Cybersecurity systemen zijn rijp voor disruptie. In de loop der jaren zijn er steeds meer individuele tools ontwikkeld, elk met hun eigen gegevensformaat, wat een stortvloed aan ongelijksoortige gegevens heeft veroorzaakt. Er is ook een wereldwijd tekort aan bekwame cybersecurity-analisten die die gegevens kunnen evalueren (en ze zijn erg duur als je ze kunt vinden). Eindelijk, en hackers worden steeds slimmer en creatiever. AI zou de remedie zijn voor deze problemen, maar het heeft weinig nut gehad om het probleem op grote schaal aan te pakken, omdat het een grote, doordacht geplande infrastructuur vereist. In dit artikel zullen we kijken naar de rol van AI in cyberbeveiliging systemen en hoe het een werkelijk transformatieve technologie kan worden.
AI als Snake Oil
AI wordt veel genoemd in marketingliteratuur waarin cyberbeveiligingsoplossingen worden beschreven, maar tot nu toe is het niet zo transformerend geweest als je zou denken. Ondanks een marktomvang die groeit met a 20.5 procent samengestelde jaarlijkse groei, blijft AI nog steeds operationeel moeilijk in te zetten bij beveiligingsproblemen. Als je een modern interieur zou binnenlopen beveiligingsoperatiecentrum (SOC), zou je waarschijnlijk een aantal grote tv's vinden met een aantal moeilijk leesbare dashboards en CNN, en beveiligingsanalisten die hun baan waarschijnlijk pijnlijk vinden, omdat ze hun tijd besteden aan het handmatig correleren van gegevens en proberen te onderscheiden wat er in hun onderneming gebeurt in het gezicht van steeds complexere aanvallen. Als mensen dat doen, rijst de vraag, "Waar is de AI?"
Cybersecurity is een rommelig operationeel probleem, en dat is de korte reden waarom AI traag is geweest om het te transformeren. Het vinden van bedreigingen in een onderneming via honderden telemetriebronnen wanneer bedreigingen vaak identiek lijken aan normale activiteiten, is een zeer moeilijk probleem. Bovendien kunnen gegevens van elke beveiligingstool verschillende vormen aannemen en moeten ze worden genormaliseerd voordat ze kunnen worden gebruikt om een AI-systeem te trainen.
Ongeacht de branche en het gebruik, AI leert van gegevens - de AI-motor moet worden getraind met gegevens, zodat het kan beginnen te leren wat een anomalie is of niet. Dat is wat zo rommelig is aan het beveiligingsprobleem: de beveiligingsgegevens van elke onderneming zien er op zijn minst een beetje anders uit, met verschillende tools en gedragspatronen, en op zijn hoogst zien de gegevens er enorm anders uit. Er is geen gouden trainingsdataset op het gebied van beveiliging die kan worden gelicentieerd zoals voor beeld- of spraakherkenningssystemen. Als u AI wilt gebruiken om het beveiligingsprobleem aan te pakken, moet u uw eigen gegevens maken en verkrijgen.
Het is een enorme uitdaging om gegevens te normaliseren zodat ze bruikbaar zijn voor een AI-engine. Het probleem is zo waardevol dat Scale AI, een startup die data-API's maakt voor AI-ontwikkeling, voornamelijk gericht is op autotoepassingen zonder bestuurder, kreeg een waardering van $ 7 miljard minder dan vijf jaar na de oprichting. Scale AI telt al veel van 's werelds meest innovatieve organisaties als klanten.
Wat er voor transformatieve AI nodig is?
AI in beveiliging zal uiteindelijk transformerend zijn, waarschijnlijk zowel voor aanval als verdediging, maar dat is een verhaal voor een andere dag. Hier betekent 'transformatief' in grote lijnen transformatief, in alle delen van beveiliging, dus het verandert fundamenteel hoe een onderneming omgaat met beveiliging. Voorlopig moeten we ons tevreden stellen met enkele beperkte toepassingen waar AI de beveiliging kan verbeteren.
Toch zijn er enkele lichtpuntjes voor AI op het gebied van beveiliging; deze zijn gemakkelijk te vinden door het dataprobleem te doordenken. Welke delen van de beveiligingsstack genereren schone, trainbare gegevens? E-mailfraude en malwaredetectie zijn twee goede voorbeelden: de AI-motor kan leren van beschikbare phishing-voorbeelden of malware-handtekeningen en soortgelijke exploits opsporen. Gegevens uit e-mails van klanten en malware-sandboxen kunnen worden gebruikt om AI-modellen te trainen die bedrijfsproducten aandrijven. Dezelfde training is veel moeilijker te implementeren bij problemen zoals het detecteren van aanvallen die zijdelings door een netwerk gaan (bijvoorbeeld van de firewall naar de Active Directory-server naar een gegevensserver), omdat deze zijdelingse beweging er bij elke onderneming een beetje anders uitziet.
Het creëren van AI die een onderneming in al zijn digitale activiteiten in grote lijnen zal beschermen, zal op een manier lijken op de inspanningen die tegenwoordig worden ondernomen door autobedrijven zonder bestuurder. Zo traint Waymo's zelfrijdende autosoftware sinds 2009 meer dan 15 miljard mijl gesimuleerd rijden en meer dan 20 miljoen mijl openbare rijervaring. Waymo hanteert een rigoureuze benadering van testen op verschillende niveaus van betrouwbaarheid (simulatie, gesloten cursus, echte wereld), waarbij scenario's met duizenden variaties worden uitgevoerd en ondertussen gegevens worden verzameld met het oog op verbetering.
Dit is geen perfecte analogie voor AI in beveiliging, maar het is redelijk goed: testen met gesimuleerde gegevens, testen in laboratoriumomgevingen met gesimuleerde of echte aanvallen en testen in real-world operaties in een diverse reeks ondernemingen. Beveiligingsproblemen met natuurlijke toegang tot schonere gegevens zullen eerder optreden met producten op basis van AI dan de moeilijkere gegevensproblemen in de gehele beveiligingsstack van de onderneming. Het zal tijd en kapitaal kosten om daar te komen, en innovaties die meedogenloos gericht zijn op het dataprobleem zullen in de eerste plaats een brede transformatie ontsluiten. Tegenwoordig zijn veel beveiligingstools niet gericht op gegevensnormalisatie, omdat ze de neiging hebben om op specifieke pijnpunten in de algehele infrastructuur te worden ondergebracht.
Hoe transformatieve AI in beveiliging eruit zal zien
Stelt u zich eens voor dat elk IT-initiatief, elke configuratie, beveiligingslogboek en waarschuwing in realtime kan worden beoordeeld door 's werelds toonaangevende expert op het gebied van menselijke beveiliging op dat gebied, zonder verstoring van de bedrijfsactiviteiten. Stel je voor dat bedrijfsanalisten die deskundige zouden kunnen raadplegen en aanwijzingen kunnen krijgen. AI in beveiliging zal uiteindelijk zo aanvoelen.
Op welke manier? Producten die zijn gebouwd op doordachte gegevensactiva, die de complexiteit van gegevens verminderen, zullen uiteindelijk categoriekoningen zijn, anders werkt het product niet van klant tot klant en wordt het een product met service-achtige marges en schaalt het niet. (Andreesen Horowitz ontdekte op interessante wijze dat de meeste van hun AI-bedrijven voor ondernemingen) hebben veel lagere marges dan vergelijkbare SaaS-bedrijven vanwege de inherente kosten van het bouwen en schalen van AI.)
Deze toekomstige categoriekoningen zullen eerst moeten investeren in data-infrastructuur en -verzameling, waarschijnlijk jarenlang, voordat hun data echt als een aanwinst kunnen worden beschouwd en kunnen helpen bij het zelfverbeterende karakter van hun product. Zodra deze bedrijfskoningen echter een echt data-asset voor AI hebben gekregen, zal hun innovatietempo moeilijk, zo niet onmogelijk te evenaren zijn door concurrenten, en zullen ze tot categoriekoning worden gekroond, zolang ze er nog in slagen om een intuïtief product te behouden. Dus net zoals de categorie Zoekmachines snel werd geconsolideerd naar Google, zal hetzelfde gebeuren met data-intensieve cyberbeveiligingsoplossingen. Zoek in het bijzonder naar grote consolidatie in Beveiligingsinformatie en Evenementenmanagement (SIEM), Uitgebreide detectie en respons (XDR), Eindpuntdetectie en -respons (EDR)en Netwerkdetectie en respons (NDR) markten.
AI komt dus in de eerste plaats op in beveiliging voor kleinere problemen waar er minder gegevenscomplexiteit is, zoals eerder opgemerkt in de voorbeelden van e-mailfraude en malware. AI zal dan langzaam worden ingezet voor complexere gegevensproblemen, maar alleen producten die meedogenloos zijn gericht op het beheren van gegevenscomplexiteit zullen verschijnen met zinvolle AI-motoren. Om effectief te zijn, moet een AI-gestuurd beveiligingsprogramma gegevens kunnen verzamelen van alle beschikbare beveiligingstools en bedreigingsfeeds, en die gegevens vervolgens normaliseren, zodat het nuttig is voor het trainen van de AI-engine. Zo zal de toekomst van AI in cybersecurity eruitzien.
Over de auteur
Sam Jones is vice-president productbeheer bij Stellar Cyber, Inc. Hij is een ervaren leider in productontwikkeling met een staat van dienst in het bouwen van AI- en beveiligingsproducten waar klanten dol op zijn. Hij heeft een sterke achtergrond in AI/ML, data-infrastructuur, beveiliging, SaaS, productontwerp en defensie. Sam heeft product- en engineeringfuncties bekleed bij bedrijven, waaronder Palantir Technologies en Shield AI, en werkte voor de Amerikaanse luchtmacht aan cyberdefensiestrategie. Hij behaalde zijn bachelor in Electrical and Computer Engineering aan de Cornell University.
