Machine learning levert een belangrijke bijdrage aan cybersecurity doordat het patronen kan herkennen en zo mogelijke aanvallen kan opsporen en voorkomen. Maar alleen een slim systeem is niet voldoende om je bedrijf digitaal te beveiligen. Menselijk inzicht en analyse blijft noodzakelijk.
Machine learning stelt computers in staat om patronen in data te herkennen. Deze technologie kent vele toepassingen, maar een van de meest veelbelovende op het gebied van cyberbeveiliging is het vermogen van computers om indringers in een netwerk en andere gevaarlijke activiteiten die tot een datalek kunnen leiden, te detecteren. Tijmen Mulder, master thesis intern bij Eye Security: “Machine learning is een computermodel dat je kunt trainen om zaken te herkennen. Daarvoor is een enorme hoeveelheid data nodig. Hoe meer en hoe beter de data is die je het systeem geeft, hoe beter het uiteindelijk kan leren en presteren.”
Hoe werkt machine learning?
Een machine learning model kun je vergelijken met een baby, die kan na de geboorte niet direct lopen, fietsen of helpen in huis. Je moet een baby opvoeden en vertellen wat wel en niet hoort. Dat opvoeden wordt in de IT ook wel ‘supervised learning’ genoemd. “Daarbij leren mensen het systeem wat wel en niet klopt. Wanneer je een model het onderscheid wilt leren tussen een kat en een vis, moet je het duizenden foto’s aanbieden en aangeven op welke foto een kat staat en op welke een vis. Zo leert een algoritme zelf de juiste inschatting te maken”, legt Mulder uit. Die inschatting wordt geclassificeerd, oftewel, bij iedere foto geeft het systeem een bepaald zekerheidspercentage dat het beeld een kat of een vis bevat.
Daarnaast bestaat er ook ‘unsupervised learning’. Daarbij wordt een grote hoeveelheid data aan het systeem aangeboden en moet de machine learning module de afwijkingen eruit halen. “Op deze manier hoeft de data niet door mensen gelabeld te worden, maar gaat het model zelf verschillen zoeken. Het machine learning systeem kan op die manier leren de vreemde eend in de bijt eruit te filteren. Dat noemen we ook wel ‘anomaly detection’, oftewel afwijking detectie.”
Welke voordelen biedt machine learning?
Machine learning wordt op veel verschillende gebieden toegepast. Om een voorbeeld te geven, in een Londens ziekenhuis werd een systeem getraind om borstkanker te herkennen. “Er werden duizenden röntgenfoto’s in het systeem geladen waarbij het model werd geleerd welke foto’s borstkanker lieten zien en welke niet. Vervolgens bleek het systeem beter dan de radiologen in staat om borstkanker ter herkennen op röntgenfoto’s”, vertelt Mulder. Niet alleen presteerde het systeem beter, het kon de foto’s ook sneller beoordelen, waardoor er veel tijd werd gewonnen.
Kent machine learning ook nadelen?
Machine learning kent helaas nog wel wat beperkingen. “Zaken die voor ons mensen overduidelijk zijn, vindt een computer soms nog heel lastig te onderscheiden. Neem bijvoorbeeld een foto van een cupcake met bosbessen en een foto van de snoet van een chihuahua. Wij zien direct wat de hond is en wat de cupcake, maar een machine learning algoritme kan hier moeite mee hebben”, glimlacht Mulder. Hij ziet machine learning dan ook zeker niet als heilige graal, zeker omdat de technologie ook nog tegen praktische grenzen oploopt. “Een computermodel is vooralsnog niet op 100 procent accuraatheid te trainen, vooral doordat zo’n systeem geen oneindige hoeveelheid data en rekenkracht tot zijn beschikking heeft.”
Ook vormt vertekening een risico, in de IT wordt dat ‘bias’ genoemd. Het systeem leert immers van wat het ingegeven krijgt. “Zo heeft Amazon ooit geprobeerd om machine learning in te zetten bij sollicitatieprocedures voor technische functies. Daarbij voedde het bedrijf het systeem met de CV’s die het in tien jaar had binnengekregen en leerde het welke CV’s uiteindelijk op een technische functie terecht waren gekomen. Maar van oudsher werken er vaak meer mannen in technische functies dan vrouwen, waardoor het systeem vrouwen als negatief geschikt ging beschouwen.
Hoe helpt machine learning bij cybersecurity?
Machine learning is dus heel goed in het herkennen van patronen. Een computer kan verbanden beter analyseren dan een mens, kan meer variabelen meenemen in die analyse en kan dit bovendien een stuk sneller dan zijn menselijke collega’s. Door die snelheid en capaciteit kunnen veel processen op computersystemen door een machine learning model worden gescand op afwijkingen. Het opsporen van afwijkingen gebeurt op drie verschillende vlakken, vertelt Mulder. “Ten eerste kijkt het model naar zaken die volledig afwijken, zoals bijvoorbeeld een tekstverwerker dat een ander programma probeert te installeren. Een tekstverwerker hoort geen programma’s te installeren, dus wanneer het model dit tegenkomt, gaat er een alarm af.”
Ook kan het algoritme contextuele afwijkingen detecteren. Dan geeft het een signaal wanneer een gebruiker bijvoorbeeld tien mails tegelijk verstuurt vóór zeven uur ’s ochtends. “Tien mails tegelijk versturen, hoeft nog geen afwijking te betekenen, maar wanneer dit op een onlogisch tijdstip gebeurt, is dat wel een reden voor alarm.” En tot slot detecteert de module collectieve afwijkingen. “Zoals wanneer drie laptops op exact hetzelfde moment precies hetzelfde proces opstarten.” En daarin ligt volgens Mulder de toegevoegde waarde van machine learning. “Zo’n systeem kan eenvoudiger al die datastromen analyseren dan wij mensen kunnen. Wij kunnen dan wel heel goed chihuahua’s van cupcakes onderscheiden, maar drie laptops die precies tegelijk hetzelfde gaan doen, ontsnappen hoogstwaarschijnlijk aan onze aandacht.”
Kan ik dit ook zelf inrichten?
Hoewel het opbouwen en inrichten van een machine learning model geen rocket science is, valt of staat het succes bij de hoeveelheid en kwaliteit van de data die het systeem gevoerd wordt. Hoe meer gegevens, hoe accurater de voorspelling. Voor reguliere bedrijven die hun kernactiviteiten niet op dit soort technische zaken richten, zal het zelf inrichten van machine learning dan ook geen prioriteit hebben. “Bovendien”, zegt Mulder, “heb je aan louter zo’n systeem niet zoveel. Want het model kan afwijkingen melden, alleen zal er altijd een menselijke expert naar moeten kijken om te beoordelen of er actie moet worden ondernomen. Ik kan me voorstellen dat bedrijven geen tijd, mensen of financiële middelen hebben om de afhandeling van al die alerts te doen.”
Het geheim van het succes zit hem in de samenwerking tussen het machine learning algoritme en menselijke cybersecurity experts. “Het algoritme detecteert afwijkingen op het netwerk, waarna experts bekijken of het daadwerkelijk gaat om een cyber incident. Als dat het geval is, kunnen zij ook direct actie ondernemen om de aanval en de effecten daarvan te beperken.” De combinatie van mens en machine maakt detectie effectiever en verhoogt daarmee de bescherming van jouw bedrijf.
Eye Security maakt in zijn dienstverlening gebruik van machine learning en combineert dat met de expertise van cyberspecialisten om jouw weerbaarheid te verhogen. Wil je meer weten over onze diensten? Vraag dan vrijblijvend een gesprek aan met onze specialisten. We vertellen je graag hoe we je kunnen helpen jouw cyberveiligheid te vergroten.