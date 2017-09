Meer dan 80 procent van de beveiligingsincidenten wordt niet gedetecteerd. Tegelijkertijd geeft 42 procent van de cybersecurity-professionals toe dat hun organisatie een significant aantal meldingen negeert omdat het er gewoon te veel zijn. Het tekort aan skills verergert dit beeld. Onderzoek door ISC2 laat zien dat de wereldwijde ICT-beveiligingsbranche een tekort heeft van een miljoen professionals. In de komende vijf jaren groeit dit aantal naar 1,8 miljoen.

De branche probeert dit probleem met machine learning aan te pakken. Gartner voorspelt dat in 2018 een kwart van de beveiligingsproducten die zich richten op detectie, een of andere vorm van machine learning zal gebruiken. En volgens ABI Research zorgt machine learning in cybersecurity ervoor dat big data, data intelligence en analytics in 2021 goed zijn voor een omzet van 96 miljard dollar.

"We bevinden ons midden in een Artificial-Intelligence-beveiligingsrevolutie", zegt Dimitrios Pavlakis, researchanalist bij ABI. "Dit leidt ertoe dat oplossingen op basis van ML in korte tijd de nieuwe norm zullen zijn voor wat nu SIEM-oplossingen zijn. ML-oplossingen zullen in de komende vijf jaren een groot deel van de traditionele antivirus-, heuristische en op signatures gebaseerde systemen gaan vervangen."

Er is overigens een verschil tussen ML en Artificial Intelligence (AI): voor machine learning blijft nog enige menselijke tussenkomst en engineering nodig. Deze technologie gebruikt algoritmes en voorspellende modellen om alle meldingen te monitoren en die alerts eruit te pikken waarop actie nodig is door het securityteam.

Machine learning wordt al toegepast in cybersecurity. Dat gebeurt onder andere op de volgende manieren.

1. Malware-detectie

Het zoeken naar malware is steeds uitdagender voor traditionele anti-malware-technologieën en zwaarbelaste security-teams. De cijfers maken dat duidelijk. Volgens het AV-TEST Institute is er dagelijks sprake van bijna 400.000 nieuwe malware-varianten. We zien nu dat machine learning als vervanging of ten minste als toevoeging wordt ingezet voor of bij op signatures gebaseerde en heuristische malware-detectie. ML-algoritmes zijn in staat om kenmerken en gedrag van bestanden te analyseren op kwaadaardige bedoelingen. Er is daarbij wel menselijke tussenkomst nodig in de vorm van het instellen van parameters en variabelen die het algoritme vervolgens gebruikt voor de analyses.

2. Dynamische risico- en bedreigingsanalyse

Machine learning kan helpen bij het orde scheppen in grote hoeveelheden data door continue realtime monitoring en een hoogwaardige big-data-analyticsbenadering. Dit kan zorgen voor betrouwbare informatie aan beheerders over echte bedreigingen.

3. Monitoren van gebruikersgedrag en voorkomen van insider threats

De geavanceerde analysemogelijkheden van ML worden steeds vaker toegepast in User and Entity Behavioural Analytics-technologieën (UEBA). Daarbij gebruikt het ML-algoritme historische data omtrent gebruikersgedrag, zoals logintijden, locaties en devices om een beeld te creëren van 'normaal' gebruikersgedrag. Het algoritme kan vervolgens netwerkverkeer in realtime monitoren om afwijkingen te detecteren die een indicatie kunnen zijn van een gecompromitteerd gebruikersaccount of een illegale activiteit van een medewerker, zoals datadiefstal. Volgens de analisten van Markets and Markets groeit de markt voor UEBA-technologieën van 131,7 miljoen dollar in 2016 naar 908,3 miljoen dollar in 2021.

4. Deep learning

Deze toepassing staat nog in de kinderschoenen voor wat betreft praktische inzet in cybersecurity, maar sommigen voorspellen dat het de volgende evolutie is in geavanceerde security-ML. Door gebruik te maken van een neuraal netwerkmodel dat op dezelfde manier leert als het menselijk brein, kan een systeem algoritmes aanleren zonder menselijke tussenkomt of het instellen van parameters. De eerste testen hiermee laten zien dat dit effectiever kan zijn dan bestaande ML-technieken als het gaat om het detecteren van zero-day malware en geavanceerde bedreigingen. Zo detecteerde een specifieke test met deep-learning-technologie meer dan 99,9 procent van de kwaadaardige code.