5min

Artificial Intelligence (AI) en machine learning (ML) zijn termen die je tegenwoordig overal hoort in het IT-securitylandschap, omdat zowel organisaties als aanvallers deze technologie willen inzetten om hun doel te bereiken. De aanvallers willen het gebruiken om een verdediging sneller af te breken en kwetsbaarheden sneller te vinden. Maar welke waarde bieden AI en ML echt bij het beveiligen van een organisatie?

Het zou mooi zijn als je organisatie volledig beschermd is zodra je deze technologieën invoert. Zo eenvoudig is het helaas niet. Niet alle toepassingen van AI en ML zijn gelijk. En – spoiler alert – het gaat niet alleen om het gebruik van de nieuwste algoritmen.

ML en AI zijn essentiële onderdelen van een holistische beveiligingsoplossing om de uitdagingen en de snelheid van het huidige bedreigingslandschap aan te gaan. Ze moeten gericht zijn op het uiteindelijke resultaat: elk type aanval voorkomen en zo snel mogelijk reageren op aanvallen die je niet kan voorkomen.

AI alleen is geen oplossing

Artificial Intelligence op zich is geen onderscheidende factor voor security. In feite zijn er tegenwoordig veel verschillende AI-frameworks en -modellen in gebruik. Over het algemeen zijn die frameworks afkomstig uit de academische wereld en zijn het open-source, openbare implementaties die voor iedereen beschikbaar zijn. Het is dus niet het AI-framework dat het verschil maakt. Wat het verschil maakt, is hoe de AI wordt gebruikt en welke data beschikbaar zijn waarvan de AI kan leren.

Wat maakt AI beter en slimmer voor cybersecurity?

Ongeacht het doel heeft AI die machine learning gebruikt om te leren hoe te handelen, zoveel mogelijk data van hoge kwaliteit nodig om effectief te zijn. Door die overvloed aan goede data krijgt AI inzicht in mogelijke scenario’s. Hoe meer echte data het verwerft, hoe slimmer het wordt en hoe meer ervaring het kan benutten.

Bekijk dit eens door de lens van cybersecurity. Leren van slechts één scenario of bedreiging is niet genoeg. Wat nodig is, is een oplossing die leert van alle implementaties en een tool die informatie van alle gebruikers gebruikt – niet alleen van één organisatie. Hoe groter het aantal omgevingen en gebruikers, hoe slimmer de AI. Daarom heb je ook een systeem nodig dat zowel grote volumes als verschillende soorten data aankan.

AI is meer dan alleen maar rekenen met een computer. Hoewel data een cruciaal onderdeel zijn voor de doeltreffendheid van AI, moeten AI en ML zelf ook worden ingebouwd in operationele processen. AI en ML moeten niet worden beschouwd als op zichzelf staande technologieën, maar als technologieën die waarde toevoegen aan beveiligingsprocessen en -activiteiten.

De meest succesvolle AI-technieken zijn die waarbij grootschalige statistische patroonvergelijking uit ML wordt gecombineerd met andere technieken waarbij zaken als domeinkennis worden geïntegreerd tot een hybride systeem. Statistische technieken die uitsluitend zijn gebaseerd op ML zijn doorgaans niet in staat zich aan te passen aan nieuw ontwikkelde, voorheen ongeziene bedreigingen die per definitie weinig tot geen basisstatistieken hebben. Ook kan domeinkennis worden benut om logica te creëren (vaak deels afgeleid van grootschalige data-analyse) die specifieke tactieken en technieken van aanvallers effectief voorkomt en detecteert.

Het samenvoegen van deze inzichten met behulp van expertsystemen leidt echter tot onevenwichtige en onwerkelijke foutenpercentages bij de implementatie. Wat nodig is, is een AI-systeem dat statistische inzichten uit ML combineert met domeinafhankelijke inzichten uit andere delen van het systeem, dat kan generaliseren naar nieuwe aanvallen met behoud van consistente en lage foutpercentages voor iedereen.

De echte waarde van AI en ML voor cybersecurity

Op een fundamenteel niveau stelt een goed gebruik van AI en ML in de beveiliging van de organisatie de teams van het Security Operations Center (SOC) in staat veel effectiever te werk te gaan, met minder mensen. Het is een vermenigvuldigingsfactor die de capaciteit van een organisatie versterkt en ervoor zorgt dat de vaardigheden van analisten kunnen worden ingezet voor het juiste werk om hun ervaring te benutten.

Een veel voorkomende use case voor AI en ML in beveiliging is om te helpen een baseline van normale operaties vast te stellen en vervolgens een team te waarschuwen voor potentiële afwijkingen. AI en ML kunnen ook worden gebruikt om de operationele effectiviteit te verbeteren door de meer alledaagse taken te identificeren die mensen voortdurend uitvoeren. De technologie kan playbooks voor automatisering creëren of voorstellen die tijd en middelen besparen.

AI en ML helpen ook bij het informeren en versterken van automatisering – de sleutel tot schaalbaarheid in omgevingen waar personeel en middelen altijd beperkt zijn. Elk SOC moet tegenwoordig meer bedreigingen aanpakken die geavanceerder zijn met minder mensen. Uiteindelijk is het doel van AI en ML te helpen een goed beveiligingsresultaat te bereiken op een manier die specifiek snel gebruik maakt van zeer schaarse middelen.

Hoe AI en ML de resultaten van cybersecurity kunnen verbeteren

Bij cybersecurity is er nooit slechts één probleem dat moet worden opgelost, maar eerder een reeks problemen die vaak aan elkaar gekoppeld zijn. Met AI en ML die helpen om de automatisering te verbeteren en handmatige processen in cybersecurity-operaties te verwijderen, kan worden voorkomen dat meer risico’s security-incidenten worden. Als je meer risico’s voorkomt, kan de organisatie effectiever reageren omdat het op minder daadwerkelijke security-incidenten zal reageren. AI en ML bieden het voordeel van focus en de kracht om mee te schalen door gebruik te maken van dezelfde tools als de aanvallers, waardoor de algehele securityhouding van de organisatie wordt versterkt.

Dit is een ingezonden bijdrage van Palo Alto Networks. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.