Behavioral-AI gebruiken als cybersecurity tool

IN HET KORT

Cybersecurity heeft te maken gehad met de opkomst van ingewikkelde en gevaarlijke bedreigingen, zoals phishing en ransomware. Niettemin heeft gedrags-AI zich ontpopt als een krachtige bondgenoot in de strijd tegen deze bedreigingen, door gebruik te maken van gedragsanalyse van digitale entiteiten om risico's te identificeren en tegen te gaan. Niettemin blijft de synergie tussen mensen en gedrags-AI van vitaal belang voor het effectief opsporen en verwijderen van bedreigingen.

Cyberbedreigingen zijn subtieler, geavanceerder en gevaarlijker geworden, maar cyberbeveiliging beschikt over een wapen in de vorm van kunstmatige intelligentie (AI).

Moderne cyberbedreigingen manifsteren zich als phishing, ransomware, Denial-of-Service (DoS), malware en spyware – en ze zijn misleidend en effectief.

Zoals de naam al suggereert, analyseert Behavioral AI het gedrag van objecten zoals een systeem, bestanden, e-mails of bijlagen om bedreigingen te identificeren en te markeren of te verwijderen.

Behavioral AI kan bijvoorbeeld afwijkingen in patronen identificeren en markeren wanneer een inactieve rekening bij een financiële instelling plotseling hyperactief wordt en meerdere transacties van hoge waarde ontvangt.

Dergelijke gebeurtenissen kunnen niet alleen standaard antivirusoplossingen omzeilen, maar ook gevaarlijk zijn.

De rol van mensen bij het verwijderen van bedreigingen blijft echter even belangrijk. In veel gevallen kan Behavioral AI namelijk niet slagen zonder de medewerking van mensen.

Wat is Behavioral AI?

Een computersysteem heeft diverse entiteiten, waaronder de gebruiker, eindpuntapparaten zoals smartphones of laptops, cloudservices, bestanden en gegevens, en netwerkverkeer, om er maar een paar te noemen.

Alle entiteiten kunnen op verschillende momenten worden gecompromitteerd, waardoor het computersysteem of de instelling ernstig in gevaar kan komen.

Een veelvoorkomende scenario dat velen van ons wellicht hebben meegemaakt, is het blokkeren van toegang tot een website door Google omdat het systeem ongebruikelijk verkeer signaleert. Hoewel Google vaak een normale situatie verwart met een abnormaliteit, is dit een voorbeeld van de AI-systemen in actie.

De AI-systemen analyseren het verkeer en markeren elke gebeurtenis waarvan ze denken dat het een afwijking is. Dit is Behavioral AI in actie, waarbij AI-technieken worden toegepast om het gedrag van verschillende entiteiten in een computersysteem te analyseren en te begrijpen.

Behavioral AI houdt zich bezig met gedragsmodellering, anomaliedetectie, analyse van het gedrag van gebruikers en entiteiten, detectie van bedreigingen en phishing, geautomatiseerde reacties en meer. Het vormt een geavanceerde vorm om cyberbedreigingen tegen te gaan, vergelijkbaar met hoe mensen afwijkingen of veranderingen in het gedrag van mensen die ze goed kennen herkennen.

De rol van Behavioral AI bij het bestrijden van bedreigingen

Behavioral AI onderscheidt zich van de conventionele aanpak van  cyberbeveiliging in de omgang met bedreigingen. Terwijl de traditionele benadering bekende bedreigingen aanpakt, is Behavioral AI in staat zowel bekende als onbekende bedreigingen realtime te behandelen.

Behavioral AI ondergaat training op enorme stromen van cyberbedreigingsgegevens, waardoor het voortdurend kan leren over de voortdurende evolutie van bedreigingsvormen. Wanneer het een bedreiging identificeert, geeft het direct een alarm af of verwijdert het de bedreiging automatisch via een geautomatiseerd systeem.

De geautomatiseerde verwijdering van bedreigingen en de snellere identificatie vormen een ander onderscheid tussen de traditionele benadering en de Behavioral AI benadering.

Bij de traditionele aanpak wordt de bedreiging eerst geïdentificeerd, wordt er vervolgens alarm geslagen en ten slotte wordt de bedreiging handmatig verwijderd, wat een tijdrovend proces met zich meebrengt.

De rol van Behavioral AI kan als volgt worden samengevat:

  • Identificeren van malware: Behavioral AI identificeert malware zowel in gelabelde als ongelabelde gegevens. Gelabelde gegevens dienen als basis voor het detecteren van verdachte gegevens, terwijl Behavioral AI zelfstandig leert van ongelabelde gegevens.
  • Detecteren van phishing-pogingen: Phishing-pogingen worden steeds geavanceerder en subtieler. Zelfs e-mails met schadelijke inhoud die vrijwel identiek lijken aan legitieme e-mails, kunnen door AI worden herkend. Dit vermogen is ontstaan door het leerproces van de AI met betrekking tot dergelijke inhoud.
  • Bieden van netwerkbeveiliging: In het licht van de grote hoeveelheden verkeer die computersystemen ontvangen, kunnen geavanceerde bedreigingen zich vermommen als regulier verkeer. Behavioral AI is echter in staat dergelijke bedreigingen te identificeren vanwege het voortdurende leerproces dat het heeft ondergaan.

Casestudie: AI in actie

Een telecombedrijf uit de Fortune 500 heeft AI geïntroduceerd voor de classificatie van versleutelde gegevens die door hun netwerk stromen naar toepassingscategorieën. De belangrijkste uitdagingen waarmee het bedrijf werd geconfronteerd, waren als volgt:

  • Handmatige labeling van verkeersgegevens was te traag en vereiste kostbare middelen.
  • Het analyseren van netwerkverkeer was gebaseerd op een statische set regels, waardoor het systeem kwetsbaar was voor verdacht verkeer dat niet overeenkwam met de regels.
  • Het bestaande systeem had moeite met het beheren van veranderende gegevensdistributies, zoals het reageren op alarmmeldingen of tickets voor netwerkproblemen.
  • Het bedrijf moest meerdere tools gebruiken om zijn computersysteem te beveiligen, wat duur en moeilijk te beheren was.

Na de implementatie van AI zijn de resultaten aanzienlijk verbeterd:

  • Vóór de AI kon het systeem een initiële subset van 2.000 gelabelde ground-truth voorbeelden produceren, maar na de AI produceerde het nog eens 198.000 programmatisch gelabelde voorbeelden.
  • Het AI-model was 26,2% efficiënter dan zijn voorganger.
  • AI was 77,3% nauwkeuriger dan de op regels gebaseerde aanpak van het vorige systeem dat door het bedrijf werd gebruikt.

Beperkingen

AI heeft het beheer van cyberbeveiliging opnieuw gedefinieerd en veel casestudies hebben het nut ervan aangetoond. AI is echter geen waterdichte oplossing, tenminste nog niet.

Het is gebonden aan beperkingen die vragen oproepen over de doeltreffendheid, waaronder:

  • AI is een technologie in ontwikkeling en heeft nog steeds moeite om precieze oplossingen te bieden voor cyberbedreigingen. Hoewel AI wordt ingezet om cyberbedreigingen tegen te gaan, worden er vragen gesteld over de uitvoer ervan en de betrouwbaarheid bij het tegengaan van bedreigingen.
  • AI is nog niet robuust genoeg voor de reeks complexe acties die nodig zijn om te herstellen van aanvallen. Een van de redenen hiervoor is het gebrek aan precisie en nauwkeurigheid, waardoor het niet betrouwbaar genoeg is voor de technici.
  • Criminelen in de cyberspace maken ook gebruik van AI, waardoor de bedreigingen geavanceerder en krachtiger worden.

Conclusie

We moeten niet vergeten dat AI nog steeds een technologie in ontwikkeling is.

De beperkingen zijn reëel en organisaties staan voor de vraag hoeveel ze op AI moeten vertrouwen. Toch is er bewezen voordeel in het inzetten van AI als onderdeel van een arsenaal aan cyberbeveiligingstactieken.

De beste manier om verder te komen is om je niet te laten meeslepen door de hype, objectief de mogelijkheden van AI versus traditionele systemen te beoordelen en een combinatie van beide te vinden die bij jou of je organisatie past.

Gerelateerde begrippen

Kaushik Pal

Kaushik is een technisch architect en software consultant met meer dan 20 jaar ervaring in software analyse, ontwikkeling, softwarearchitectuur, ontwerp, testen en training. Hij is geïnteresseerd in nieuwe technologieën en innovatiegebieden. Hij richt zich op webarchitectuur, webtechnologieën, Java/J2EE, open source, WebRTC, Big Data en semantische technologieën. Kaushik is ook de oprichter van TechAlpine, een technologieblog/consultancy gevestigd in Kolkata. Het team van TechAlpine werkt voor verschillende klanten in India en daarbuiten. Het team heeft expertise in Java/J2EE/Open Source/Web/WebRTC/Hadoop/Big Data technologieën en het schrijven van technische artikels.