Hvad betyder Artificial Intelligence og Machine Learning i en it-sikkerhedskontekst?

Artificial Intelligence (AI) og Machine Learning (ML) er væsentlige elementer indenfor it-sikkerhed, men det er ikke altid tydeligt, hvad der menes, når AI og ML bruges i flæng.

ML er i dag et centralt element i mange it-sikkerhedsløsninger, dog overses kvaliteten ofte eller også bliver det aldrig reelt italesat. Ifølge Gartner kommer du ikke udenom brugen af AI og ML, for det er lige før, at det er nemmere at finde guld i Københavns gader end at finde it-sikkerhedsarbejdskraft.

Men hvad er en god AI-løsning, og hvilken rolle spiller AI i en it-sikkerhedskontekst?

AI og ML er som et barn

Indledningsvis er det vigtigt at pointere, at Machine Learning er en subkategori indenfor AI. Machine Learning er anvendelsen af algoritmer på data i et snævert fokus og som genkender mønstre. Eksempelvis kan det være i form af reklamer, hvor et givet produkt markedsføres mod en bestemt aldersgruppe – tænk Facebook og Google reklamer. Alternativt kan ML anvendes til at genkende ondsindet mønstre i koder og adfærd i filer, eksempelvis i forbindelse med ransomware.

Kvaliteten af en algoritme er dog afhængig af tid brugt på træning og mængden af data, der analyseres på. Det er ikke ulig et lille barn, der over tid lærer at skelne mellem katte og hunde baseret på en række karakteristika: Hunde gør, katte miaver. Hunde knurrer, katte hvæser. Et barns evne til at skelne mellem forskellige genstande er baseret på gentagelser af analyser af en støt stigende mængde data, ikke meget ulig en ML-algoritme.

Hvad er så en god ML-løsning?

For at være i stand til at vurdere kvaliteten af en god ML-sikkerhedsløsning, er der en række spørgsmål, der skal besvares:

1. Hvor mange features har ML-algoritmen analyseret på? Hvilken filtype er der tale om og hvilke logoer er der blevet brugt?
2. Hvor store datasæt er der anvendt i analysen?

Features er i Machine Learning er individuelle matematisk målbare karakteristika af et datasæt. Det kan eksempelvis være være højde på børn i en klasse.

I enkelte af de it-sikkerhedsløsninger, som vi anbefaler, har algoritmen analyseret milliarder af kodedate uden supervision med mere end en million features. Andre løsninger får mere end 30 milliarder af daglige sikkerhedsincidents, som algoritme analyserer og udvikler sig på baggrund af.

Et af delmålene for en effektiv algoritme i IT-sikkerhed er evnen til på egen hånd at tilpasse sine analyser til ukendte datasæt og stadig klassificere data korrekt uden indblanding af mennesker. Helt specifikt er evnen til at identificere ondsindet, ukendte data uundværlig, når målet er at forhindre zero day malware der ikke er set før.

Dog er virkeligheden ikke så simpel, og der er en række andre elementer, som er relevante for kvaliteten af en ML-algoritme, blandt andet omfanget af menneskelig interaktion nødvendig for algoritmens succes.

Nu har vi lagt grundstenen til Skynet og Terminator – er mennesket så overflødigt?

Det korte svar er nej. ML-sikkerhedsløsninger er stadig i sine tidligere faser, og i tilfælde med sofistikerede angreb, er det nødvendigt med kompetente it-sikkerhedsspecialister, der kan træffe de rette beslutninger. Mængden af sofistikerede angreb er dog mindre end 1% af de daglige cyberangreb, og ML-sikkerhedsløsninger stopper langt de fleste angreb. Men kombinationen af global mangel på it-sikkerhedsspecialister, eksponentielt voksende mængde af cyberangreb og stigende ’kvalitet’ af cyberangreb nødvendiggør brugen af ML understøttede it-sikkerhedsløsninger.

ML og AI er for it-sikkerhed, som dampmaskinen var for industrialiseringen

ML – og i forlængelse AI – er en multiplikator for ethvert it-sikkerhedsteam, der forbereder sig på morgendagens nyeste angreb. Det er vores – og sandsynligvis mange andres synspunkter i it-sikkerhedsbranchen – at et optimalt it-sikkerhedssystem beror på en større mængde delelementer, der til sammen skal udgøre et Fort Knox.

Kan du undvære ML-baseret løsninger? Ja.
Ønsker du at have 5-7 fastansatte IT-sikkerhedsfolk i din virksomhed til udelukkende at reagere på enhver alarm der hver koster cirka 700.000 kroner om året? Medmindre du har et pengetræ, der kan dække årlige lønninger til 5 millioner kroner, antager vi, at svaret er et nej.

Og så vi er ikke begyndt at tale om de ressourcer der ligger i at videreudvikle og fastholde dine medarbejdere, når du har ansat dem. Kombiner det med at mennesket ikke er kendt for udelukkende at træffe rationelle valg, og så øger du risiciene mod din virksomhed.

Investér i ML-baseret sikkerhedsløsninger – for at spare penge

Regnestykket for at investere i løsninger, der kan aflaste it-sikkerhedsteamet, og endda minimere behovet for årsværk er relativt nemt at gøre op. Brug en brøkdel af budgettet på at indkøbe de rette it-sikkerhedsløsninger og få dem implementeret, så de passer til virksomheden. I stedet for at ansætte 5 it-sikkerhedsanalytikere, er det værd at overveje om din virksomhed er bedre tjent med at outsource monitorering til en it-sikkerhedsvirksomhed, så du i stedet kan bruge dine it-ressourcer på at udvikle din forretning.