Uczenie maszynowe w cyberbezpieczeństwie

Dzięki technologiom, które pozwalają na przechowywanie i analizowanie dużych wolumenów danych, firmy są w stanie wykonywać zadania, które do niedawna były jeszcze niemożliwe. Do takich zadań należy także szeroko pojęte bezpieczeństwo sieciowe w tym wykrywanie zagrożeń i ataków.
W przeszłości zajmowali się tym wyłącznie wyspecjalizowani analitycy bezpieczeństwa sieciowego, monitorując dane i tworząc odpowiednie reguły wykrywania ataków. Jednak wraz z rosnącym rozmiarem danych sieciowych rośnie liczba powodów dla których eksperci stają się coraz mniej efektywni:

  • rosnąca liczba urządzeń sieciowych sprawia, że analitycy nie są w stanie monitorować coraz większej ilości przychodzących danych w poszukiwaniu zagrożeń
  • aby monitorować coraz więcej danych należy zatrudnić proporcjonalnie więcej analityków, co w powiązaniu z deficytem wykwalifikowanych w tej dziedzinie kadr stanowi rosnący koszt dla firmy
  • ataki stają się coraz bardziej powszechne i powodują znaczne straty - według firmy ubezpieczeniowej Lloyd’s kosztują one już 400 miliardów dolarów rocznie
  • opóźnienie między wykryciem zagrożenia a podjęciem działania w przypadku ręcznego monitorowania jest wysokie - zanim podjęte zostanie działanie może już dojść do znacznych szkód w systemie
  • ręcznie stworzone reguły detekcji zagrożeń pomijają ataki, które nie pasują do reguł 
Rozwiązaniem tych problemów obecnie coraz częściej stają się systemy oparte na uczeniu maszynowym.

W szerokim sensie, uczenie maszynowe odnosi się do serii technik, gdzie na podstawie historycznych danych “trenowany” jest algorytm rozwiązujący dany problem. Jako prosty przykład można wziąć wykrywanie kotów na zdjęciach. Odpowiednio przygotowując dane (ręcznie otagowane zdjęcia jako ‘kot’ i ‘nie-kot’) i zasilając nimi algorytm uczenia maszynowego można stworzyć rozwiązanie, które jest w stanie skutecznie wykrywać (klasyfikować) czy na nowo przychodzących do systemu zdjęciach znajdują się koty. W ten sposób na podstawie podstawie danych historycznych można przewidzieć “klasę” przyszłego zdarzenia.

Popularnymi zastosowaniami uczenia maszynowego jest rozpoznawanie głosu, detekcja oszustw (fraud detection), filtry antyspamowe, przetwarzanie tekstu, rekomendacje produktów, analiza wideo i wiele innych. Od niedawna uczenie maszynowe stosuje się również w dziedzinie bezpieczeństwa sieciowego. Ale podczas gdy coraz więcej prostych prac jest przekazywane w ręce robotów i sztucznej inteligencji czy możliwym jest, aby wyłącznie algorytmy były odpowiedzialne za tak skomplikowane zadanie jak cyberbezpieczeństwo? Zagadnienie to jest omawiane przez profesjonalistów sieciowych, przedstawiających argumenty zarówno za jak i przeciw. Równocześnie firmy szukają sposobów na wprowadzenie u siebie uczenia maszynowego jako kolejnej technologii w ich arsenale przeciwko cyberprzestępcom.

Obecnie zdecydowana większość systemów cyberbezpieczeństwa bazujących na uczeniu maszynowym jest używana jako system ostrzegawczy, wykrywający anomalie w normalnym ruchu sieciowym. Korzystając z tego podejścia, używa się danych historycznych, by nauczyć algorytm jak wygląda prawidłowy ruch sieciowy i oznaczać wszystko co odbiega od normy jako podejrzane. Im szybciej takie anomalie zostaną zidentyfikowane, tym szybciej można przeciwdziałać i unieszkodliwić ewentualne zagrożenia.

Głównym argumentem przeciwko rozwiązaniom tego typu jest zbyt wiele fałszywych alarmów, które wymagają tak czy inaczej analizy przez ekspertów. Taka niepotrzebna fatyga analityków powoduje bardzo często również spadek zaufania do systemu. Z drugiej strony, ilość generowanych danych sieciowych przekracza możliwości analizy przez ludzi. Fakt, że ani eksperci, ani rozwiązania automatyczne nie są idealne doprowadził do rozwiązań gdzie sztuczna inteligencja jest wspomagana w swoim działaniu przez profesjonalistów.

Przykładem może być stworzony w laboratorium CSAIL MIT system o nazwie AI2. System ten analizuje dziesiątki milionów logów każdego dnia, wyodrębniając anomalie i podejrzane zdarzenia. Następnie są one przekazywane do ekspertów, którzy ręcznie oznaczają rzeczywiste zagrożenia, a odrzucają pomyłki systemu. Z czasem system, dzięki informacjom od analityków uczy się skuteczniej wykrywać rzeczywiste ataki, zmniejszając poziom fałszywych alarmów. Dzięki takiemu podejściu eksperci mają do przeanalizowania dziennie tylko 100-200 zdarzeń podczas gdy wcześniej były to dziesiątki tysięcy. Zespół odpowiedzialny za AI2 udowodnił, że podejście to jest w stanie wykryć 85% ataków przy znaczącej redukcji liczby fałszywych alarmów.

Mimo sukcesów, jest zbyt wcześnie by określić czy i kiedy eksperci bezpieczeństwa zostaną zastąpieni przez rozwiązania w pełni bazujące na sztucznej inteligencji. Można przewidywać, że w przyszłości coraz większą rolę w tym procesie będą odgrywały komputery. Obecnie, to jednak połączone działania ludzi i algorytmów uczenia maszynowego przynoszą najlepsze rezultaty przeciwko cyberprzestępcom. Nie oznacza to jednak, że zagrożeń będzie coraz mniej. Atakujący są cierpliwi i ostrożni w szukaniu słabości systemów, tworzą i rozwijają coraz bardziej zaawansowane metody ataków, również korzystając z uczenia maszynowego. W przyszłości możliwy jest nawet scenariusz, gdzie większość ataków będzie wspomagana sztuczną inteligencją, a ochrona będzie polegała na stworzeniu lepszego algorytmu niż cyberprzestępca.



Brak komentarzy :

Prześlij komentarz