‘Machine learning’ voor cybersecurity: de potentie en de specifieke uitdagingen

Hoe digitaler onze wereld en onze bedrijven worden, des te groter de uitdagingen rond cybersecurity. ‘Machine learning’ gaat daarin een belangrijke rol spelen. Tegelijkertijd zijn er, vanwege het kritieke belang dat er niks fout gaat, juist bij toepassingen voor cybersecurity nogal wat uitdagingen voor ‘machine learning’.

Machine learning is tegenwoordig een veelgebruikte term in bijna elke IT-sector. En hoewel het vaak wordt gebruikt om data te begrijpen, bedrijfsprestaties en -processen te verbeteren en voorspellingen te doen, is machine learning ook van onschatbare waarde in andere toepassingen, waaronder cybersecurity. In dit artikel noem ik een aantal redenen waarom machine learning zo belangrijk is geworden voor cybersecurity. Ook ga ik in op de uitdagingen en de toekomst die machine learning mogelijk maakt.

Waarom ‘machine learning’ zo belangrijk is geworden voor cybersecurity

De noodzaak van machine learning heeft te maken met complexiteit. Veel organisaties bezitten tegenwoordig een groeiend aantal Internet-of-Things-(IoT)-apparaten die niet allemaal bekend zijn of beheerd worden door IT. Niet alle data en toepassingen draaien on-premise, want hybride en multicloud zijn het nieuwe normaal. Gebruikers zitten niet langer meestal op kantoor, want werken op afstand is algemeen geaccepteerd.

Nog niet zo lang geleden was het gebruikelijk dat ondernemingen vertrouwden op detectie van malware op basis van handtekeningen, statische firewallregels voor netwerkverkeer en toegangscontrolelijsten (ACL’s) om het beveiligingsbeleid te definiëren. In een wereld met meer apparaten, op meer plaatsen dan ooit, kunnen de oude manieren om potentiële beveiligingsrisico’s op te sporen de omvang, reikwijdte en complexiteit niet bijhouden.

Machine learning draait om het trainen van modellen om automatisch te leren van grote hoeveelheden data, en op basis van dat leren kan een systeem dan trends vaststellen, afwijkingen opsporen, aanbevelingen doen en uiteindelijk acties uitvoeren. Om alle nieuwe beveiligingsuitdagingen van organisaties aan te pakken, is er duidelijk behoefte aan machine learning.

Alleen machine learning kan het toenemende aantal uitdagingen op het gebied van cybersecurity aanpakken: het opschalen van beveiligingsoplossingen, het detecteren van onbekende aanvallen en van geavanceerde aanvallen, waaronder polymorfe malware. Geavanceerde malware kan van vorm veranderen om detectie te ontlopen, en met een traditionele aanpak op basis van handtekeningen is het erg moeilijk om dergelijke geavanceerde aanvallen te detecteren. Machine learning blijkt de beste oplossing te zijn om dit tegen te gaan.

Wat ‘machine learning’ anders maakt in cybersecurity

Machine learning wordt goed begrepen en op veel gebieden toegepast. Tot de populairste toepassingen behoren beeldverwerking voor herkenning van afbeeldingen en natuurlijke taalverwerking (NLP) om te helpen begrijpen wat een mens of een stuk tekst zegt.

Cybersecurity verschilt in een aantal opzichten van andere toepassingen van machine learning. Het gebruik ervan in cybersecurity brengt zijn eigen uitdagingen en vereisten met zich mee. Dit zijn drie unieke uitdagingen voor de toepassing van machine learning op cybersecurity en drie veel voorkomende maar ernstigere uitdagingen op het gebied van cybersecurity:

Uitdaging 1: veel hogere nauwkeurigheidseisen

Als je bijvoorbeeld alleen maar bezig bent met beeldverwerking en het systeem ziet een hond aan voor een kat, dan is dat misschien vervelend, maar het heeft waarschijnlijk geen gevolgen die leven of dood betekenen. Als een machine learning-systeem een frauduleus datapakket verwisselt met een legitiem datapakket dat leidt tot een aanval op een ziekenhuis en zijn apparatuur, dan kunnen de gevolgen van de verkeerde categorisatie daarentegen zeer ernstig zijn.

Elke dag zien organisaties grote hoeveelheden datapakketten firewalls passeren. Zelfs als slechts 0,1% van de data verkeerd wordt gecategoriseerd door machine learning kunnen we ten onrechte enorme hoeveelheden normaal verkeer blokkeren, wat ernstige gevolgen zou hebben voor het bedrijf. Het is begrijpelijk dat sommige organisaties in de begindagen van machine learning bezorgd waren dat de modellen niet zo nauwkeurig zouden zijn als menselijke beveiligingsonderzoekers.

Het kost tijd – en het vraagt ook enorme hoeveelheden data – om een machine learning-model te trainen tot dezelfde nauwkeurigheid als een echt ervaren mens. Mensen zijn echter niet ‘schaalbaar’ en behoren tot de schaarste middelen in de IT-wereld van vandaag. We vertrouwen op marchine learning om de cybersecuritysoplossingen efficiënt op te schalen. Ook kan het ons helpen onbekende aanvallen op te sporen die voor mensen moeilijk te detecteren zijn, aangezien machine learning basisgedragingen kan opbouwen en afwijkingen die daarvan afwijken kan detecteren.

Uitdaging 2: toegang tot grote hoeveelheden trainingsdata, vooral gelabelde data.

Machine learning vereist een grote hoeveelheid data om modellen en voorspellingen nauwkeuriger te maken. Het verkrijgen van malwaremonsters is veel moeilijker dan het verkrijgen van data bij beeldverwerking en natuurlijke taalverwerking. Er zijn niet genoeg aanvalsdata, en veel data over veiligheidsrisico’s zijn gevoelig en niet beschikbaar vanwege privacyredenen.

Uitdaging 3: de ‘ground truth’

In tegenstelling tot beelden is de ground truth bij cybersecurity niet altijd beschikbaar of vaststaand. Het cybersecurityslandschap is dynamisch en verandert voortdurend. Geen enkele malwaredatabase kan beweren alle malware in de wereld te dekken, en er wordt elk moment meer malware gegenereerd. Wat is de ground truth waarmee we moeten vergelijken om onze nauwkeurigheid te bepalen?

Drie ernstigere ‘machine learning’-uitdagingen

Er zijn andere uitdagingen die voor machine learning in alle sectoren gelden, maar die ernstiger zijn voor het gebruik in cybersecurity.

• Uitdaging 1:verklaarbaarheid van modellen voor machine learning – Een uitgebreid begrip van de resultaten van machine learning is essentieel om de juiste actie te kunnen ondernemen.
• Uitdaging 2: schaarste aan talent – We moeten domeinkennis combineren met machine learning-expertise om het op welk gebied dan ook effectief te laten zijn. Het is al lastig om security- of machine learning-experts te vinden, maar nog lastiger is het om experts te vinden die beide goed kennen. Daarom is het volgens ons essentieel dat machine learning-datawetenschappers samenwerken met security-onderzoekers, ook al spreken ze niet dezelfde taal, gebruiken ze verschillende methodologieën en hebben ze verschillende denkwijzen en benaderingen. Het is heel belangrijk dat ze met elkaar leren samenwerken. Sterker nog: samenwerking tussen deze twee groepen is de sleutel tot een succesvolle toepassing van machine learning op cybersecurity.
• Uitdaging 3: ML-beveiliging – Vanwege de kritieke rol die cybersecurity in elk bedrijf speelt, is het nog belangrijker om ervoor te zorgen dat de machine learning die we bij cybersecurity gebruiken zelf veilig is.

Het doel van machine learning is om beveiliging efficiënter en schaalbaarder te maken in een poging om te helpen arbeid te besparen en onbekende aanvallen te voorkomen. Het is moeilijk om met menselijke arbeid op te schalen naar miljarden apparaten, maar machine learning kan dat gemakkelijk doen. En dat is de soort schaal die organisaties echt nodig hebben om zich te beschermen in het escalerende bedreigingslandschap. Machine learning is ook cruciaal voor het detecteren van onbekende aanvallen in veel kritieke infrastructuren. We kunnen ons zelfs niet één aanval veroorloven die leven of dood kan betekenen.

Hoe machine learning de toekomst van cybersecurity mogelijk maakt

Machine learning ondersteunt moderne cybersecurity-oplossingen op een aantal verschillende manieren. Stuk voor stuk zijn ze waardevol, maar samen zijn ze van groot belang voor het handhaven van een sterke beveiligingspositie in een dynamisch bedreigingslandschap.

• Identificatie en profilering – Omdat er voortdurend nieuwe apparaten op bedrijfsnetwerken worden aangesloten, is het voor een IT-organisatie niet eenvoudig om ze allemaal te kennen. Machine learning kan worden gebruikt om apparaten op een netwerk te identificeren en te profileren. Dat profiel kan de verschillende kenmerken en gedragingen van een bepaald apparaat bepalen.
• Geautomatiseerde anomaliedetectie – Machine learning gebruiken om snel bekend slecht gedrag te identificeren is een geweldige toepassing voor security. Nadat eerst apparaten zijn geprofileerd en reguliere activiteiten zijn begrepen, weet een systeem via machine learning wat normaal is en wat niet.
• ‘Zero-day’-detectie – Bij traditionele beveiliging moet een slechte actie minstens één keer worden gezien om als slechte actie te worden geïdentificeerd. Dat is de manier waarop malwaredetectie op basis van handtekeningen werkt. Machine learning kan op intelligente wijze voorheen onbekende vormen van malware en aanvallen identificeren om organisaties te helpen beschermen tegen potentiële zero-day-aanvallen.
• Inzichten op schaal – Met data en toepassingen op veel verschillende locaties is het menselijkerwijs niet mogelijk om trends in grote hoeveelheden apparaten te identificeren. Machine learning kan doen wat mensen niet kunnen, waardoor automatisering voor inzichten op schaal mogelijk wordt.
• Beleidsaanbevelingen – Het opstellen van een securitybeleid is vaak een zeer handmatige aangelegenheid, die tal van uitdagingen kent. Met inzicht in welke apparaten aanwezig zijn en wat normaal gedrag is, kan machine learning helpen om beleidsaanbevelingen te doen voor beveiligingsapparaten, waaronder firewalls. In plaats van handmatig te moeten navigeren door verschillende conflicterende toegangscontrolelijsten voor verschillende apparaten en netwerksegmenten, kan machine learning specifieke aanbevelingen doen die op een geautomatiseerde manier werken.

Kortom: nu er elke dag meer apparaten en bedreigingen online komen en menselijke beveiligingsmiddelen schaars zijn, kan alleen machine learning ingewikkelde situaties en scenario’s op schaal sorteren, zodat organisaties de uitdaging van cyberbeveiliging nu en in de komende jaren aankunnen.

Over de auteur: May Wang is Board member en Chief technology officer bij Palo Alto Networks.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op sociale media: LinkedIn, Twitter en Facebook.