Machine learning biedt grote potentie voor beveiliging
Machine learning (ML) en artificial intelligence (AI) zijn de buzzwords van dit moment in de IT. Dat geldt ook op het gebied van security, waar teams een dringende behoefte hebben aan meer geautomatiseerde methoden voor het detecteren van bedreigingen en kwaadaardig gebruikersgedrag. Deze teams worden namelijk vaak overspoeld met meldingen, omdat de meeste detectiemethoden nog gebaseerd zijn op handmatig onderzoek. ML en AI kunnen eraan bijdragen dat securityteams het gemakkelijker krijgen.
Definities
Wat verstaan we eigenlijk onder AI, ML en de bijbehorende data-science? AI is een technologie die een computer iets laat doen wat normaal gesproken door een mens wordt gedaan en wat intelligentie, analyse en besluitvorming vereist. ML is een technologie die zorgt dat een computer iets kan leren op basis van eerdere ervaringen. Dat gebeurt aan de hand van algoritmes. ML leidt op die manier tot AI. Beide technologieën vallen onder het vakgebied van data-science: de discipline om concrete, praktische informatie uit data te halen.
Rol van AI en ML in security
Security-teams komen in hun dagelijkse werk grote aantallen false positives en false negatives tegen.
Zij worden tegenwoordig dusdanig overspoeld met alerts dat de wal het schip keert. Teams kunnen inmiddels niet meer snel genoeg werken om alle meldingen bij te houden. Machine learning kan hier uitkomst bieden, doordat het bepaalde typen patronen sneller kan detecteren dan de mens. Bovendien hoeft een computer niet vooraf geprogrammeerd te zijn om alle patronen te kennen.
Met ML ‘leert’ het systeem verdachte patronen te herkennen.
Geen ei van Columbus
AI en ML worden vaak gepresenteerd als het ei van Columbus voor de securitybranche. Maar zover is het nog niet. Het zal nog veel tijd en inspanning kosten voordat AI en ML zo sterk zijn doorontwikkeld dat ze een SOC optimaal kunnen ontlasten.
Wanneer een systeem op dit moment bijvoorbeeld een verdachte creditcardtransactie detecteert, is er nog menselijke tussenkomst nodig om de juiste acties te nemen: pas blokkeren, de klant inlichten etc. Dit proces is deels al geautomatiseerd, maar er zijn nog geen AI- of ML-systemen die het hele proces van begin tot eind volledig geautomatiseerd kunnen afhandelen.
Hoewel ze geen ei van Columbus zijn, bieden AI en ML op termijn wel enorme kansen voor het oplossen van huidige en toekomstige beveiligingsuitdagingen. Om te beginnen kunnen SOC’s in de toekomst beter inspelen op het tekort aan medewerkers, dat in de toekomst alleen nog maar nijpender wordt door het toenemend belang van technologie. De verwachting is dat het aantal incidenten zoveel toeneemt, dat handmatige verwerking absoluut geen optie is. ML en AI zullen het grote aantal incidenten sneller, effectiever, efficiënter en accurater kunnen aanpakken. Verder zal ML een rol van betekenis kunnen spelen bij zaken zoals:
Dreigingsvoorspelling en -detectie: Met ML zijn afwijkingen in verkeer en gebruikersgedrag te detecteren en te analyseren en de activiteit om opkomende bedreigingen te herkennen, zodat aanvallen tegengehouden kunnen worden.
Risicobeheer: ML is goed inzetbaar voor het monitoren van IT-assets, configuraties, netwerkverbindingen en andere infrastructuurelementen. Zo is kwetsbaarheidsinformatie te generen en te gebruiken.
Dreigingsreactie en herstel: Na detectie van een incident zijn de juiste reacties en herstel nodig. Met ML is een goede beoordeling en analyse van de incidenten mogelijk om daarna de volgende stappen te nemen die zorgen voor herstel, zonder schade aan de bedrijfsvoering.
Forensisch onderzoek: Elke aanval levert nieuwe forensische informatie op, die te gebruiken is om nieuwe aanvallen te identificeren en af te slaan.
De inzet van User and Entity Behavior Analytics (UEBA): Met deze technologie wordt het gedrag van gebruikers en apparaten (entities) in een IT-omgeving gemonitord en geanalyseerd. 
Dat gebeurt al met behulp van een vorm van ML. Tot nu toe is daarbij nog de noodzakelijke beveiligingscontext nodig om inzicht te verschaffen in de betekenis van een afwijking. Machine learning zal UEBA op termijn aanzienlijk effectiever kunnen maken, doordat het kan omgaan met hoge datavolumes, waarna het ‘gekwalificeerde’ bedreigingen goed kan identificeren. Het zal vooral beter mogelijk zijn om moeilijk te traceren bedreigingen, zoals insider threats of het heimelijk gebruik van privileged accounts, te detecteren.
ML en AI zijn veelbelovende technologieën voor de securityfunctie van een organisatie, omdat ze inspelen op de twee grootste uitdagingen van de toekomst: een gebrek aan gekwalificeerde medewerkers en een sterke toename van bedreigingen. Daarom horen ze op de agenda van iedere organisatie.
Andrew Hollister is Sr. Technical Director EMEA bij LogRhythm
Meer over
Lees ook
Proofpoint introduceert eerste agentic AI-oplossing voor menselijke communicatie
Proofpoint, Inc. introduceert de eerste agentic AI-oplossing voor menselijke communicatie (Human Communications Intelligence, HCI) in de sector. Dit is een belangrijke stap voor hoe organisaties compliancerisico’s in realtime opsporen, begrijpen en beperken.
AI-app ‘Lovable’ gebruikt door cybercriminelen
Er wordt tegenwoordig vaak gevraagd naar de impact van AI op het dreigingslandschap. Hoewel er wordt geconstateerd dat door grote taalmodellen (LLM) gegenereerde e-mails of scripts weinig impact hebben, de drempel voor digitale criminaliteit door sommige AI-tools wordt verlaagd. Neem bijvoorbeeld diensten die met behulp van AI binnen enkele minute1
De evolutie van cloudbeveiliging: meer en meer druk op beveiligingsteams
Het gebruik van de cloud neemt snel toe. Gartner voorspelt dat 90% van de organisaties tegen 2027 hybride clouds zullen implementeren. Er zijn veel redenen waarom organisaties hun on-premises infrastructuur migreren naar de cloud. Het kan de snelheid en schaal van computing resources verhogen, de betrouwbaarheid en veerkracht verbeteren