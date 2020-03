In de volksgeest is kunstmatige intelligentie (AI) een futuristisch zelfbewust systeem, zoals je geregeld tegenkomt in een Hollywood-film. Maar bij de tegenwoordig gangbare subsets van AI gaat het over verschillende varianten van machinaal leren (machine learning) tot aan deep learning middels neurale netwerken toe. Ook beveiligingsbedrijven smijten de laatste jaren veel met de term AI, terwijl het met enige regelmaat eerder om bepaalde rule engines gaat dan een daadwerkelijk ML-proces. Als je het hebt over AI in beveiligingssoftware, praat je vrijwel altijd over een tool die 'intelligence augmentation' biedt.

Systeem helpt de IT'er

Intelligence augmentation (IA) gaat over de toepassing van kunstmatige intelligentie. Bij IA gaat het niet zozeer om volledig op zichzelf handelende systemen, maar om geavanceerde automatisering die menselijke taken ondersteunt. Als je zegt: dat verschil is semantiek, heb je eigenlijk gelijk. Het gaat in de basis namelijk om hetzelfde, of het nu om machine learning of zelfs deep learning gaat. Echter, het is een andere strategische manier van denken om toepassingen te verbeteren met AI. De ene methode is puur systeemgericht, de andere mensgericht.

In de security wordt IA toegepast om de informatiebeveiliger te ondersteunen, onder meer om de meldingenruis te verlagen. Machinale processen automatiseren routinematige en repetitieve taken om de IT'er vrij te spelen, zodat deze belangrijker werk kan doen, zoals we onlangs in een eerder artikel belichtten. In dit concept wordt AI een tool voor de beveiliger en zeker geen vervanger van diens werk.

Zulke technieken worden bijvoorbeeld gebruikt voor het onder meer in kaart brengen van gedrag van gebruikers. Met behulp van ML wordt een baseline vastgesteld van wat een gebruiker in een bepaalde rol doorgaans doet en als daarvan wordt afgeweken, geeft de software een seintje dat er potentieel iets niet in de haak is. Een IT'er kan vervolgens verder onderzoek doen. Zo ontstaat een praktischer dreigingsbeeld dan wanneer er duizenden meldingen over een dashboard rollen.

Soorten machinaal leren bij beveiliging

Voor security maakt het nogal uit wat wordt bedoeld met AI als een leverancier het daar over heeft. "Je hebt gecontroleerd leren (supervised learning) waarbij het gaat om 'wat te doen als X gebeurt'", vertelt Verizons hoofd Security Consulting & Architecture Ashish Khanna. "Dat gaat om voorbeelden van situaties, dus data die gelabeld is." Denk heel simpel aan antivirusdefinities en de software die weet wat er gedaan moet worden als een bepaalde sample wordt gevonden.

"Een stapje verder is ongecontroleerd leren (unsupervised learning)", zegt Khanna. In een context van beveiliging draait het om het "verder ontwikkelen vanuit datasets om dreigingen te leren begrijpen." Zo'n ML-model probeert aan de hand van die eerdere modellen patronen te begrijpen om gevolgtrekkingen te maken. Dat is dus een stuk dichter bij wat de meeste mensen zien als kunstmatige intelligentie, want het werkt al een stuk autonomer.

Daarna heb je nog ondersteunend leren (reinforcement learning), vertelt de securitydeskundige, en dat wordt interessant als we het hebben over het kat-en-muisspel waar informatiebeveiliging mee te maken krijgt in het tijdperk van AI-gestuurde software. Bij ondersteunend leren hebben we het in een beveiligingscontext over data in de productie-omgeving die beschermd wordt door zelfsturende leerprocessen. Deze kunnen bijvoorbeeld configuraties uitvoeren (of adviseren daarover) op basis van de eventuele dreigingen die worden opgemerkt.

Strijd tussen beveiliger en aanvaller

Criminelen weten ook dat beveiligingssoftware dit soort technieken gebruikt en ze zetten daarom zelf ML in om aanvallen op zo'n manier te automatiseren dat ML-gebaseerde detecties worden gepareerd. "Aanvallers kijken naar de machine learning-technieken die beveiligers gebruiken", weet Khanna. Omdat aanvallers goed kijken naar waar de tools mee bezig zijn en wat de eventuele zwakke plekken daarbij zijn, is het ook belangrijk dat je zelf goed in de gaten blijft houden wat er gebeurt en niet blind vertrouwt op de software.

Het specifieke gebruik van AI moet je dus kunnen achterhalen en dat betekent dat je vragen moet stellen aan de leverancier van het beveiligingsproduct met AI-gebaseerde detectie. "Test de leverancier de AI-modellen op regelmatige basis? Wat doet de leverancier in zijn eigen ecosysteem? Wordt er geregeld nieuwe data geïnjecteerd om het model bij te werken? Waar komt die data vandaan? Vraag ze om de gebruikte threat intelligence."

Het positieve van de AI-trend in beveiliging is dat we met intelligence augmentation en artificial intelligence steeds meer bewegen in de richting van het doel waar we heen willen: het niet langer inperken van gebruikersvrijheid, maar ze daadwerkelijk op een beveiligde manier in staat stellen te doen wat ze moeten doen. "Het moet gaan om het verbeteren van de klantervaring, niet om die te beperken", vindt Khanna. "Door de juiste controlemiddelen toe te passen op de juiste plekken - gebaseerd op risico, met (afhankelijk van het risicoprofiel) lagen als biometrie en multifactor-authenticatie - zorgt AI dat er een focus komt op de customer journey."