AI och cybersäkerhet: människa vs maskin

Vad artificiell intelligens och maskininlärning kan göra för er IT-säkerhet, och inte

av Jakob Premrn, Conscia SOC

Numera är maskiner en vardaglig del av våra liv. Maskiner och människor kan ses sida vid sida allt oftare – från fabriker där maskiner utför repetitiva uppgifter, sjukhus där de hjälper läkare med diagnostik till cybersäkerhet där artificiell intelligens (AI) och maskininlärning (ML) analyserar miljarder impulser av data varje sekund. Vilken roll har de – och vilken har vi idag?

AI Mänsklig och Artificiell intelligens för bättre cybersäkerhet
Maskiner kan vara extremt exakta och effektiva i välkända scenarier. De kan hantera stora datamängder. Maskiner gör sällan några misstag, och även om ett misstag inträffar kan det rättas så att det inte händer igen. Å andra sidan tenderar människor att göra misstag oftare. Därför verkar den bästa lösningen vara användningen av en kombination av mänsklig och artificiell intelligens.

Låt oss titta närmare på hur maskiner dagligen hjälper oss i vårt arbete med cybersäkerhet. Cybersäkerhetsanalytiker har en viktig roll i vår Security Operations Center (SOC). Vi är ett team av experter som kan möta de mest utmanande frågorna – föreställ dig Dr House’s team i den populära TV-serien.

_________________________________________________________________________________________________________________

Cyberattacker - stoppa cybertjuvar med SOC Conscia WhitepaperStoppa cybertjuvar från att stoppa affärer

”200 dagar… …hur kunde vi missa det?”

Varje år tvingar cyberkriminella verksamheter världen över att inse begränsningarna hos traditionella förebyggande IT-skyddsåtgärder. Idag går det inte längre att hålla alla hot ute. Ett fullgott IT-skydd kräver en stark förmåga till snabb detektion och respons. Men hur får man till en omedelbar respons till cyberattacker?

Ladda ned ditt kostnadsfria whitepaper Stoppa cybertjuvar från att stoppa affärer här!

__________________________________________________________________________________________________________________

En cybersäkerhetsanalytikers roll är att skydda organisationer mot cyberattacker genom att analysera och eventuellt agera på de varningar som ges i deras nätverk och på klienterna. Övervakningsverktygen som används för detektering skannar många potentiellt skadliga händelser varje dag, vilket kräver ytterligare analys. De flesta av dessa händelser är godartade och upptäcks dagligen. Även om vissa av de upptäckta händelserna kan verka godartade vid en första anblick, kan man ibland genom att sätta dem i rätt sammanhang och korrelera dem med varandra avslöja en väl gömd skadlig handling, som pågår i bakgrunden. Det är här kunskaper och intelligens från cybersäkerhetsanalytiker spelar in. En analytiker inom cybersäkerhet måste förstå sammanhanget bakom varningarna och korrekt testa dem.

Expertis, AI och automation ihop för er cybersäkerhet

Maskininlärning vid Conscia Security Operations Center SOC

På Conscias och NILs SOC förstår vi vikten av en korrekt utförd urvalsprocess, triage; det är därför vi investerar intensivt i kunskap och automation (playbooks) av triage-processer. Att ha ett brett spektrum av kunskap om cybersäkerhet och IT-system gör det möjligt för våra cybersäkerhetsanalytiker att hitta nålen i höstacken och blockera ett potentiellt hot. Genom att använda automation berikar vi händelsedata med annan information, till exempel tidigare händelser och varningar, normalt beteende, hotinformation och andra, så att analytiker som utför urvalet lättare kan förstå karaktären hos ett specifik larm. Sedan kan de också avgöra om detta bara är en handling av en administratör som gör sitt vanliga jobb, eller om det kan finnas en obemärkt inkräktare i systemet som försöker skapa viss skada.

Maskiner gör naturligtvis ett perfekt jobb med att analysera enorma mängder data, för bakom alla dessa analyser kan man hitta matematiska modeller och maskiner förstår dem mycket bra. Men å andra sidan kan maskiner sällan konkurrera med människor på att göra saker som är nya för dem. Naturligtvis kommer du nu att invända genom att säga: ”Men vi har verktyg för artificiell intelligens (AI) och maskininlärning (ML).”

Artificiell intelligens hittar de bästa sätten i regelstyrda system

Faktum är att genom att använda dessa två snygga teknikverktyg kan maskiner hantera okända problem, men bara i viss utsträckning. Låt mig ge dig ett exempel – det berömda schackspelet mellan Kasparov och Deep Blue-maskinen. AI:n (Deep Blue) vann, men om ett annat spel skulle ha spelats skulle maskinen inte veta hur den skulle spela. Det beror på att maskininlärning – som termen redan antyder – kräver en repetitiv inlärningsprocess med olika möjliga scenarier. Å andra sidan, om du sätter en människa i samma situation, kan människan improvisera och ändå uppnå några positiva resultat när han spelar ett okänt spel.

Maskininlärning efter olika regler

Detta beror på hur maskininlärning fungerar. För att lära en maskin att känna igen mönster / föremål för ett ämne måste den förses med data om ämnet. Baserat på datatypen finns det tre olika typer av maskininlärning: övervakad, utan tillsyn och halvövervakad. Övervakad inlärning innebär att varje dataprov (X) har en etikett (Y); oövervakad inlärning innebär att det bara finns dataprov (X), och algoritmen måste upptäcka datastrukturen. Semiövervakad inlärning innebär att det finns många dataprov (X) men bara några få av dem är korrekt märkta (Y). Baserat på detta kan man se att kunskapen om en maskin endast baseras på ett ämne, och nya data måste tillhandahållas för antagandet av ett nytt ämne.

…men hackarna följer inga

Till exempel, om en ML-algoritm lärs att känna igen hjärncancer från en MR-bild (magnetresonans), kommer den att göra det ganska bra. Men om den istället förses med en bild av en bröstcancertumör skulle resultatet inte vara lika exakt, eftersom algoritmen inte vet hur bröstcancer ser ut. Detta kan översättas till en kontext inom cybersäkerhet. En maskin kan lära sig att upptäcka ett välkänt hot och tillförlitligheten skulle vara otroligt god. Men å andra sidan, om hotaktörer utvecklar ett helt nytt sätt att utföra skadliga åtgärder, skulle maskinens svar vara felaktigt.

I motsats till maskiner har människor förmåga till intelligenta och kreativa sätt att tänka, vilket gör det möjligt för oss att lösa saker som aldrig har stött på tidigare. En erfaren cybersäkerhetsanalytiker kan utveckla en slags intuition eller en aning när det gäller att möta ett okänt scenario där en snabb åtgärd krävs. Precis som en erfaren läkare, som vi alla vet att inte alla ”Google-läkare” är Dr. House.

AI behövs idag – men det gör experterna också

Vi kan sammanfatta att den avgörande uppgiften är att skilja mellan potentiellt skadliga incidenter från miljarder händelser som sker varje sekund. För att utföra denna uppgift framgångsrikt behöver vi maskiner för att bearbeta Big data, liksom människor för att kontrollera processen. Vi bör också fråga oss om vi verkligen vill att artificiell intelligens ska ta hand om våra nätverk och agera utan tillsyn, eller om vi föredrar att en människa har den sista handen för att hålla vår data och infrastruktur säker.

På Conscia SOC tror vi att vi kan vara de mest effektiva när det gäller att fånga hotaktörer genom att använda både maskinell och mänsklig kapacitet. Vi ser att utan ML och AI kan data inte analyseras och förstås, men å andra sidan kan vi inte avgöra om de upptäckta åtgärderna är skadliga, vad som kommer att bli nästa steg för hotaktören och hur man blockerar åtkomsten till en motståndare till ditt nätverk utan mänsklig interaktion. Om du är nyfiken på hur vi kan hantera det, följ våra kommande bloggar och videoklipp om mer detaljerade ämnen – läs mer om vår SOC, våra säkerhetslösningar och våra molnbaserade säkerhetstjänster.

Se webinaret om IT-attacker och hur en SOC kan hjälpa:

 

 

Kontakta oss!
Svar inom 24h