AI en cybersecurity: hoe werkt dat nou?

Veel mensen weten niet dat het allereerste computervirus bestond voordat het publieke internet een ding was. In 1971 schreef Bob Thomas, een Amerikaanse IT-academicus, een programma genaamd ‘Creeper’ dat zichzelf kon verspreiden via netwerken. Het programma verplaatste zich naar verschillende terminals op het ARPA-netwerk, de voorloper van het internet, en presenteerde op het desbetreffende scherm: “I’m the creeper, catch me if you can”. Ray Tomlinson, een mede-academicus en vooral bekend als uitvinder van de email, maakte het virus zelfreplicerend en ontwierp zo het eerste gedocumenteerde computervirus. Om Creeper in te dammen, schreef Tomlinson het programma ‘Reaper’: een programma dat Creeper achtervolgde over het netwerk en vervolgens verwijderde. Zo schreef Tomlinson ’s werelds eerste cybersecurity-oplossing.

Thomas en Tomlinson hadden destijds geen idee dat Creeper, een redelijk simpel en onschuldig ‘virus’, een voorloper zou zijn op destructieve malware en ransomware die wij vandaag de dag kennen, zoals ILOVEYOU en WannaCry. Gelukkig heeft cybersecurity sinds Reaper zich verder ontwikkeld. Wanneer we het nu hebben over cybersecurity, wordt er meteen gesproken over oplossingen aangedreven door AI- en machine learning (ML). Er wordt namelijk voorzien dat de nieuwste cybersecurity-dreigingen agile en intelligent zijn en zich daardoor makkelijk en snel kunnen aanpassen op nieuwe en abrupte aanvallen.

Het potentieel van AI en ML is niet aan cybersecurity-experts voorbijgegaan. Sterker nog, het gros van de besluitvormers op het gebied van cybersecurity gelooft dat AI fundamenteel is voor de toekomst van cybersecurity. Velen hebben echter geen idee hoe AI- en ML-gedreven beveiligingsproducten precies werken.

Sinds kort zijn AI-technieken ontzettend populair geworden, waardoor AI fris en nieuw lijkt. Toch zijn mensen vaak verbaasd om te horen dat AI helemaal niet zo’n nieuw fenomeen is. Integendeel: neurale netwerken bestaan al meer dan 50 jaar. Een aantal van de eerste commerciële neurale netwerken voor malwaredetectie en -vernietiging zijn 20 jaar geleden ontwikkeld en beschermden ons tegen virussen op de bootsector van floppydisks in het tijdperk van Windows 98.

ML wordt steeds vaker ingezet om systemen te beschermen, wat ook voor velen als een verrassing komt. Dit is vooral te wijten aan het ‘machine’-deel van ML. In werkelijkheid is ML een manier om lering te trekken uit voorbeelden – een concept dat iedereen begrijpt. Of het nu een mens of machine is die zich aanleert om een bepaalde taak te verrichten; het enige wat telt is het uiteindelijke resultaat.

Een goed voorbeeld is het voorspellende toetsenbord op je smartphone. Het programma heeft een klein ML-systeem geïntegreerd die leest wat je typt en hierdoor uiteindelijk kan voorspellen wat je de volgende keer gaat zeggen – althans, wat je van plan bent om te zeggen. Naarmate je meer typt en zo het ML-systeem met jouw taalgebruik voedt, kan het steeds beter en accurater leren van jouw taalgebruik en het uiteindelijk voorspellen. Als je dit uitbreidt naar de manier waarop je muis beweegt, hoe je door een website scrolt en/of andere activiteiten, kan het ML-systeem nóg meer leren over jouw unieke gedrag en gaat dit uiteindelijk herkennen.

In plaats van tekstuele input, kun je het ML-systeem ook malware ‘voeden’. Voilà: je hebt een malwaredetector. Als je het netwerkaanvallen voedt, krijg je een Intrusion Detection System. Zo zijn er aardig wat variaties op te verzinnen binnen netwerk- en Endpoint Protection Platform-producten. ML is een toepassing waar veel mensen al snel aan denken als we het hebben over AI in cybersecurity. Met een reden, overigens: het is immers hoogstwaarschijnlijk de meest gebruikte en volwassen applicatie op dit gebied.

Het bovenstaande klinkt allemaal vrij eenvoudig, maar ML is veel ingewikkelder dan simpelweg een computer vertellen dat deze een probleem moet oplossen. Net als bij Creeper en Reaper vereist het ontwikkelen van een ML- en AI-oplossing voor je cyberbeveiliging een hoog kennisniveau. Kennis die opgebouwd wordt op basis van ervaring en een innovatieve aanpak die kwaadwillenden een aantal stappen voor blijft.

Dit is een ingezonden bijdrage van Andrew Walenstein, Director Security Research & Development bij BlackBerry Cylance. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.