Kunstig intelligens og maskinlæring inden for cybersikkerhed – sådan former de fremtiden

Definition af kunstig intelligens, maskinlæring og deep learning inden for cybersikkerhed

Cybersikkerhed baseret på kunstig intelligens og med støtte fra maskinlæring er et effektivt værktøj i en truende fremtid. Som det er tilfældet i andre industrier har menneskelig interaktion længe været en afgørende og uerstattelig faktor for sikkerhed. Cybersikkerhed er i øjeblikket stærkt afhængig af menneskelig input, men vi oplever gradvist, at teknologien bliver bedre end mennesker til at udføre visse specifikke opgaver.

Enhver teknologisk forbedring bringer os lidt tættere på at supplere de menneskelige roller mere effektivt. Blandt disse udviklingstendenser er der nogle afgrænsede forskningsområder, der udgør hele kernen:

• Kunstig intelligens (AI) er designet til at give computere samme reaktionsevne som den menneskelige hjerne. Dette er den overordnede disciplin, som mange andre områder falder ind under, herunder maskinlæring og deep learning.
• Maskinlæring (ML) bruger eksisterende adfærdsmønstre og træffer beslutninger baseret på tidligere data og konklusioner. Menneskelig indgriben er stadig nødvendig til visse ændringer. Maskinlæring er sandsynligvis det mest relevante AI-cybersikkerhedsområde til dato.
• Deep learning (DL) fungerer på samme måde som maskinlæring og træffer beslutninger ud fra tidligere mønstre, men foretager herudover selv justeringer. Deep learning inden for cybersikkerhed falder i øjeblikket inden for maskinlæring, så vi fokuserer mest på maskinlæring i denne sammenhæng.

Hvilken rolle kan kunstig intelligens og maskinlæring spille hos cybersikkerhed?

Kunstig intelligens og cybersikkerhed er blevet udråbt som revolutionerende og til at være meget tættere på, end vi tror. Dette er imidlertid ikke hele sandheden. Vi bør nemlig forholde os en smule afventende til dette spørgsmål. Faktum er nemlig, at vi snarere står over for relativt gradvise forbedringer i fremtiden. Men i det store billede er det, der ved første øjekast kan synes gradvis, når man sammenholder med et udgangspunkt, der handler om en fuldt ud selvkørende fremtid, faktisk stadig et stort spring i forhold til, hvad vi tidligere har været i stand til.

Når vi udforsker de mulige konsekvenser i forhold til sikkerhed i maskinlæring og kunstig intelligens, må vi først identificere de aktuelle smertepunkter inden for cybersikkerhed. Der er mange processer og aspekter, vi længe har accepteret som normale, der kan behandles under en paraply af AI-teknologier.

Menneskelige fejl i konfigurationen

Menneskelige fejl er en væsentlig del af svaghederne inden for cybersikkerhed. For eksempel kan den korrekte systemkonfiguration være utrolig vanskelig at administrere, endda også når store IT-teams står for opsætningen. I løbet af de seneste års konstante innovation er computersikkerhed blevet mere omfattende og lagdelt end nogensinde. Responsværktøjer kan hjælpe teams med at finde og afhjælpe problemer, der opstår, når netværkssystemer erstattes, ændres og opdateres.

Man bør derfor overveje, hvordan nyere internetinfrastruktur som cloud computing kan etableres oven på ældre lokale strukturer. I virksomhedssystemer skal et IT-team sikre kompatibiliteten for at sikre disse systemer. Manuelle processer til vurdering af konfigurationssikkerhed udmatter IT-medarbejdere, fordi de skal tackle endeløse opdateringer sammen med deres normale daglige supportopgaver. Med intelligent, adaptiv automatisering kan medarbejderne i stedet modtage rettidig underretning om nyopdagede problemer. De kan få anbefalinger til muligheder for at fortsætte, eller endda have etableret systemer til automatisk at justere indstillingerne efter behov.

Menneskelig effektivitet med gentagne aktiviteter

Menneskelig effektivitet er et andet smertepunkt inden for cybersikkerhedsbranchen. Ingen manuel proces gentages perfekt hver gang uden fejl, især ikke i et dynamisk miljø som vores. Den individuelle opsætning af en virksomheds mange slutpunktsmaskiner er blandt de mest tidskrævende opgaver. Selv efter den første opsætning er IT-teams nødt til at se på de samme maskiner igen på et senere tidspunkt for at korrigere fejlkonfigurationer eller forældede opsætninger, der ikke kan rettes med fjernopdateringer.

Når medarbejderne får til opgave at reagere på trusler, kan omfanget af den pågældende trussel desuden hurtigt ændre sig. Og hvor det menneskelige fokus kan blive fjernet af uventede udfordringer, kan et system baseret på kunstig intelligens og maskinlæring arbejde med minimal forsinkelse.

Beslutningstræthed over for trusselsalarmer

Beslutningstræthed over for trusselsalarmer er en anden svaghed hos virksomheder, hvis den ikke håndteres korrekt. Angrebsoverfladerne forøges, efterhånden som de førnævnte lag af sikkerhed bliver mere omfattende og vidtstrakte. Mange sikkerhedssystemer er indstillet til at reagere på mange kendte problemer med et væld af blot refleksive advarsler. Som følge heraf skal medarbejderne analysere disse individuelle prompter og træffe potentielle beslutninger og foretage yderligere handlinger.

En høj tilstrømning af advarsler gør dette niveau af beslutningstagning til en særlig omkostningstung proces. I sidste ende kan det skabe beslutningstræthed på daglig basis hos cybersikkerhedspersonalet. Det er naturligvis ideelt med proaktiv handling for disse identificerede trusler og sårbarheder, men mange teams mangler tid og personale til at dække alle områder.

Nogle gange er medarbejderne nødt til at prioritere de største bekymringer først og lade de sekundære bekymringer ligge. Ved at bruge kunstig intelligens i cybersikkerhedsindsatsen bliver det muligt for IT-teams at håndtere flere af disse trusler på en effektiv og praktisk måde. Det bliver meget lettere at konfrontere hver af disse trusler, hvis de er påhæftet en automatiseret mærkning. Ud over dette kan nogle bekymringer faktisk behandles af selve maskinlæringsalgoritmen.

Trusselsresponstid

Trusselsresponstid er absolut blandt de mest afgørende faktorer for effektiviteten hos et cybersikkerhedsteam. Uanset om det gælder udnyttelse eller udrulning, har ondsindede angreb altid været kendt for at blive udført meget hurtigt. Tidligere måtte hackere gennemgå netværksrettigheder og afvæbne sikkerheden lateralt, nogle gange i mange uger, før de udførte deres angreb.

Det er nemlig desværre ikke kun eksperter i cyberforsvarsområdet, som nyder godt af teknologiske innovationer. Automatisering er blevet mere og mere almindelig i cyberangreb. Trusler som de seneste LockBit-ransomware-angreb har accelereret angrebstiderne betydeligt. For øjeblikket kan nogle angreb faktisk ske så hurtigt som inden for en halv time.

Den menneskelige responstid kan halte langt bagefter det første angreb, endda ved velkendte angrebstyper. Af denne grund har mange IT-afdelinger prioriteret at optimere responstiden på de gennemførte angreb frem for forebyggelse af angrebsforsøg. I den anden ende af spektret udgør de uopdagede angreb en fare i sin helt egen liga.

Maskinlæringsassisteret sikkerhed kan udtrække data fra et angreb, og disse data kan grupperes med det samme og forberedes til analyse. Dermed kan cybersikkerhedsteams få forenklede rapporter, der gør behandlingen og beslutningstagningen langt nemmere og mere effektiv. Ud over rapportering kan denne type sikkerhed også levere anbefalede handlinger til begrænsning af yderligere skader og forebyggelse af fremtidige angreb.

Ny trusselsidentifikation og -forudsigelse

Ny trusselsidentifikation og -forudsigelse er en anden faktor, der påvirker responstidsrammerne for cyberangreb. Som nævnt tidligere forekommer der allerede forsinkelse ved de eksisterende trusler. Ukendte angrebstyper, adfærd og værktøjer kan yderligere medvirke til langsomme responstider. Endnu værre er det, at de mere diskrete trusler, som for eksempel datatyveri, nogle gange kan gå upåagtet hen. En undersøgelse fra april 2020 foretaget af Fugue viste, at ca. 84 % af de adspurgte IT-teams var bekymrede over, om deres cloudbaserede systemer blev hacket uden deres vidende.

Udviklingen af konstante angreb, der fører til nuldagssårbarheder, er altid en underliggende bekymring inden for forsvaret af netværk. Men de gode nyheder er dog, at cyberangreb normalt ikke bygges op fra bunden. De bygges oven på adfærd, rammer og kildekoder for tidligere angreb, og derfor har maskinlæring en allerede eksisterende ramme at arbejde ud fra.

Programmering med udgangspunkt i maskinlæring kan hjælpe med at fremhæve fællestræk mellem den nye trussel og tidligere identificerede trusler og på den måde opdage et angreb. Dette er noget, som mennesker ikke kan gøre effektivt inden for en fornuftig tidsramme, og det understreger yderligere, at adaptive sikkerhedsmodeller er nødvendige. Ud fra dette synspunkt kan maskinlæring potentielt gøre det lettere for IT-teams også at forudsige nye trusler og reducere forsinkelsen på grund af øget trusselsbevidsthed.

Personalekapacitet

Personalekapacitet er også et vedvarende problem, der udfordrer mange IT-teams og cybersikkerhedsteam verden over. Afhængigt af virksomhedens behov kan der være et begrænset udbud af kvalificerede fagfolk.

Men det er mere udbredt, at ansættelse af personale er en meget stor post i virksomhedsbudgettet. Ansættelse af medarbejdere indebærer ikke blot løn for den daglige arbejdskraft, men også understøttelse af deres løbende behov for uddannelse og certificering. Som cybersikkerhedsmedarbejder er det en omfattende opgave at holde sig opdateret, især på grund af den konstante innovation i branchen.

Sikkerhedsværktøjer baseret på kunstig intelligens giver mulighed for at understøtte et mindre team af medarbejdere. Og selvom disse medarbejdere bliver nødt til at holde trit med de banebrydende områder inden for kunstig intelligens og maskinlæring, vil omkostnings- og tidsbesparelser følge med et mindre antal medarbejdere.

Tilpasningsevne

Tilpasningsevne er ikke så indlysende en bekymring som de andre nævnte områder, men kan ændre en virksomheds sikkerhedskapacitet dramatisk. Medarbejdere kan mangle evnen til at tilpasse deres færdigheder til virksomhedens specialiserede behov.

Hvis personalet ikke er uddannet i specifikke metoder, værktøjer og systemer, kan du opleve, at teamets effektivitet bliver hæmmet som følge heraf. Selv tilsyneladende simple behov, f.eks. at indoptage nye sikkerhedspolitikker, kan gå meget langsomt med medarbejderbaserede teams. Det er menneskets natur, for vi kan ikke lære nye måder at gøre tingene på med det samme. Vi har brug for tid. Med de rigtige datasæt kan passende indlærte algoritmer omdannes til at være en skræddersyet løsning specielt til dig.

Sådan bruges kunstig intelligens inden for cybersikkerhed

Kunstig intelligens inden for cybersikkerhed er en overordnet ramme af discipliner som f.eks. maskinlæring og deep learning, men den har sin egen rolle at spille i denne sammenhæng.

Kunstig intelligens er i sin kerne koncentreret om "succes", hvor "nøjagtighed" vægtes i mindre grad. Naturlige reaktioner i udførlig problemløsning er det ultimative mål. I en ægte kunstig intelligens træffes der faktiske uafhængige beslutninger. Dens programmering er designet til at finde den ideelle løsning i en situation, snarere end blot den kontante logiske konklusion af datasættet.

Før vi går videre, er det vigtigt at forstå, hvordan moderne kunstig intelligens og dens underliggende discipliner fungerer for øjeblikket. Selvstyrede systemer er ikke udbredt inden for de bredt mobiliserede systemer, især ikke når det kommer til cybersikkerhed. Disse selvstyrede systemer er det, mange mennesker normalt forbinder med kunstig intelligens eller AI (artificial intelligence). Men den slags AI-systemer, der enten hjælper eller forstærker vores beskyttelsestjenester, er både praktiske og almindeligt tilgængelige.

Den ideelle rolle, som kunstig intelligens spiller inden for cybersikkerhed, er fortolkningen af de mønstre, der er etableret af algoritmer til maskinlæring. Det er selvfølgelig endnu ikke muligt for moderne kunstig intelligens at fortolke resultater med et menneskes færdigheder. Man arbejder på at udvikle dette område i jagten på menneskelignende rammer, men udviklingen af en ægte kunstig intelligens ligger langt ude i fremtiden og kræver, at maskiner indoptager abstrakte koncepter på tværs af situationer og omformer dem. Med andre ord er dette niveau af kreativitet og kritisk tænkning ikke så tæt på at blive en realitet, som nogle entusiaster gerne vil have dig til at tro.

Sådan bruges maskinlæring inden for cybersikkerhed

Sikkerhedsløsninger baseret på maskinlæring er ofte meget forskellige fra, hvad folk forestiller sig, når det kommer til kunstig intelligens og dens lignende teknologier. Når det er sagt, er de sandsynligvis de stærkeste AI-værktøjer til cybersikkerhed, vi til dato har haft. Inden for rammerne af denne teknologi bruges datamønstre til at afsløre sandsynligheden for, at en hændelse vil indtræffe eller ej.

Maskinlæring er i mange henseender det modsatte af ægte kunstig intelligens. Maskinlæring er særligt drevet af "nøjagtighed", men ikke så fokuseret på "succes". Det betyder, at maskinlæring fortsætter med at lære af et opgavefokuseret datasæt. Maskinlæringen konkluderer ud fra den mest optimale præstation af en given opgave. Den vil forfølge den eneste mulige løsning baseret på de givne data, også selvom det ikke er den ideelle løsning. Med maskinlæring findes der ingen sand fortolkning af dataene. Det betyder, at dette ansvar stadig hviler på menneskelige brugere.

Maskinlæring udmærker sig ved kedelige opgaver såsom identifikation og tilpasning af datamønstre. Mennesker er ikke velegnede til disse typer opgaver på grund af en generelt lav tolerance for monotoni. Så mens fortolkningen af dataanalyse stadig ligger i menneskenes hænder, kan maskinlæring hjælpe med at indramme dataene i en læsbar præsentation, der er let at fortolke. Cybersikkerhed baseret på maskinlæring findes i flere forskellige former, hver med sine egne unikke fordele:

Dataklassificering

Dataklassificering fungerer ved at bruge forudindstillede regler til at tildele datapunkter kategorier. Tildelingen af disse datapunkter er en vigtig del af opbygningen af en profil om angreb, sårbarheder og andre aspekter af proaktiv sikkerhed. Dette er grundlæggende for skæringspunktet mellem maskinlæring og cybersikkerhed.

Dataklyngedannelse

Dataklyngedannelse tager de afvigende elementer, klassificerer forudindstillede regler og placerer dem i "klynger" af data med delte træk eller afvigende egenskaber. Dette kan for eksempel bruges til analyse af angrebsdata, som et system ikke allerede er indlært til. Disse klynger kan hjælpe med at bestemme, hvordan et angreb foregik, samt hvad der blev udnyttet, og hvad der var udsat. 

Anbefalede handlinger

Anbefalede handlinger øger de proaktive mål for et sikkerhedssystem, som er baseret på maskinlæring. Disse består af underretninger baseret på adfærdsmønstre og tidligere beslutninger, der giver mulighed for at anbefale deraf naturligt afledte handlinger. Her er det vigtigt igen at understrege, at dette ikke er intelligent beslutningstagning foretaget af en ægte, selvstyret kunstig intelligens. Det er snarere en adaptiv konklusionsramme, der arbejder sig gennem allerede eksisterende datapunkter for at indgå i en række logiske relationer. Trusselsreaktioner og afbødende risici kan understøttes betydeligt med denne type værktøj.

Mulighedssyntese

Mulighedssyntese giver mulighed for syntetisering af helt nye muligheder baseret på erfaringer fra tidligere data og nye ukendte datasæt. Dette er lidt anderledes end anbefalinger, da syntesen koncentrerer sig mere om chancerne for, at en handling eller et systems tilstand er i overensstemmelse med lignende tidligere situationer. For eksempel kan denne syntese bruges til en forebyggende undersøgelse af svage punkter i en virksomheds systemer.

Forudsigende prognoser

Forudsigende prognoser er den mest fremadrettede tænkning af komponentprocesserne i maskinlæring. Denne fordel opnås ved at forudsige potentielle resultater gennem evaluering af eksisterende datasæt. Dette kan primært bruges til at opbygge trusselsmodeller, skitsere forebyggelse af svindel, beskytte brud på datasikkerheden og er en del af mange forudseende slutpunktsløsninger.

Eksempler på maskinlæring inden for cybersikkerhed

Som yderligere forklaring er her et par eksempler, der understreger værdien af maskinlæring, i det omfang den er relevant for cybersikkerhed:

Klassificering og overholdelse af regler for databeskyttelse

I de seneste par år er beskyttelsen af din virksomhed mod overtrædelser af lovgivning om privatlivets fred og beskyttelse af persondata sandsynligvis blevet en topprioritet. Efter implementering af EU-databeskyttelsesforordningen (GDPR) er andre retlige foranstaltninger fremkommet, såsom California Consumer Protection Act (CCPA).

Håndtering af indsamlede data fra dine kunder og brugere skal ske i henhold til disse forordninger, hvilket normalt betyder, at disse data skal kunne slettes efter anmodning. Konsekvenserne af ikke at følge disse forordninger omfatter store bøder samt skader på virksomhedens omdømme.

Dataklassificering kan hjælpe dig med at adskille identificering af brugerdata fra data, der er anonymiseret, eller som ikke kan identificeres. Dette sparer dig for meget manuelt arbejde med at fortolke store samlinger af gamle og nye data, især i større eller ældre virksomheder.

Sikkerhedsprofiler for brugeradfærd

Det er muligt at skræddersy sikkerheden til din virksomhed ved at oprette brugerdefinerede profiler på netværkspersonalet ud fra brugeradfærd. Denne model kan derefter fastslå, hvordan en uautoriseret bruger kan se ud, baseret på afvigende brugeradfærd. Subtile træk som tastetryk kan hjælpe med at udforme en forudseende trusselsmodel. Med skitseringen af mulige resultater af potentiel uautoriseret brugeradfærd kan maskinlæringsbaseret sikkerhed foreslå anbefalet brug med henblik på at reducere de eksponerede angrebsflader.

Sikkerhedsprofiler for systemydeevne

I lighed med konceptet for brugeradfærd er det muligt at kompilere en brugerdefineret diagnoseprofil for hele computerens ydeevne, når det giver mening. Overvågning af processor- og hukommelsesbrug sammen med karaktertræk som omfattende internetdatabrug kan være tegn på skadelig aktivitet. Når det er sagt, kan nogle brugere regelmæssigt bruge store mængder data via videokonferencer eller hyppige overførsler af store mediefiler. Ved at lære, hvordan et systems grundlæggende ydeevne generelt ser ud, bliver det muligt at fastslå, hvordan det ikke skal se ud, når man ser på de brugeradfærdsregler, vi nævnte i et tidligere eksempel med maskinlæring.

Adfærdsbaseret bot-blokering

Bot-aktivitet kan være yderst drænende for den indgående båndbredde på websteder. Dette gælder især for virksomheder, der er afhængige af internetbaseret forretningstrafik, f.eks. hvis de har dedikerede webshops og ingen fysisk butik. Autentiske brugere kan få en langsom brugeroplevelse, hvilket forårsager tab af trafik og mindre omsætning.

Ved at klassificere denne aktivitet kan maskinlæringsbaserede sikkerhedsværktøjer blokere botterne, uanset hvilke værktøjer der bruges, såsom virtuelle private netværk, der kan anonymisere botterne. Adfærdsmæssige datapunkter fra de ondsindede parter kan hjælpe et maskinlæringsværktøj med at danne forudsigelsesmodeller for denne adfærd og som forebyggelse blokere nye webadresser, som udviser en lignende aktivitet.

Cybersikkerhedens fremtid

På trods af al den glødende dialog om fremtiden for denne form for sikkerhed er der stadig begrænsninger, man bør være opmærksom på.

Maskinlæring har brug for datasæt, men kan være i konflikt med databeskyttelseslovgivningen. Træning af softwaresystemer kræver masser af datapunkter for at bygge nøjagtige modeller, som ikke passer så godt til "retten til at blive glemt". De menneskelige identifikatorer for nogle data kan nemlig forårsage overtrædelser, så derfor bør man overveje potentielle løsninger. En mulig løsning er at få systemerne til at gøre det næsten umuligt at få adgang til de originale data, når softwaren er blevet trænet. Anonymisering af datapunkter er også en mulighed, men dette skal undersøges yderligere for at undgå at kompromittere programlogikken.

Branchen har brug for flere cybersikkerhedseksperter inden for AI og ML, der kan arbejde med programmering inden for dette område. Netværkssikkerhed baseret på maskinlæring kræver altså medarbejdere, der kan vedligeholde og justere det efter behov. Men den globale pulje af kvalificerede, uddannede individer er mindre end den enorme globale efterspørgsel efter medarbejdere, der kan levere disse løsninger.

Derfor kan medarbejderbaserede teams stadig ikke undværes. Endelig vil kritisk tænkning og kreativitet være afgørende for beslutningstagningen. Som nævnt tidligere er maskinlæring ikke forberedt eller i stand til at gøre dette, og det er kunstig intelligens heller ikke. Hvis du vil fortsætte ad denne vej, skal du bruge disse løsninger til at udvide dine eksisterende IT-teams.

3 Tips til at imødegå fremtiden inden for cybersikkerhed

På vejen mod kunstig intelligens som sikkerhedsforanstaltning er der et par skridt, du kan tage for at komme tættere på fremtiden:

1. Invester i at forblive fremtidsfokuseret med din teknologi. Omkostningerne ved at blive udnyttet på grund af forældet teknologi eller ved at bruge overflødig manuel arbejdskraft vil være langt større, efterhånden som truslerne bliver mere omfattende. Hvis I holder jer forrest i feltet, kan det være med til at mindske en vis risiko. Fremsynede løsninger såsom Kaspersky Integrated Endpoint Security gør jer mere forberedt på den nødvendige tilpasning.
2. Brug kunstig intelligens og maskinlæring til at supplere dine IT-teams, ikke til at udskifte dem. Sårbarheder vil stadig eksistere, da intet system på markedet i dag er idiotsikret. Og selv om adaptive systemer kan bedrages af smarte angrebsmetoder, skal du sørge for, at dit IT-team lærer at arbejde med og understøtte denne infrastruktur.
3. Opdater rutinemæssigt dine datapolitikker for at overholde den ændrede lovgivning. Databeskyttelse er blevet et knudepunkt for myndigheder over hele kloden. Som sådan vil databeskyttelse forblive blandt de områder, der giver anledning til bekymring for de fleste virksomheder og organisationer inden for en overskuelig fremtid. Sørg for, at I overholder de seneste politikker.

Relaterede artikler:

• Falske videoer og Deepfake – Hvordan kan brugerne beskytte sig selv?
• Hvad er en honeypot? Hvordan det kan tiltrække cyberangreb
• Hvad er et sikkerhedsbrud?
• Hvad er cloudsikkerhed?
• Er 5G-teknologi farligt? – Fordele og ulemper ved 5G-netværk