content/sv-se/images/repository/isc/2020/ai-cyberseciruty-cover.jpg

Definition av artificiell intelligens, maskininlärning och djup maskininlärning inom internetsäkerhet

Internetsäkerhet baserade på artificiell intelligens och maskininlärning kommer att bli ett kraftfullt hjälpmedel i framtiden. Många branscher har länge byggt på mänsklig påverkan, och det gäller även inom säkerhet. Även om internetsäkerhet fortfarande till stor del förlitar sig på människor är det tydligt att ju mer avancerad tekniken blir, desto mer kan vi lämna över.

Alla tekniska framsteg underlättar för arbetaren. Några av de viktigaste framstegen är:

  • Artificiell intelligens (AI) har utformats för att hantera uppgifter som liknar en människas. Begreppet inkludera ett flertal tillvägagångssätt som maskininlärning och djup maskininlärning.
  • Maskininlärning (ML, Machine Learning) använder befintliga beteendemönster till att fatta beslut utifrån tidigare data och slutsatser. Det kommer dock behövas mänskligt ingripande för vissa ändringar. Maskininlärning är sannolikt den typ av AI-teknik som används mest inom internetsäkerhet för närvarande.
  • Djup maskininlärning (DL, Deep Learning) fungerar som maskininlärning och fattar beslut utifrån tidigare mönster, men justeringarna kan utföras utan mänskligt ingripande. Djup maskininlärning räknas för närvarande in med maskininlärning så vi kommer mest att lägga fokus på ML här.

Användning av artificiell intelligens och maskininlärning inom internetsäkerhet

Artificiell intelligens och maskininlärning har hyllats som banbrytande teknik och något som är del av vardagen. Det stämmer dock bara till viss del och bör iakttas med försiktighet. Sanningen är att mycket av tekniken förbättras gradvist. Däremot är de framsteg som vi redan har uppnått inom automatisering ljusår bättre än den teknik som varit tillgänglig tidigare.

Ju mer avancerad tekniken blir inom artificiell intelligens och maskininlärning, desto mer kommer det att användas inom internetsäkerhet. Det finns ett flertal områden som skulle kunna förbättras med hjälp av AI-teknik.

Mänskliga faktorn vid konfigurering

Den mänskliga faktorn bidrar till många sårbarheter inom internetsäkerhet. Systemkonfiguration kan vara väldigt svårt att hantera även med IT-avdelningen i ryggen. I och med ständig innovation är datorsäkerheten mer avancerad än någonsin. Med hjälp av smidiga verktyg kan du upptäcka och åtgärda nätverkssystem som har ändrats, uppdaterats eller ersatts.

Tänk på att moderna internetinfrastrukturer som molntjänster ibland ska implementeras i äldre ramverk. Företagets IT-avdelning måste se till att de uppdateringar som görs är kompatibla med de befintliga systemen. Manuella processer för att kontrollera konfigurationssäkerheten är bara en av IT-avdelningarnas många uppgifter och kan vara tidskrävande. Med smarta och anpassningsbara funktioner skickas meddelanden om nya hot upptäcks, vilket underlättar arbetsbördan. Du kan få tillgång till information om lämpliga åtgärder eller anpassa systemet till att automatiskt justera inställningarna enligt behov.

Mänsklig effektivitet vid upprepade aktiviteter

Ett annat svårlöst ämne inom internetsäkerhet är mänsklig effektivitet. Manuella processer är sällan identiska varje gång, särskilt inte inom dynamiska branscher som vår. Konfigurering av varje enskild klientenhet är en mycket tidskrävande uppgift. IT-avdelningen måste dessutom regelbundet kontrollera enheterna när konfigurationen är klar för att justera eventuella felaktigheter eller utföra uppdateringar som inte kan göras på distans.

Hoten som personalen utsätts för kan även expandera väldigt fort. System som baseras på artificiell intelligens och maskininlärning kommer oftast snabbare på fötter vid oväntade utmaningar än de som hanteras manuellt.

Försämrad reaktion på hotvarningar

Försämrad reaktion på hotvarningar kan leda till sårbarheter inom organisationen. Sätten att attackera blir fler i och med att säkerhetsnivåerna (se ovan) blir mer avancerade och omfattande. Många säkerhetssystem har utformats för att reagera vid alla typer av kända hot med automatiska varningar. Det gör att användaren vänjer sig vid säkerhetsvarningarna och kanske inte vidtar nödvändiga åtgärder.

Ibland ramlar det in många varningar, vilket gör det svårt att bedöma vilka hot som bör tas på allvar. Det kan leda till försämrad reaktion på hotvarningar och är ett vanligt förekommande problem inom internetsäkerhet. Förebyggande åtgärder för identifierade hot och sårbarheter är den optimala lösningen, men många har helt enkelt inte tid eller resurser för att täcka alla ytor.

IT-avdelningar hamnar ofta i situationer då de måste prioritera och välja bort sekundära åtgärder. Med hjälp av artificiell intelligens kan IT-avdelningarna hantera hoten mer effektivt med hjälp av till exempel automatisk klassificering. Vissa hot kan även hanteras med hjälp av maskininlärningsalgoritmen.

Svarstid på hot

Svarstiden på hot är ett viktigt mått för att bedöma internetsäkerhetsfunktionernas effektivitet. Skadlig programvara sprider sig numera snabbt i systemen. Tidigare var hackarna tvungna att arbeta sig igenom nätverksbehörigheter och inaktivera skydden i sidled i flera veckor innan de kunde attackera.

Det är dessvärre inte bara säkerhetsexperterna som gynnas av de tekniska framstegen. Automatiska funktioner har på senare tid blivit en del av nätattacken. Hot som det senaste LockBit-utpressningsviruset har hjälp nätbrottslingarna att nå sina mål betydligt snabbare än tidigare. Vissa attacker tar över systemet på mindre än en halvtimme.

Den mänskliga svarstiden är inte alltid tillräcklig, även vid kända hot. Många IT-avdelningar lägger mer tid på att åtgärda hoten än att förebygga dem. Oupptäckta attacker är en annan typ av orosmoment.

Med maskininlärningbaserade skydd samlas attackdata in och förbereds för analys. Det gör det enklare för internetsäkerhetsteam att ta välgrundade beslut. Med denna typ av skydd får du ofta även rekommendationer för lämpliga åtgärder för att begränsa skadan och förhindra att det händer igen.

Identifiering av nya hot och förebyggande åtgärder

Identifiering av nya hot och förebyggande åtgärder är ett sätt att påverka svarstid vid nätattacker. Som vi nämnt tidigare, är det ofta en viss fördröjning när det gäller att åtgärda hot. Okända attacktyper, beteenden och verktyg kan också försvåra arbetet för IT-avdelningen. Värst av allt är att dataintrång ibland kan ske utan att någon märker det. Enligt en Furgue-undersökning från april 2020 är ca 84 % av den tillfrågade IT-personalen orolig för att deras molnbaserade system ska hackas utan att de märker det.

Utvecklade hot som leder till dagnollattacker är ett ständigt orosmoln inom nätverkssäkerhet. De flesta nätattacker är lyckligt vis inte utformade från grunden. De byggs vanligtvis ovanpå andra beteenden, ramverk och källkoder från tidigare attacker som kan läsas av maskininlärningsprogrammen.

Via maskininlärningsbaserad programmering är det lättare att skilja på nya och tidigare hot. Detta är svårt för en människa att göra på ett effektivt sätt, vilket är ett ytterligare ett skäl till varför anpassningsbara säkerhetsmodeller är så viktiga. Maskininlärningsfunktionerna gör det lättare att förebygga nya hot och minska svarstiden.

Personalkapacitet

Personalkapacitet är ett problem som många IT-avdelningar över hela världen kämpar med. Beroende på organisationens behov kan antalet kunnig personal vara begränsat.

Det är även kostsamt att hyra in kunnig personal, vilket påverkar mångas budget. God resurshantering handlar inte bara om det dagliga arbetet, utan även om utbildning och certifiering. Det är tidskrävande att hålla sig uppdaterad inom internetsäkerhet, särskilt inom de innovativa lösningar som vi har talat om tidigare.

AI-baserade säkerhetsverktyg är fördelaktiga framförallt för teamen som kanske inte har tillräckligt med personal. Det krävs att teamet håller sig uppdaterade inom AI- och maskininlärningsbaserade lösningar men det kommer i slutändan spara både tid och pengar.

Anpassningsförmåga

Anpassningsförmåga är kanske inte ett lika uppmärksammat problem men kan påverka säkerheten drastiskt. Teamen har inte alltid möjlighet att anpassas efter särskilda krav.

Bristen på kunskap av vissa metoder, verktyg och system kan påverka effektiviteten. Även enklare åtgärder som att implementera nya säkerhetspolicyer kan ta tid. Vi är människor, inte maskiner, och kan därför inte lära oss ett nytt arbetssätt omedelbart utan behöver lite tid. Genom att välja rätt datauppsättningar och anpassa algoritmerna kan teamet få välbehövt stöd på vägen.

machine learning in cybersecurity

Artificiell intelligens inom internetsäkerhet

Artificiell intelligens inom internetsäkerhet omfattar en mängd discipliner som maskininlärning och djup maskininlärning, men har även en egen roll i sammanhanget.

AI baseras i grund och botten på "framgång med precision". Det ultimata målet är naturliga problemlösningsförmågor. Artificiell intelligens handlar om programvara som kan ta egna beslut. Funktionerna utformas för att hitta den bästa lösningen för den specifika situationen istället för att enbart följa strikt logiska slutsatser i datauppsättningen.

Ytterligare förklaring krävs för att få en bättre förståelse för hur artificiell intelligens används i dagsläget och vilka discipliner som tillämpas. Autonoma system omfattas sällan av mobila system, särskilt inom internetsäkerhet. Självgående system är det som många ofta förknippar med artificiell intelligens. Det finns även praktiska AI-system som varken hjälper till eller ändrar de befintliga säkerhetstjänsterna.

Med hjälp av artificiell intelligens går det att tolka beteenden i maskininlärda algoritmer. Det går dock inte att jämföra med mänsklig beslutsförmåga. Målet är komma så nära mänskligt beslutsfattande som möjligt, men det är långt kvar innan maskinerna är kapabla till att hantera abstrakta koncept på en egen hand. Den här nivån av kreativ förmåga och kritiskt tänkande ligger med andra ord längre bort än många kanske tror.

Så här används artificiell intelligens inom internetsäkerhet

Säkerhetslösningar som bygger på maskininlärning är inte riktigt vad många föreställer sig, men de är utan tvekan de bästa AI-säkerhetsverktygen vi har i dagsläget. Datamönster analysera för att kunna bedöma om det finns risk för en särskild händelse eller inte.

Maskininlärning skiljer sig något från artificiell intelligens i vissa avseenden. Inom maskininlärning ligger fokus på precision snarare än framgång. Det betyder att maskininlärning är mer uppgiftsfokuserat och handlar om att tillhandahålla den optimala lösningen för uppgiften i fråga. Maskinlärningsfunktionen kommer att söka lösningarna baserar på angivna uppgifter, även om det inte är den optimala lösningen. Ingen direkt datatolkning utförs vid maskininlärning, utan den uppgiften hamnar hos IT-avdelningen.

Maskininlärning är idealiskt för långtråkiga uppgifter som datamönstersidentifiering och anpassning. Dessa montona och ofta tidskrävande uppgifter är mer lämpliga för maskiner än människor. Även om själva tolkningen av dataanalyserna måste göras av människor kan maskininlärningen hjälpa till att presentera data i ett läsbart format så att de kan analyseras. Maskininlärning inom internetsäkerhet kan se ut på olika sätt och har alla sina unika fördelar. Dessa inkluderar:

Dataklassificering

Dataklassificering handlar om att använda förinställda regler för att dela upp data i kategorier. Kategoriseringen av data är en väsentlig del för att kunna upptäcka attacker, sårbarheter och utföra förebyggande säkerhetsåtgärder. Detta är grunden till maskininlärning inom internetsäkerhet.

Datakluster<

Vid användning av datakluster klassificeras de förinställda reglerna och fördelar dem i "klustersammansättningar" med samma egenskaper eller funktioner. Det är till exempel användbart vid analysering av attackdata som systemet inte är bekant med. Med hjälp av dessa kluster går det avgöra hur attacken var möjlig och vilka data som utsattes för intrång. 

Rekommenderade åtgärder

Rekommenderade åtgärder är del av de förebyggande metoderna i maskininlärningsbaserade säkerhetssystem. De är rekommendationer baserade på beteendemönster och tidigare beslut. Det måste dock nämnas igen att detta inte är ett nyanserat AI-baserat beslut, utan mer ett ramverk för att kunna göra slutsatser baserat på logiska förhållanden och förinställda datavärden. Risken för hot och överföringsstörningar minskar avsevärt med den här typen av verktyg.

Möjlighetssammanställning

Möjlighetssammanställning bygger på att sammanställa data baserat på tidigare data i kombination med ny och obekanta datauppsättningar. Det är annorlunda än rekommendationer eftersom fokus ligger på chansen till att en åtgärd eller ett tillstånd överensstämmer med tidigare fall. Sammanställningen kan till exempel användas för att undersöka sårbarheter inom organisationens system.

Förutsägelseanalys

Förutsägelseanalys är den mest framåtblickande maskininlärningsmetoden. Analysen handlar om att förutspå potentiella resultat genom att analysera befintliga datauppsättningar. Detta används främst inom utveckling av hotmodeller, beskrivning av förebyggande åtgärder för bedrägeri, dataintrång och används flitigt i förebyggande syfte i ett flertal klientlösningar.

Exempel på maskininlärning inom internetsäkerhet

Här följer några exempel på hur maskininlärning används inom internetsäkerhet:

Sekretessklassificering och efterlevnad

Efterlevnad av sekretesslagar har blivit allt viktigare. I kölvattnet av den allmänna dataskyddsförordningen GDPR har även andra lagar tillkommit som CCPA (California Consumer Integrity Act).

Kund- och användaruppgifter måste hanteras i enlighet med dessa förordningar, vilket innebär att du måste ha åtkomst till dessa data vid uppmaning till borttagning. Underlåtenhet att följa förordningarna kan leda till rejäla böter och skador på verksamhetens anseende.

Med hjälp av dataklassificering är det enklare att skilja mellan anonyma och identitetsfria uppgifter. På så sätt slipper du gå igenom stora mängder av både gamla och nya data, vilket framförallt är användbart för äldre eller större organisationer.

Användarsäkerhetsbeteenden

Skapa anpassade nätverksprofiler baserat på användarbeteenden för att skräddarsy de perfekta säkerhetslösningarna för din organisation. Obehöriga användare kan sedan identifieras med hjälp av de beskrivningar som sammanställs i modellen. Subtila egenskaper som tangentbordshantering kan användas i förebyggande hotmodeller. Med hjälp av potentiella resultat som baserats på beteendet hos obehöriga användare får du rekommendationer via maskininlärningslösningen för att minska risken för sårbara attacker.

Säkerhetsprofiler inom systemprestanda

I likhet med profilering av användarbeteenden kan du anpassa diagnostikprofiler baserat på datorn beteende när den fungerar som den ska. Tecken på skadlig programvara inkluderar övervakning av processors- och lagringsanvändning i samband med hög internetnärvaro. Många använder dock större datamängder under videomöten eller regelbundna hämtningar av stora mediefiler. Genom att bekanta sig med hur systemet beter sig generellt är det lättare att reagerar om något ändras, på samma sätt som skillnader i användarbeteenden som vi nämnde tidigare.

Beteendebaserad blockering av botar

Vanliga tecken på botaktivitet är försämrad bandbredd för webbplatser. Det gäller framförallt på välbesökta verksamheter på nätet som e-butiker och "icke-fysiska" verksamheter. De legitima användarna kommer att uppleva webbplatsen som trög, vilket leder till färre besök och lägre intäkter för verksamheterna.

Genom att klassificera aktiviteten kan de maskininlärningsbaserade säkerhetslösningarna blockera botarna, oavsett vilka anonymitetsverktyg som används i VPN-tjänsten. Med hjälp av beteenderelaterade datavärden kopplade till bedrägliga parter kan du använda det maskininlärningsbaserade säkerhetsverktyget för att skapa förebyggande modeller för att blockera nya webbadresser med liknande aktivitet.

Framtiden inom internetsäkerhet

Trots de spännande innovationerna inom denna typ av internetsäkerhet får vi inte glömma bort dess begränsningar.

Maskininlärning baseras på insamlade data som kan försvåras på grund av rådande datasekretessförordningar. Det krävs många datapunkter för att utveckla tillförlitliga modeller, vilket inte alltid går hand i hand med rätten till anonymitet. De personliga identifieringsfaktorerna som används kanske innebär vissa överträdelser, så det gäller att veta vad som gäller och i värsta fall välja en annan lösning. För att kunna göra korrigeringar blir ursprungliga så gott som omöjliga att använda efter uppdateringen. Vi får inte heller glömma bort anonymitetsaspekten, men detta kräver ytterligare undersökning för att inte påverka programlogiken.

Branschen behöver fler AI- och ML-kunniga internetsäkerhetsexperter som kan hantera den typen av programmering. Kombinationen av maskininlärningsbaserade säkerhetslösningar som kan justeras och underhållas av kunnig personal vid behov vore optimalt. Dessvärre saknas det i nuläget tillräckligt många kunniga inom detta område för att täcka den enorma efterfrågan över hela världen.

Mänskligt ingripande är fortsatt nödvändigt och kritiskt tänkande samt kreativ förmåga kommer fortfarande var avgörande för att kunna ta bra beslut. Varken ML eller AI är i nuläget tillräckligt avancerade för att kunna göra detta. Du kommer att behöva implementera de nya lösningarna på ett sätt som kan anpassas med ditt befintliga team.

Välkomna utvecklingen inom internetsäkerhet

Ta följande steg för att anpassa verksamheten till AI-baserade säkerhetslösningar:

  1. Se till att hålla koll på de tekniska framstegen. Kostnaden för intrång på grund av föråldrad teknik eller onödigt manuellt arbete kommer att bli betydligt större ju mer avancerade hoten blir. Minska risken genom att ligga steget före. Använd lösningar som Kaspersky Integrated Endpoint Security för att ta dig an framtidens utmaningar.
  2. AI- och ML-baserade lösningar ska användas för att underlätta IT-avdelningens arbete, inte ta jobbet ifrån dem. Det finns inget system som är idiotsäkert. Systemen kan utsättas för innovativa attackmetoder, så det gäller att IT-avdelningen har möjlighet att förebygga problemen på bästa sätt.
  3. Uppdatera datapolicyerna regelbundet i enlighet med den föränderliga lagstiftningen. Datasekretess är ett viktigt ämne för många myndigheter runt om i världen. Det innebär att ämnet kommer att vara aktuellt även för företag och organisationer under den närmaste framtiden. Se till att du alltid följer de senaste riktlinjerna.

Relaterade artiklar:

Säkerhet inom artificiell intelligens och maskininlärning – en del av framtiden

Artificiell intelligens och maskininlärning kan användas för att underlätta för IT-avdelningarna. All information finns i den här handboken.
Kaspersky Logo