeld bij bedrijven die e-commercesites hebben en niet beschikken over fysieke locaties. De echte gebruikers kunnen slechte prestaties ervaren, wat negatieve gevolgen heeft voor het internetverkeer en de zakelijke kansen.

Door dergelijke activiteit te classificeren kunnen ML-beveiligingstools het web van de bots blokkeren, ook al worden er tools zoals VPN's gebruikt om ze te anonimiseren. Met gedragsgegevens van schadelijke elementen kan een ML-beveiligingstool voorspellende gedragsmodellen maken en nieuwe adressen waarbij dergelijke activiteit plaatsvindt preventief blokkeren.

De toekomst van cyberbeveiliging

Ondanks alle opwinding over de toekomst van deze vorm van beveiliging, bestaan er nog veel beperkingen.

Voor ML zijn gegevenssets nodig maar dit kan strijdig zijn met wetgeving inzake gegevensprivacy. Het trainen van softwaresystemen vereist voldoende gegevenspunten om nauwkeurige modellen te ontwikkelen, maar dit gaat niet goed samen met 'het recht om te worden vergeten'. De menselijke identificatiekenmerken van bepaalde gegevens kunnen schendingen veroorzaken, zodat daarvoor oplossingen moeten worden gevonden. Wellicht kunnen systemen zo worden ingericht dat oorspronkelijke gegevens vrijwel ontoegankelijk zijn zodra de software is getraind. Het anonimiseren van gegevenspunten komt ook in aanmerking, maar dit moet nader worden onderzocht om te voorkomen dat de programmalogica wordt aangetast.

De sector heeft meer AI- en ML-cyberbeveiligingsexperts nodig die programmeervaardigheden op dit gebied hebben. Voor netwerkbeveiliging voor machine learning is het belangrijk om te beschikken over medewerkers die deze beveiliging kunnen beheren en zo nodig kunnen aanpassen. Het wereldwijde aanbod van gekwalificeerde en getrainde medewerkers is evenwel kleiner dan de enorme vraag naar personeel dat deze oplossingen kan bieden.

Menselijke teams blijven essentieel. Tot slot zal goede besluitvorming afhankelijk zijn van kritisch denken en creativiteit. Zoals veel eerder aangegeven, kunnen ML en AI dit niet bieden. In plaats daarvan moet je deze oplossingen inzetten om je teams aan te vullen.

3 tips om de toekomst van cyberbeveiliging in te luiden

Je kunt een paar stappen nemen om een toekomst waarin AI wordt benut voor beveiliging dichterbij te brengen:

1. Doe investeringen om toekomstgericht te blijven met je technologie. De kosten van inbreuken als gevolg van verouderde technologie of onnodige handmatige werkzaamheden zullen veel groter zijn naarmate de dreigingen geavanceerder worden. Door bij te blijven met de ontwikkelingen, kun je de risico's beperken. Als je toekomstgerichte oplossingen zoals Kaspersky Integrated Endpoint Security gebruikt, zul je beter in staat zijn om je aan te passen.
2. Vul je teams aan met AI en ML, maar vervang ze niet. Er zullen kwetsbaarheden blijven bestaan omdat geen enkel systeem op de markt momenteel waterdicht is. Omdat zelfs deze adaptieve systemen kunnen worden omzeild met slimme aanvalsmethoden, moet je IT-team leren hoe ze deze infrastructuur gebruiken en ondersteunen.
3. Werk je gegevensbeleid regelmatig bij om te voldoen aan veranderende wetgeving. Overheidsinstanties over de hele wereld hechten tegenwoordig grote waarde aan gegevensprivacy. Daardoor zal het in de voorzienbare toekomst een belangrijk aandachtspunt blijven voor ondernemingen en organisaties. Zorg dat je je aan het recentste beleid houdt.

Gerelateerde artikelen:

• Fake video's en deep fakes – Hoe kunnen gebruikers zichzelf beschermen?
• Wat is een honeypot? Hoe kun je daarmee cyberaanvallen uitlokken
• Wat is een beveiligingsinbreuk?
• Wat is cloudbeveiliging?
• Is 5G-technologie gevaarlijk? Voor- en nadelen van een 5G-netwerk