Toegegeven, het zal nog lang duren voordat cybersecurity helemaal autonoom kan draaien dankzij machine learning (ML). Wij mensen zijn nog steeds de meest geavanceerde component in de verdedigingsline. En dat zal voorlopig wel zo blijven. Onze ervaring, analytische skills en het vermogen om samen te werken worden met ML echt nog niet behaald. Niettemin is ML nu al een zeer krachtige technologie. Zeker in combinatie met andere technologieën, securityspecialisten en onderzoekers, staan verdedigers een stuk sterker dankzij ML. Hoe past machine learning hier nu precies in?
Zoeken naar patronen
Om te beginnen is machine learning een containerbegrip. Hieronder vallen talloze technieken en uiteenlopende onderzoeksgebieden. Als er voor een probleem machine learning wordt toegepast kan het gaan om een enkel algoritme. Maar ook om honderden, zelfs duizenden algoritmes die samenwerken. Niet elk probleem leent zich voor een ML-oplossing. Als een probleem bijvoorbeeld in een bekend domein valt, bijvoorbeeld het opsporen van mislukte logins binnen een IT-omgeving, zijn daar al goede oplossingen voor en heeft het toepassen van ML weinig zin. Maar als die login-data verder geanalyseerd moeten worden om patronen te vinden in samenhang met locatie van de gebruikers, hun functie, hun reisschema en het tijdstip van login, kan machine leaning zeer waardevol zijn.
Wat is er nodig?
Voor succesvolle toepassingen van machine learning is een combinatie nodig van een gezonde dataverzameling als basis. Dit is de zogeheten ‘ground truth’. Daarnaast zijn goede datawetenschappers die de algoritmes ontwikkelen en verfijnen nodig. Als je die niet hebt, dan leert de machine niks, of de verkeerde dingen. Ik kan het niet genoeg benadrukken: als die ground truth te beperkt is, of als de datawetenschappers (onbewust) vooringenomen zijn of geneigd zijn naar een bepaalde conclusie te willen toewerken, krijgen we verkeerde resultaten. Denk daarbij aan false positives en false negatives. Of de resultaten zijn vertekend. Dat levert verwarring op in plaats van waarde.
Machine learning speelt al een belangrijke rol in ons onderzoek naar dreigingen en bij het samenstellen van informatie voor onze klanten. Elke dag analyseren we bijna twee miljoen malware samples en meetgegevens van duizenden ‘honey pots’, miljoenen DNS-requests en miljarden e-mails. Bij elkaar genomen vormt dit onze ground truth. Dankzij de hoeveelheid én de diversiteit data, zijn we in staat om meer dreigingen op te sporen en te blokkeren. Daarnaast help ML de ‘ruis’ te verminderen. Hierdoor kan ons team van meer dan 250 researchers zich richten op de geavanceerde dreigingen die door een expert onderzocht moeten worden.
Aanval behoorlijk frustreren
Het zijn natuurlijk niet alleen de verdedigers die gebruik maken van machine learning. Slimme aanvallers maken ook van de meest geavanceerde technologie gebruik om zwakke plekken te vinden en de verdediging te omzeilen. ML maakt dus geen definitief einde aan de wapenwedloop tussen cybercriminelen en securityspecialisten. Maar met ML kunnen we wel een aantal aanvalsmethoden behoorlijk frustreren of zelfs waardeloos maken. Zo hebben we ML ingezet om versleuteld verkeer toch te kunnen analyseren, om versleutelde botnets te detecteren en om cryptomining op te sporen. Samen met andere technologie en securityexperts, kunnen we dankzij ML de cybercriminelen weer een stap voor zijn.
Michel Schaalje, Directeur Security Cisco Nederland
