AI in cyberbeveiliging: 6 gebruikssituaties

Cyberslechteriken maken gebruik van kunstmatige intelligentie (AI) om slimmere en succesvollere aanvallen uit te voeren. Het is duidelijk dat ook cyberbeveiligingsorganisaties AI cyberbeveiliging in hun arsenaal moeten opnemen om zichzelf te beschermen. "Organisaties kunnen het zich niet langer veroorloven om messen mee te nemen naar vuurgevechten", zegt Dr. Herbert Roitblat, Principal Data Scientist bij Mimecast.

AI in cyberbeveiliging kan ook een welkome bondgenoot zijn voor overbelaste en onderbezette cyberfuncties, door hen te helpen bij het ontcijferen van de onophoudelijke stortvloed aan bedreigingen die op hun organisaties afkomen, zodat zij zich kunnen richten op taken van een hogere orde. Verwacht wordt dat cyberleiders de komende jaren meer zullen uitgeven aan tools die AI ondersteunen. De wereldwijde markt voor AI-cyberbeveiligingstechnologieën zal naar verwachting tot 2027 groeien met een samengesteld groeipercentage van 23,6% en dan 46,3 miljard dollar bedragen, aldus Meticulous Research.[1]

Gebruik van AI in cyberbeveiliging

Hoe integreren toonaangevende cyberbeveiligingsorganisaties AI-mogelijkheden zoals machine learning en computer vision in hun cyberverdediging? Zes belangrijke toepassingen zijn:

• Opsporing van social engineering en spam
• Opsporing van anomalieën
• Preventie van DNS-gegevens exfiltratie
• Geavanceerde detectie van malware
• Vermindering van alertheidsmoeheid
• Identificatie van "zero-day"-uitbuitingen

Door deze voorbeelden van AI in cyberbeveiliging te verkennen, kunnen leiders zich voorstellen hoe ze AI in hun eigen organisatie kunnen toepassen om de toenemende verscheidenheid, omvang en snelheid van cyberrisico's te helpen identificeren en afweren.

Detectie van Social Engineering en Spam

Deep learning, een subset van machine learning, is een statistische techniek die computers in staat stelt complexere problemen op te lossen dan ooit tevoren. Zoals de naam al suggereert, is het krachtiger dan "oppervlakkiger" machinaal leren onder toezicht, waarbij de computer leert door een voorbeeld te nemen van gelabelde gegevens. In plaats daarvan worden bij deep learning grote hoeveelheden gegevens gebruikt om een diep neuraal netwerk te trainen, dat vervolgens na verloop van tijd zelfstandig leert hoe het beelden moet identificeren of andere taken moet uitvoeren.

Deep learning-modellen kunnen hoge nauwkeurigheidspercentages halen, zelfs voor aanvalsactiviteiten die slechts vaag zijn gedefinieerd. Ze worden gebruikt om niet-veilig-voor-werk en andere afbeeldingen (zoals logo's) te identificeren of om beter spamberichten en phishingpogingen te detecteren. Google heeft deep learning gebruikt om moeilijk te detecteren e-mails op basis van afbeeldingen, e-mails met verborgen inhoud en berichten van nieuw aangemaakte domeinen te blokkeren.[2]

Anomalieën opsporen

Geavanceerde patroonherkenning is een van de beste toepassingen van machine learning voor cyberbeveiliging. Cyberaanvallers verschuilen zich vaak binnen netwerken en onttrekken zich aan detectie door hun communicatie te versleutelen, gestolen inloggegevens te gebruiken en logbestanden te wissen of te wijzigen. Maar een algoritme voor machinaal leren dat is ontworpen om ongebruikelijk gedrag te signaleren, kan hen toch op heterdaad betrappen.

Omdat machine learning uitblinkt in het identificeren van patronen in gegevens - veel sneller dan een menselijke beveiligingsanalist - kan het activiteiten signaleren die traditionele benaderingen missen. Door continu het netwerkverkeer te monitoren op afwijkingen, bijvoorbeeld[3] kan een machine learning-model riskante patronen in de verzendfrequentie van e-mail detecteren die kunnen wijzen op het gebruik van e-mail voor een uitgaande aanval . Modellen kunnen ook worden geprogrammeerd om te letten op bedreigingen van binnenuit.[4] Bovendien kan machine learning zich aanpassen aan veranderingen door nieuwe gegevens op te nemen en zich aan dynamische omgevingen aan te passen.

Voorkomen van DNS data-exfiltratie

Kwaadwillenden zijn vastbesloten hun weg te vinden om bestaande cyberafweersystemen zoals firewalls en inbraakdetectie- en -preventiesystemen te omzeilen. Zij die waardevolle klant- of bedrijfsinformatie willen stelen, maken steeds vaker gebruik van het domeinnaamsysteem (DNS), de adreslijst van het internet, die "een zwakke schakel kan zijn in cyberbeveiligingspraktijken", aldus Black Hat, een organisatie die evenementen organiseert en publiceert.[5]

DNS-gegevens mogen over het algemeen door firewalls, en aanvallers kapen ze om hun malware te vervoeren, de controle over apparaten over te nemen en klantendossiers, e-mails en andere gevoelige gegevens te stelen.[6]

Machine learning kan zogeheten "DNS tunneling" voor data-exfiltratie opsporen en voorkomen, aldus Black Hat, met modellen die voortdurend trainen op triljoenen DNS-query's die dagelijks over de hele wereld worden gegenereerd en verzameld.

Geavanceerde malware opsporen

De detectie van malware bestond traditioneel uit het monitoren en doorzoeken van netwerkverkeer op overeenkomsten in handtekeningen - dat wil zeggen overeenkomsten met bekende indicatoren van compromittering [7] Deep learning biedt echter de mogelijkheid om enorme hoeveelheden gegevens te analyseren om conclusies te trekken over malware voordat deze ooit is geopend. Omdat malware snel evolueert, kunnen deep learning-modellen dat bijbenen. SearchSecurity zegt zelfs: "De beschikbaarheid van tientallen miljoenen gelabelde monsters van zowel malware als goedaardige toepassingen hebben dit tot een van de meest succesvolle toepassingen van deep learning en AI in cybersecurity gemaakt." [8]

Bestrijding van alarmmoeheid

AI in cyberbeveiliging kan ervoor zorgen dat het team in het Security Operations Center (SOC) niet wordt overspoeld door non-stop waarschuwingen over incidenten. Machinaal leren kan worden ingezet om waarschuwingen met een laag risico te triageren, repetitieve taken over te nemen en het basisniveau van informatie over bedreigingen waarvoor menselijke tussenkomst is vereist, te verhogen.[9] Beveiligingsprofessionals en -analisten blijven de leiding houden, maar hun machinale tegenhangers kunnen hen vrijmaken om zich te concentreren op taken op hoger niveau en besluitvorming.

Een MIT-startup heeft onlangs een gesloten-lusbenadering ontwikkeld: Machine learning-modellen signaleren mogelijke aanvallen, menselijke analisten beoordelen ze, en die feedback wordt weer in het model verwerkt. Beveiligingsanalisten kunnen productiever zijn, en het algoritme kan zijn prestaties in de loop van de tijd optimaliseren.[10]

Jacht op Zero-Day Exploits

Verdediging tegen zero-day-exploits is een van de grootste uitdagingen voor de moderne cyberbeveiligingsfunctie. Bij een zero-day-aanval introduceren daders malware door misbruik te maken van een softwarekwetsbaarheid die onbekend is bij (of nog moet worden gepatcht door) een leverancier. Traditionele beveiligingsmethoden voor endpoints, zoals antivirussoftware of patchbeheeroplossingen, kunnen een zero-day-exploit niet detecteren of voorkomen - het is te nieuw voor op handtekeningen gebaseerde tools om het op te sporen. AI kan echter wel helpen.

Deep learning-architecturen kunnen worden gebruikt om verborgen of latente patronen aan het licht te brengen en in de loop van de tijd contextbewuster te worden - beide zijn nuttig bij het identificeren van zero-day kwetsbaarheden of activiteiten. Natuurlijke taalverwerking kan broncode doorkammen om kwaadaardige bestanden te markeren. "Generative adversarial networks, die kunnen leren om eender welke verdeling van gegevens na te bootsen, kunnen ook nuttig blijken om complexe kwetsbaarheden op te sporen.

Vanuit een andere invalshoek heeft een team van de Arizona State University machine learning gebruikt om het verkeer op het dark web te volgen en gegevens over zero-day exploits te identificeren. Sindsdien hebben zij een startup gelanceerd die geavanceerde machine learning-algoritmen gebruikt, aangedreven door gegevens die zijn verzameld uit duizenden berichten en discussies van kwaadwillende actoren, om te voorspellen welke softwarezwakheden zij waarschijnlijk als volgende zullen aanpakken.[11],[12]

De kern van de zaak

AI verbetert de cyberbeveiliging op belangrijke gebieden, zoals bescherming tegen zero-day-exploits en het tegengaan van waarschuwingsmoeheid. Organisaties moeten de huidige en opkomende gebruiksscenario's voor AI in cyberbeveiliging bestuderen om hun verdedigingsstrategieën verder te ontwikkelen.

[1] "Artificial Intelligence (AI) in Cybersecurity Market Worth $46.3 Billion by 2027," Meticulous Research

[2] "Gmail blokkeert nu 100 miljoen extra spamberichten per dag met AI," The Verge

[3] "Anomaly detection in cybersecurity attacks on networks using MLP deep learning," IEEE.org

[4] "Deep Learning for Unsupervised Insider Threat Detection in Structured Cybersecurity Data Streams," AAAI-17 Workshop on Artificial Intelligence for Cybersecurity

[5] "DNS als een pad voor infiltratie en exfiltratie," Black Hat

[6] "Cyber Security - Inleiding tot DNS Tunneling," GeeksforGeeks

[7] "Cybersecurity Spotlight - Signature-Based vs Anomaly-Based Detection," Center for Information Security

[8] "Begrijp de top 4 use cases voor AI in cybersecurity," SearchSecurity

[9] "Zet AI in voor cyberbeveiliging, oogst sneller sterke verdediging," SearchSecurity

[10] "Een samenwerking tussen mens en machine ter verdediging tegen cyberaanvallen," MIT News

[11] "Machine Learning Goes Dark And Deep To Find Zero-Day Exploits Before Day Zero," Forbes

[12] "Startup provides recon for the cybersecurity battlefield," Arizona State University