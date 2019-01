Volgens CEO Nicole Eagan van softwarebedrijf Darktrace omarmt slechts twee op de tien informatiebeveiligingsdesundigen kunstmatige intelligentie (AI) als belangrijk component van malwaredetectie. De acht anderen vallen volgens haar tussen 'verzet' of 'laten we een poging wagen' maar doen niet de moeite om de technologie optimaal te benutten na aanschaf.

Toegegeven, vooral informatiebeveiligers zijn uiteraard risicomijdend en dat instinct zorgt ervoor dat ze nieuwe tech minder snel uitproberen. Dat heeft een goede reden: het bedrijf beschermen tegen risico is de hoogste prioriteit van de functie. Maar in theorie heeft AI de potentie om sneller een schifting te maken en belangrijke problemen op te merken. Waarom wordt het dan niet breed ingezet?

Mik Small, hoofdanalist van onderzoeksbureau KuppingerCole, denkt dat dit eigenlijk wel het geval is, maar dat veel mensen het niet herkennen als AI. Bedrijven als Senseon, Darktrace en SecBI doen aan risicodetectie op een hoger niveau dan traditionele antivirussoftware. Maar wat ze doen is volgens Small "niet helemaal uniek". In de basis, legt hij uit, gaat het hier om een geavanceerde vorm van gedragsanalyse die zich richt op het identificeren van patronen om potentiële risico's en kwetsbaarheden op te merken. Grote beveiligingsbedrijven als McAfee en Symantec gebruiken deze technologie al in hun producten.

"Afdelingen kopen producten in om hun resultaten en niet zozeer om de technologie", licht Small toe. De resultaten die je krijgt van gedragsanalyse die is meegenomen in grotere tools werken prima: McAfee verdient volgens Forbes nu 2,5 miljard dollar per jaar. Vergelijk dat met een gespecialiseerd bedrijf als Darktrace, die ongeveer 400 miljoen dollar omzette in 2018.

Het is niet realistisch om te verwachten dat een gespecialiseerde tool in de buurt komt qua verkoop als een bekend platform, maar de cijfers illustreren ook dat als het gaat om risicodetectie stand-alone AI de markt nog niet heeft veroverd. Wat zijn de struikelblokken? Dat is afhankelijk van wie je het vraagt. De leverancier (de CEO van Darktrace), deskundige (de analist van KuppingerCole) en een klant (informatiebeveiliger Eric Gauthier) geven alle drie een ander antwoord. Laten we het als zodanig opsplitsen:

De leverancier: Aversie voor verandering

Op de AI Summit in New York vorig maand, benadrukte Eagan dat er veel verzet is tegen verandering. "De sector rond cybersecurity bestaat ongeveer dertig jaar" en daarom heeft het enkele ervaren praktijkbeoefenaars die volgens haar gewend zijn aan een zekere toolset, bepaalde methodologieën en processen. "We ontdekten dat dit minder te maken heeft met leeftijd en meer met openheid en nieuwsgierigheid van mensen die ermee bezig zijn", aldus de CEO. Oftewel, mensen die grenzen willen verleggen en nieuwe middelen willen proberen, doen dat ook.

De analist: Lastig uit te leggen

Small zegt dat dat nog niet zo makkelijk is, omdat stand-alone risicodetectie op basis van AI in de markt van vandaag niet de problemen oplost waar informatiebeveiliging mee worstelt. "AI is een black box als het gaat om in te schatten of opgemerkte issues echte dreigingen zijn of vals alarm. Je krijgt er alleen een resultaat uit en als het niet klopt, weet je niet waarom."

Zonder het waarom, licht hij toe, kunnen informatiebeveiligers hun beslissingen niet uitleggen als er iets misgaat en je een inbraak hebt, bijvoorbeeld als je persvragen krijgt. In dit tijdperk waar compliance hoger op de agenda staat en meer rechtszaken en potentiële boetes volgen, maakt dit het lastig je securityhouding toe te lichten. Volgens Small is dat de beperkende factor van AI.

De klant: Geen mankracht voor AI-detectie

Gauthier is technisch directeur en informatiebeveiliger bij HR-bedrijf Scout en maakt zich minder druk over publiciteit en rechtszaken. Hij heeft de technologie niet gekocht omdat Scout niet de mankracht heeft om het goed te benutten. "We zijn een kleiner bedrijf", legt hij uit. "In het geval van deze 'AI-driven risicodetectieplatforms' - of bij veel van de threat intelligence-feeds die nu populair zijn - geven ze je meer informatie, maar het is een soort secundaire, aanvullende informatie. We hebben al niet het personeel om op primaire dreigingen te reageren waar je actie op dient te nemen en die echt zijn."

Volgens Gauthier komt het vooral neer op kosten/baten, waarbij je erkent dat hoewel AI-detectie meer biedt dan platforms die alles doen, "ga ik niet betalen voor extra data als ik er geen actie op kan nemen, als ik er geen toegevoegde waarde van krijg". Het monitoren van de AI-output zou een groter IT-personeelsbestand vereisen dan het bedrijf heeft en dat maakt de aankoopbeslissing niet zo zeer afhankelijk van de technologie, maar van de mogelijkheid om het te benutten. "Je moet een bepaalde schaal hebben om er voordeel van te behalen."

Dat was volgens Eagan een probleem dat Darktrace voorzag voor de tool überhaupt was gebouwd, en eentje waar het bedrijf aan heeft gewerkt. "We zeiden bij de oprichting: 'We gaan onze markt beperken als we dit alleen kunnen verkopen aan mensen die data-scientists inhuren om dit te begrijpen", aldus de CEO van Darktrace. Daarom hielden ze hun ontwikkelaars voor: "We moeten het zelflerend maken en zelfonderhoudend, zodat klanten niet meer mensen hoeven aan te nemen. Het doel is zelfs om juist minder beveiligers nodig te hebben dankzij deze tool, niet meer."

Tool moet inzicht geven; niet alleen informatie

Om dat te bereiken moeten fabrikanten van zulke tools inzicht leveren, vinden zowel Small als Gauthier. Volgens Gauthier is het nu zo dat AI "me informatie levert, maar ik moet zelf uitvogelen wat dat betekent". Zolang risicodetectie zich beperkt tot gedragsanalyse, zal dat niet veranderen, meent Small.

Hij raadt leveranciers aan zich af te vragen hoe ze een stap hoger bereiken: uitleggen waarom dit risico een realistische dreiging is - een uitdaging waar volgens de analist allen IBM QRadar Advisor zich momenteel op richt. "Het is veel complexer" zegt hij, "om na het incident te analyseren wat de indicatoren waren, wat er precies gebeurde, of het nog steeds gebeurd, of het ook bij een andere partij is gebeurd en wat het probleem was", zegt hij. Hij geeft toe dat zulke AI lastiger te maken, maar wel veel beter te verkopen is.