content/nb-no/images/repository/isc/2020/ai-cyberseciruty-cover.jpg

Definisjon av AI, maskinlæring og dyp læring i cybersikkerhet

AI-cybersikkerhet, med støtte fra maskinlæring, kommer til å bli et kraftig verktøy i fremtiden. Som i andre bransjer har menneskelig samhandling lenge vært essensiell og uerstattelig innenfor sikkerhet. Cybersikkerhet avhenger for øyeblikket i stor grad av menneskelige faktorer, men vi opplever nå en gradvis endring der teknologien blir bedre til å utføre enkelte oppgaver enn mennesker.

Alle teknologiforbedringer fører oss et skritt nærmere en supplering av menneskelige roller på en mer effektiv måte. Blant disse utviklingene finner man et par sentrale forskningsområder:

  • Kunstig intelligens (AI) er designet til å gi datamaskiner alle menneskelige evner. Dette er en paraplydisiplin som har mange underkategorier, inkludert maskinlæring og dyp læring.
  • Maskinlæring (ML) bruker eksisterende atferdsmønstre til å utforme beslutningstaking basert på historiske data og konklusjoner. Menneskelige handlinger kreves fortsatt for noen endringer. Maskinlæring er så langt sannsynligvis den mest relevante disiplinen for AI-cybersikkerhet.
  • Dyp læring (DL) fungerer på samme måte som maskinlæring ved å ta avgjørelser basert på historiske mønstre, men gjør i tillegg egne justeringer. Dyp læring i cybersikkerhet hører for øyeblikket inn under maskinlæring, og derfor skal vi fokusere mest på det her.

Hva AI og maskinlæring kan gjøre for cybersikkerhet

AI og cybersikkerhet har blitt beskrevet som revolusjonerende og mye nærmere enn vi kanskje tror. Dette er imidlertid en sannhet med modifikasjoner, og vi bør ha dempede forventninger. Realiteten er at vi kanskje står overfor relativt gradvise forbedringer i den nærmeste fremtiden. Ting som kan virke gradvise sammenlignet med en fullstendig autonom fremtid, er faktisk fortsatt kvantesprang unna det vi har kunnet gjøre tidligere.

Etter hvert som vi utforsker aspektene ved sikkerhet innenfor maskinlæring og AI, er det viktig å definere de største problemområdene innenfor cybersikkerhet. Det finnes mange prosesser og aspekter man lenge har akseptert som normale, som kan behandles i samme kategori som AI-teknologier.

Menneskelig feil i konfigurasjon

Menneskelig feil er en betydelig del av svakhetene innenfor cybersikkerhet. Den forskriftsmessige systemkonfigurasjonen kan for eksempel være svært vanskelig å håndtere, selv med store IT-team som arbeider med oppsettet. Når det gjelder konstant innovasjon, har datamaskinsikkerhet blitt mer lagdelt enn noen gang. Responsive verktøy kan hjelpe team med å finne og redusere problemer som dukker opp når nettverkssystemer erstattes, endres og oppdateres.

Vurder hvordan nyere Internett-infrastruktur, for eksempel skybasert databehandling, kan stables på toppen av eldre lokale rammeverk. I foretakssystemer må et IT-team sørge for kompatibilitet for å sikre disse systemene. Manuelle prosesser for vurdering av konfigurasjonssikkerhet fører til at team blir utslitt ved at de hele tiden må balansere utallige oppdateringer med daglige gjøremål. Med smart og dynamisk automatisering kan team motta praktiske tips om nylig oppdagede problemer. De kan få tips om alternativer for å løse problemene, eller til og med få systemer til automatisk å justere innstillinger etter behov.

Menneskelig effektivitet med regelmessige aktiviteter

Menneskelig effektivitet er et annet problemområde innenfor cybersikkerhetsbransjen. Ingen manuell prosess blir gjentatt perfekt hver gang, spesielt i et dynamisk miljø som vårt. Det spesifikke oppsettet til en organisasjons mange endepunktmaskiner er blant de mest tidkrevende oppgavene. Selv etter den innledende konfigurasjonen opplever IT-team at de stadig kommer tilbake til de samme maskinene for å rette feilkonfigurasjoner eller utdaterte oppsett som ikke kan repareres via eksterne oppdateringer.

Når ansatte i tillegg må håndtere trusler, så kan omfanget av slike trusler raskt eskalere. I tilfeller der menneskelig fokus kanskje svekkes på grunn av uventede utfordringer, vil et system basert på AI og maskinlæring kunne fungere uten nevneverdige forsinkelser.

Trusselalarmtretthet

Trusselalarmtretthet utgjør nok en svakhet for organisasjoner hvis ikke dette håndteres på riktig måte. Angrepsflaten øker etter hvert som de tidligere nevnte lagene med sikkerhet blir mer avanserte og omfattende. Mange sikkerhetssystemer finjusteres for å kunne respondere på mange kjente problemer som mulig med en beskyttelse i form av refleksive varsler. Disse enkeltstående varslene fører til at menneskelige team må klekke ut potensielle løsninger og handle deretter.

Et stort antall varsler gjør dette nivået av beslutningstaking til en særdeles krevende prosess. Dette har ført til at beslutningstretthet har blitt dagligdags for personell innenfor cybersikkerhet. Proaktive tiltak for disse identifiserte truslene og sårbarhetene er ideelt, men mange team har verken tid eller ressurser til å håndtere alle truslene.

Noen ganger må team bestemme seg for å konfrontere de største bekymringene først og legge mindre viktige gjøremål til side inntil videre. Ved hjelp av AI i cybersikkerhet kan IT-team håndtere flere trusler på en effektiv og praktisk måte. Det vil bli mye enklere å konfrontere hver trussel hvis de slås sammen til automatisert merking. I tillegg til dette kan noen bekymringer faktisk behandles av selve maskinlæringsalgoritmen.

Trusselresponstid

Trusselresponstid er absolutt ett av de mest avgjørende aspektene for å måle effektiviteten til et cybersikkerhetsteam. Fra misbruk til distribusjon har ondsinnede angrep blitt kjent for å skje svært raskt. Trusselaktører i fortiden måtte bla gjennom nettverkstillatelser og deaktivere sikkerhet lateralt, noen ganger i ukevis, før de kunne starte et angrep.

Beklageligvis er eksperter innenfor cybersikkerhet ikke de eneste som drar nytte av de teknologiske nyvinningene. Automatisering har i den senere tiden blitt mer og mer vanlig i cyberangrep. Trusler, som det nylige angrepet fra LockBit-løsepengeviruset, har økt angrepstiden betydelig. For øyeblikket kan noen angrep utføres så raskt som på en halv time.

Den menneskelige responsen kan sakke akterut i forhold til det opprinnelige angrepet, selv når man står overfor kjente angrepstyper. Derfor har mange team heller brukt tid og ressurser på reaksjoner på vellykkede angrep enn å stoppe angrepene før de lykkes. På den annen side er uoppdagede angrep en fare i seg selv.

Maskinlæringsbasert sikkerhet kan trekke ut data fra et angrep og gruppere og klargjøre dataene umiddelbart for analyse. Slike data kan utstyre cybersikkerhetsteam med forenklede rapporter slik at behandling og beslutningstaking blir enklere. Denne typen sikkerhet dreier seg om mer enn bare rapportering, den kan også tilby anbefalte tiltak for å begrense ytterligere skade og hindre fremtidige angrep.

Identifikasjon og forutsigelse av nye trusler

Identifikasjon og forutsigelse av nye trusler er en annen faktor som påvirker responstidsrammer for cyberangrep. Som tidligere nevnt forekommer det allerede forsinkelse i forbindelse med eksisterende trusler. Ukjente angrepstyper, -atferder og -verktøy kan forvirre teamet ytterligere slik at responsen blir forsinket. Det som er enda verre, er at stille trusler, for eksempel datatyveri, noen ganger ikke bli oppdaget i det hele tatt. En undersøkelse utført av Fugue i april 2020 viste at omtrent 84 % av IT-team var bekymret over at deres skybaserte systemer ble forsøkt hacket uten at de visste om det.

Utvikling av kontinuerlige angrep som fører til nulldagerssårbarhet, er alltid en underliggende bekymring innenfor nettverksbeskyttelse. Men det finnes faktisk lyspunkter, for eksempel at cyberangrep vanligvis ikke bygges opp fra grunnen av. De blir ofte konstruert på toppen av atferder, rammeverk og kildekoder til tidligere angrep, og dermed har maskinlæring noe å ta utgangspunkt i.

Programmering i maskinlæring kan bidra til å fremheve fellestrekk mellom den nye trusselen og tidligere identifiserte trusler for å oppdaget et angrep. Dette er noe som mennesker ikke kan gjøre på en effektiv måte, og det er nok et bevis på at dynamiske sikkerhetsmodeller er nødvendige. Fra dette synspunktet kan maskinlæring potensielt gjøre det enklere for team å forutse nye trusler og redusere forsinkelser som skyldes økt trusselbevissthet.

Bemanningskapasitet

Bemanningskapasitet faller under omfanget med pågående problemer som plager mange IT- og cybersikkerhetsteam over hele verden. Avhengig av behovene til en organisasjon kan antallet kvalifiserte eksperter være begrenset.

Det som oftest skjer, er imidlertid at ansettelse av menneskelig hjelp også vil føre til et kraftig innhugg i budsjettet til en organisasjon. Bruk av menneskelige medarbeidere krever ikke bare kompensasjon for daglig arbeid, men også assistanse når det gjelder deres kontinuerlige behov for utdanning og sertifisering. Det å holde seg oppdatert som cybersikkerhetsekspert er krevende, spesielt når det gjelder den permanente innovasjonen vi tidligere har nevnt i denne veiledningen.

AI-baserte sikkerhetsverktøy kan gå i bresjen med et mindre team og bemanne og støtte det. Disse medarbeiderne må holde tritt med den moderne utviklingen innenfor AI og maskinlæring, mens kostnads- og tidsbesparelser vil komme som en følge av de reduserte bemanningskravene.

Tilpasningsevne

Tilpasningsevne er ikke en like åpenbar bekymring som andre ting nevnt tidligere, men kan føre til dramatiske endringer i mulighetene og evnene til en organisasjon når det gjelder sikkerhet. Menneskelige team mangler kanskje kapasiteten til å tilpasse ferdighetene sine til dine spesialkrav.

Hvis medarbeiderne ikke har fått opplæring om bestemte metoder, verktøy og systemer, vil du kanskje oppdage at teamets effektivitet blir redusert. Selv tilsynelatende enkle behov, for eksempel implementering av nye sikkerhetspolicyer, kan ta lang tid når menneskelige team er involvert. Dette handler bare om det å være menneske, ettersom vi ikke kan lære ting umiddelbart og må bruke tid på læreprosessen. Med de rette datasettene kan riktig opplærte algoritmer transformeres til å bli en skreddersydd løsning spesifikt for deg.

machine learning in cybersecurity

Hvordan AI brukes i cybersikkerhet

Kunstig intelligens i cybersikkerhet anses for å være et supersett med disipliner, for eksempel maskinlæring og dyp læring for cybersikkerhet, men det spiller faktisk også en egen rolle.

AI er i praksis basert på «suksess» der «nøyaktighet» har mindre å si. Naturlige responser på avansert problemløsing er det endelige målet. Når kunstig intelligens brukes, blir faktiske uavhengige beslutninger tatt. AIs programmering er designet for å finne den ideelle løsningen på et problem, i stedet for bare den logiske konklusjonen til datasettet.

For å forklare nærmere, så er det best å forstå hvordan moderne AI og dets underliggende disipliner fungerer. Autonome systemer har ikke samme omfang som mobile systemer, særlig innenfor området cybersikkerhet. Disse selvstyrte systemene er det mange ofte forbinder med AI. AI-systemer som assisterer eller forsterker våre beskyttelsestjenester, er imidlertid praktiske og tilgjengelige.

Den ideelle rollen til AI innenfor cybersikkerhet er tolkningen av mønstre som er opprettet av maskinlæringsalgoritmer. Det er selvsagt ennå ikke mulig for moderne utgaver av AI å analysere resultatene på menneskelig basis. Men det blir kontinuerlig utført arbeid for å utvikle dette fagområdet på jakt etter menneskelige rammeverk, men ekte AI er et fjernt mål som krever at maskiner bruker abstrakte konsepter innenfor problemløsing for å omformulere dem. Med andre ord er ikke dette nivået av kreativitet og kritisk blikk like nær sannheten som AI ønsker å få deg til å tro.

Hvordan maskinlæring brukes i cybersikkerhet

Maskinlæring i forbindelse med sikkerhetsløsninger skiller seg fra det man oppfatter å være relatert til kunstig intelligens. Når det er sagt, er slike løsninger uten tvil de sterkeste AI-verktøyene for cybersikkerhet som er tilgjengelige i dag. Innenfor denne teknologien brukes datamønstre til å beregne sannsynligheten for at en hendelse kommer til å skje eller ikke.

Maskinlæring er til en viss grad det motsatte av ekte AI. Maskinlæring er spesielt «nøyaktighetsdrevet», men ikke like fokusert på «suksess». Det betyr at maskinlæring har intensjon om å lære fra et oppgavefokusert datasett. Det konkluderer ved å finne den mest optimale ytelsen for en gitt oppgave. Maskinlæring vil fokusere på den ene mulige løsningen basert på gitte data, selv om det ikke er den ideelle løsningen. Med maskinlæring finnes det ingen sann tolkning av dataene, noe som betyr at dette ansvaret fortsatt må tas av mennesker.

Maskinlæring er ideelt for tidkrevende oppgaver som identifikasjon og bruk av datamønstre. Mennesker er ikke godt egnet til slike typer oppgaver på grunn av tretthet og generelt sett lav toleranse for monotone oppgaver. Mens tolkningen av data fortsatt må utføres av mennesker, kan maskinlæring bistå når det gjelder å implementere dataene i en lesbar og informativ presentasjon. Maskinlæring innenfor cybersikkerhet finnes i flere varianter, hver med sine unike fordeler:

Dataklassifisering

Dataklassifisering fungerer ved hjelp av forhåndsdefinerte regler som tilordner kategorier til datapunkter. Merking av disse punktene er en viktig del av å bygge en profil mot angrep, sårbarheter og andre aspekter av proaktiv sikkerhet. Dette er fundamentalt i skjæringspunktet mellom maskinlæring og cybersikkerhet.

Datagruppering

Datagruppering bruker ytterpunktene i klassifisering av forhåndsdefinerte regler og plasserer dem i «grupperte» datasamlinger med delte egenskaper eller utradisjonelle funksjoner. Dette kan for eksempel brukes under analyse av angrepsdata som et system ikke allerede er opplært til å gjøre. Disse gruppene kan bidra til å fastslå hvordan et angrep skjedde, og i tillegg hva som ble misbrukt og kompromittert. 

Anbefalte tiltak

Anbefalte tiltak benytter seg av proaktive handlinger i et sikkerhetssystem for maskinlæring. Dette er råd basert på atferdsmønstre og tidligere beslutninger, og de formidler foreslåtte tiltak. Det er viktig å understreke at dette ikke er intelligent beslutningstaking via ekte autonom AI. Det er snarere et dynamisk konklusjonsrammeverk som kan nå gjennom eksisterende datapunkter for å konkludere logiske relasjoner. Reaksjoner på trusler og reduksjon av risikoer kan bistås i stor grad med denne typen verktøy.

Mulighetsteori

Mulighetsteori kan brukes til å syntetisere helt nye muligheter basert på erfaringer fra tidligere data og nye ukjente datasett. Dette er litt annerledes enn anbefalinger, ettersom det fokuserer mer på mulighetene for at en handling eller tilstanden til et system sammenfaller med lignende situasjoner i fortiden. Denne teorien kan for eksempel brukes til forebyggende analyse av svake punkter i systemene til en organisasjon.

Forutsigende prognoser

Forutsigende prognoser er den mest fremoverrettede av maskinlæringskomponentens prosesser. Denne fordelen oppnås ved å forutsi potensielle resultater ved å evaluere eksisterende datasett. Dette kan brukes primært til å bygge trusselmodeller, skissere svindelforebygging, databrudd og beskyttelse, og er en mal for mange forutsigende endepunktløsninger.

Eksempler på maskinlæring i cybersikkerhet

For å forklare nærmere vises nå et par eksempler som understreker verdien av maskinlæring i forbindelse med cybersikkerhet:

Klassifisering og samsvar for datavern

Beskyttelse av organisasjonen mot brudd på personvernlover har sannsynligvis blitt en av de viktigste prioriteringene de siste årene. Med EUs personvernforordning (GDPR) i spissen har andre juridiske tiltak dukket opp, for eksempel California Consumer Protection Act (CCPA).

Håndtering av innsamlede data for kunder og brukere må foregå i samsvar med disse forskriftene, noe som vanligvis medfører at dataene må kunne slettes på forespørsel. Konsekvensene av ikke å følge disse forskriftene er store bøter og i tillegg svekkelse av organisasjonens omdømme.

Dataklassifisering kan bidra til å skille identifikasjon av brukerdata fra data som er anonymiserte eller identitetsløse. Dermed sparer du masse arbeid med å forsøke å skille ut store mengder gamle og nye data, spesielt i store eller gamle organisasjoner.

Sikkerhetsprofiler for brukeratferd

Ved å utforme tilpassede profiler for nettverksmedarbeidere basert på brukeratferd kan sikkerheten skreddersys etter organisasjonens behov. Denne modellen kan deretter fastsette hvordan en uautorisert bruker kan se ut, basert på ytterpunktene av brukeratferd. Subtile egenskaper, som tastetrykk, kan utgjøre en forutsigende trusselmodell. Med sannsynligheten for resultater av uautorisert brukeratferd kan maskinlæringssikkerhet foreslå anbefalte tiltak for å redusere utsatte angrepsflater.

Sikkerhetsprofiler for systemytelse

På samme måte som konseptet med brukeratferdsprofil, kan en tilpasset diagnoseprofil av hele datamaskinens ytelse kompileres når den er problemfri. Overvåking av prosessor- og minnebruk sammen med egenskaper som høy bruk av Internett-data kan være et tegn på ondsinnet aktivitet. Når det er sagt, kan det hende at noen brukere regelmessig bruker store datavolumer i forbindelse med videokonferanser eller ofte gjennomfører store nedlastinger av mediefiler. Ved å lære hvordan et systems grunnleggende ytelse generelt sett ser ut, kan man definere hvordan det ikke bør se ut, noe som minner om reglene for brukeratferd vi nevnte i et tidligere maskinlæringseksempel.

Atferdsbasert robotsperring

Robotaktivitet kan være en kontinuerlig tapping av båndbredde for nettsteder. Dette gjelder spesielt for brukere som er avhengig av Internett-basert forretningstrafikk, for eksempel brukere med dedikerte nettbutikker og ingen fysiske avdelinger. Autentiske brukere har kanskje en treg forbindelse som fører til at mye trafikk og mange salgsmuligheter går tapt.

Ved å klassifisere denne aktiviteten kan sikkerhetsverktøy for maskinlæring sperre robotenes nettbruk, uavhengig av verktøy som brukes, for eksempel virtuelle private nettverk som kan anonymisere dem. Atferdsdatapunkter for de ondsinnede partene kan hjelpe et sikkerhetsverktøy for maskinlæring med å utforme prognosemodeller for denne atferden, og på forhånd hindre at nye nettadresser viser den samme aktiviteten.

Fremtiden til cybersikkerhet

Til tross for den oppløftende dialogen rundt fremtiden til denne typen sikkerhet finnes det likevel begrensninger man bør være klar over.

Maskinlæring trenger datasett, men dette kan komme i konflikt med personvernlovgivning. Opplæring av programvaresystemer krever at rikelig med datapunkter bygger nøyaktige modeller som ikke fungerer godt sammen med «retten til å bli glemt». De menneskelige identifikatorene for noen data fører kanskje til brudd, og derfor må potensielle løsninger vurderes. Mulige løsninger inkluderer det å få systemer til å opprette originaldata som i praksis er umulige å få tilgang til så snart programvaren er lært opp. Anonymisering av datapunkter er også noe som vurderes, men dette må undersøkes ytterligere for å unngå forskyvninger i programlogikken.

Bransjen trenger flere eksperter på cybersikkerhet for kunstig intelligens og maskinlæring, som kan arbeide med programmering av dette omfanget. Nettverkssikkerhet for maskinlæring vil kunne høste store fordeler av å ha medarbeidere som kan opprettholde og justere sikkerheten etter behov. Det globale utvalget av kvalifiserte, opplærte eksperter er imidlertid mindre enn den enorme globale etterspørselen etter medarbeidere som kan formidle disse løsningene.

Menneskelige team vil fortsatt spille avgjørende roller. Til syvende og sist vil konstruktiv kritikk og kreativitet være helt avgjørende for beslutningstakingen. Som nevnt mye tidligere er ikke maskinlæring klar for eller i stand til å gjøre noen av delene, og det er heller ikke kunstig intelligens. Og du må også bruke disse løsningene til å forsterke eksisterende team.

3 tips for håndtering av cybersikkerhetsfremtiden

På veien frem mot sikkerhet basert på kunstig intelligens finnes det et par tiltak du kan gjennomføre for å nærme deg fremtiden:

  1. Vær fremtidsrettet i teknologien du utvikler. Kostnadene ved å bli utnyttet som et resultat av utdatert teknologi eller bruk av overflødig arbeidskraft vil bli mye større etter hvert som trusler blir mer og mer avanserte. Det å være langt fremme på dette området kan bidra til å redusere enkelte risikoer. Ved hjelp av fremtidsrettede løsninger, for eksempel Kaspersky Integrated Endpoint Security, vil du være bedre forberedt til å tilpasse deg.
  2. Utstyr teamene med kunstig intelligens og maskinlæring – ikke erstatt dem. Sårbarheter vil fortsatt forekomme, ettersom ingen systemer på dagens marked er feilfrie. Ettersom disse dynamiske systemene kan bli lurt av intelligente angrepsmetoder, må du sørge for at IT-teamet lærer seg å arbeide med og understøtte denne infrastrukturen.
  3. Oppdater datapolicyene regelmessig for å overholde forskrifter som stadig endres. Personvern har blitt et fokusområde for styringsorganer over hele verden. Derfor vil personvern være en av de største bekymringene for de fleste foretak og organisasjoner i den nærmeste fremtiden. Sørg for at du overholder de nyeste policyene.

Relaterte artikler:

Kunstig intelligens og maskinlæring i cybersikkerhet – hvordan dette vil forme fremtiden

Kunstig intelligens og maskinlæring i cybersikkerhet kan lette belastningene for menneskelig IT. Finn ut alt du trenger å vite i denne veiledningen.
Kaspersky Logo