AI is niet altijd de betere keuze
AI is dé trend van nu en bedrijven springen daar massaal op in – ook bij cybersecurity. Het lijkt zelfs alsof elke tool AI gebruikt en AI kan zeker een vooruitgang betekenen. Toch is zaak om hier kritisch naar te kijken, want een tool die AI gebruikt maakt hoeft niet per se de beste te zijn.
Deep-learning neural networking
De meest geavanceerde benadering van AI is ‘deep-learning neural networking’. Deep-learning modellen functioneren als een menselijk brein en creëren zo intelligentie. Deze modellen worden getraind met grote hoeveelheden data, maar de modellen zelf zijn relatief klein. Hierdoor zijn ze flexibel en makkelijk inzetbaar in verschillende omgevingen. Deep-learning modellen worden bijvoorbeeld gebruikt voor generatieve AI, zoals ChatGPT. In cybersecurity is generatieve AI vooral nuttig voor het vereenvoudigen van gebruikersinterfaces. Gebruikers kunnen natuurlijke taal gebruiken om bijvoorbeeld opdrachten te geven. Doordat de interface deze opdrachten kan omzetten in de voor securitysystemen begrijpelijke instructies, hoeft de gebruiker geen diepgaande kennis te hebben over de onderliggende systemen.
Deep-learning kan op deze manier een enorme efficiëntie boost geven aan securityteams. Hierdoor is het zelfs mogelijk dat een ‘gewone’ IT-professional complexe securitytaken op kan pakken. Dit helpt om het wereldwijde tekort aan security-professionals op te lossen, want nu is het voor veel bedrijven die een securityexpert nodig hebben, zoeken naar een speld in een hooiberg.
Random Forrest
Een andere benadering, ‘Random Forrest’, is gericht op het classificeren aan de hand van beslisbomen. De Random Forrest-modellen worden veel gebruikt voor een effectieve benadering van analytics, maar zijn minder goed dan deep-learning modellen als het gaat om nieuwe, onbekende onderwerpen. Daarnaast is het leervermogen lager dan bij deep-learning modellen, zoals de naam van de laatste al doet vermoeden.
Deze vorm van AI kan analytics versnellen waardoor analyses snellere en betere resultaten kunnen opleveren. Binnen cybersecurity kunnen data worden verzamelend van allerlei verschillende cybersecurity tools. Door deze data beter te analyseren kunnen de platforms bijvoorbeeld het aantal security alerts beperken tot de meest relevante, om ‘alert fatigue’ bij klanten te voorkomen. Daarnaast kunnen cybersecurityexperts met behulp van AI sneller onderzoeken welke soort dreigingen het grootste risico vormen voor een specifieke klant en/of sector.
K-Nearest Neighbour
En dan is er ook nog de ‘K-Nearest Neighbour’-benadering, die bijvoorbeeld wordt gebruikt om goedaardige of schadelijke items of activiteiten te herkennen. Daartoe worden ze vergelen met items of activiteiten die erop lijken. Deze benadering wordt vaak door securityanalisten gehanteerd om malware of schadelijke activiteiten te detecteren die een AI-model misschien niet heeft herkend. De K-Nearest Neigbour-benadering kan van grote toegevoegde waarde zijn, maar je moet goed opletten of het daadwerkelijk effectiever is dan een oplossing die geen AI gebruikt. Als je bijvoorbeeld weet waar je naar zoekt en je kent de variabelen, dan is het soms veel eenvoudiger om een regel op te stellen die algemeen bekende schadelijke activiteiten identificeert. Een AI-model bouwen dat vergelijkbare resultaten oplevert kan in dit geval ingewikkelder en duurder zijn. Het combineren van een AI-model met een model dat geen AI gebruikt, kan bij de K-Nearest Neigbour benadering de meest effectieve oplossing zijn.
Relevantie trainingsdata
Bij het kiezen van een AI-tool is het belangrijk om te weten hoe de AI-tool is getraind, want de kwaliteit van de trainingsdata is essentieel voor het succes van het model. Over het algemeen geldt: natuurlijk dat hoe meer relevante data zijn gebruikt om de tool te trainen, hoe beter het model presteert. Veel cybersecuritybedrijven verwerken wekelijks biljoenen security events waarmee ze hun AI trainen. Dit levert goede AI tools en platforms op, maar hoe mooi zou het niet zijn als cybersecuritybedrijven al deze data zouden combineren om een AI tool of platform te maken voor nog beter resultaat.
ROC-curves, afname in effectiviteit en verversingen
Het is niet makkelijk om de resultaten van een (AI-)tool te meten, maar soms lukt dat wel. Zo met zogeheten ROC-curves kan de effectiviteit van een tool worden bepaald als het gaat om false positives. Bij het trainen van een malware detectie tool bijvoorbeeld worden de AI-modellen getraind door de resultaten uit de tool te vergelijken met voorbeelden waarvan zeker is of iets malware is of niet. Door dit herhaaldelijk te doen, zouden modellen automatisch beter moeten presteren, wat in de curves is terug te zien. Hoe minder vals-positieven, hoe minder werk voor de securityafdeling.
Stel de juiste vragen
Een tool die met AI werkt hoeft niet per definitie beter te zijn dan traditionele tools. Het gaat uiteindelijk om de effectiviteit die gebruik van AI oplevert en die hangt af van meerdere factoren, zoals welke benadering gebruikt is als basis van de AI-tool, hoeveel data er is gebruikt om de AI te trainen en wat de kwaliteit is van deze data. Bij het kiezen van een nieuwe securitytool is het daarom essentieel om leveranciers te vragen hoe effectiever de AI-tool is vergeleken met traditionele tools. Want het kan zomaar zijn dat oude, eenvoudige technologieën voor veel minder geld vergelijkbare resultaten leveren.
Door: Dan Schiappa (foto), Chief Product Officer bij Arctic Wolf
