Na své nejjednodušší úrovni je strojové učení definováno jako „schopnost (pro počítače) učit se bez výslovného naprogramování“.
Pomocí matematických metod používaných pro obrovská množství dat vytvářejí algoritmy strojového učení modely chování a používají tyto modely jako základ pro tvorbu budoucích předpovědí na základě nových vstupních dat.
Je to například Netflix nabízející vám nové televizní seriály na základě vaší historie sledování filmů, nebo automobily, které se samy řídí a učí se fungovat v rámci provozu na cestách včetně zohlednění pohybu chodců.
Jaké jsou tedy možnosti použití strojového učení v oblasti zabezpečení informací?
Strojové učení může v zásadě pomoci podnikům lépe analyzovat hrozby a reagovat na útoky a bezpečnostní incidenty. Mohlo by také pomoci automatizovat další méně náročné úkoly, které dříve vykonával někdy méně kvalifikovaný personál týmů zabezpečení.
Strojové učení v oblasti zabezpečení je rychle rostoucím trendem. Analytici společnosti ABI Research odhadují, že do roku 2021 strojové učení v oblasti kybernetické bezpečnosti zvýší náklady na big data, umělou inteligenci (AI) a analytiku na 96 miliard dolarů, zatímco někteří světoví technologičtí giganti se již snaží lépe chránit své vlastní zákazníky.
Google používá strojové učení k analýze hrozeb vůči mobilním koncovým bodům běžícím na platformě Android a k identifikaci a odstraňování malwaru z infikovaných telefonů, zatímco Amazon jako gigant cloudové infrastruktury koupil start-up harvest.AI a spustil službu Macie, která využívá strojové učení ke zjišťování, třídění a klasifikaci dat ukládaných v cloudové službě úložiště S3.
Dodavatelé podnikového zabezpečení současně pracují na začlenění strojového učení do nových i starých produktů především ve snaze zlepšit detekci malwaru.
„Většina významných společností v oblasti zabezpečení přešla ze systému založeného čistě na signaturách, který se používal k detekci malwaru před lety, na systémy strojového učení, jež se snaží interpretovat akce a události a učí se z různých zdrojů, co je bezpečné a co není,“ uvádí Jack Gold, hlavní analytik společnosti J. Gold Associates.
„Je to stále vznikající oblast, ale je to jasně způsob, jak směřovat do budoucna. Umělá inteligence a strojové učení dramaticky změní způsob zabezpečení,“ tvrdí Gold.
Přestože se tato transformace nestane přes noc, strojové učení se již v určitých oblastech objevuje.
„AI – jako širší definice zahrnující strojové učení a hluboké učení – je ve své rané fázi posilováním kybernetické obrany, kde většinou vidíme předvídatelné případy použití pro identifikaci vzorů škodlivých aktivit, ať už v koncových bodech, v síti, při podvodu nebo v rámci řešení SIEM,“ uvádí Dudu Mimran, technologický ředitel Deutsche Telekom Innovation Laboratories (a také Centra výzkumu kybernetické bezpečnosti na izraelské Univerzitě Bena Guriona).
„Věřím, že uvidíme stále více a více případů využití v oblastech obrany proti přerušení služeb, klasifikace a změn v chování uživatelů.“
Níže uvádíme jednotlivé nejdůležitější případy použití strojového učení pro zabezpečení.
1. Použití strojového učení k detekci škodlivé aktivity a zastavení útoků
Algoritmy strojového učení pomohou podnikům rychleji detekovat škodlivou aktivitu a zastavit útoky dříve, než začnou. David Palmer by to měl vědět. Jako ředitel technologie britského start-upu Darktrace – firmy, která měla od svého založení v roce 2013 velký úspěch se svým řešením Enterprise Immune Solution založeným na strojovém učení –, viděl dopad těchto technologií.
Palmer říká, že Darktrace nedávno pomohl jednomu kasinu, když jeho algoritmy zjistily útok s exfiltrací dat, který použil jako vstup „do sítě připojenou nádrž s rybami“. Tato firma také tvrdí, že zabránila podobnému útoku během krize ransomwaru WannaCry v loňském létě.
„Naše algoritmy zaznamenaly útok během několika sekund v jedné síti agentury NHS a hrozba byla zmírněná, aniž došlo k poškození této organizace,“ uvedl o ransomwaru, který infikoval více než 200 tisíc obětí ve 150 zemích.
„Ve skutečnosti žádného z našich zákazníků útok WannaCry nepoškodil včetně těch, kteří neměli nainstalovanou opravu.“
2. Použití strojového učení k analýze mobilních koncových bodů
Strojové učení se stává běžným v mobilních zařízeních, ale zatím byla většina této aktivity zaměřena na zlepšování hlasové komunikace s asistencí typu Google Now, Apple Siri nebo Amazon Alexa.
Přesto existuje také použití pro zabezpečení. Jak již bylo uvedeno výše, Google používá strojové učení k analýze hrozeb pro mobilní koncové body, zatímco podniky vidí příležitost k ochraně rostoucího počtu mobilních zařízení vlastněných nebo vybraných personálem a používaných pro firemní účely.
V říjnu oznámily společnosti MobileIron a Zimperium spolupráci, aby pomohly podnikům přijmout mobilní antimalwarová řešení zahrnující strojové učení.
MobileIron uvedl, že bude integrovat detekci hrozeb společnosti Zimperium založenou na strojovém učení s vlastním strojem pro sféru zabezpečení a dodržování předpisů. Řešení má zajistit detekci hrozeb týkajících se zařízení, sítě a aplikací a okamžitě podniknout automatizovaná opatření k ochraně dat společnosti.
Další dodavatelé se také snaží posílit svá mobilní řešení. Kromě společnosti Zimperium jsou za lídry na trhu mobilní detekce a obrany proti hrozbám považovány také LookOut, Skycure (firma koupená Symantekem) a Wandera. Každá z nich používá vlastní algoritmus strojového učení k detekci potenciálních hrozeb.
Wandera například nedávno veřejně zpřístupnila svůj stroj pro detekci hrozeb MI:RIAM, který údajně zjistil více než 400 útoků přebaleného ransomwaru SLocker zaměřeného na mobilní zařízení firem.
3. Použití strojového učení ke zlepšení lidské analýzy
Podstatou strojového učení v oblasti zabezpečení je přesvědčení, že pomáhá lidským analytikům se všemi aspekty této práce včetně detekce škodlivých aktivit, analýzy sítě, ochrany koncových bodů a posuzování zranitelnosti. Pravděpodobně nejvíce nadšení se týká threat intelligence.
Například v roce 2016 vyvinula Laboratoř počítačové vědy a umělé inteligence (CSAIL) technologického institutu MIT systém nazvaný AI2, bezpečnostní platforma adaptivního strojového učení, která pomáhá analytikům hledat tyto příslovečné jehly v kupce sena.
Když tento systém kontroloval miliony přihlášení každý den, byl schopný data odfiltrovat a předat je lidskému analytikovi s tím, že byl počet upozornění snížený na cca 100 za den.
Experiment – uskutečněný laboratoří CSAIL a start-upem PatternEx – ukázal, že se míra detekce útoku zvýšila na 85 procent s pětinásobným poklesem falešně pozitivních výsledků.
4. Použití strojového učení k automatizaci opakovaných bezpečnostních úloh
Skutečným přínosem strojového učení je, že dokáže zautomatizovat opakující se činnosti, a pomoci tak personálu soustředit se na důležitější práci.
Palmer tvrdí, že strojové učení by mělo nakonec směřovat k tomu, aby „lidé nemuseli dělat opakující se činnosti s nízkou hodnotou rozhodování, jako je například stanovení priorit threat intelligence“.
„Nechte stroje dělat opakující se práci a taktický boj s ohněm, jako je například přerušení v důsledku útoku ransomwaru, aby měli lidé více času na strategické problémy – například na modernizaci náhradou systémů Windows XP,“ tvrdí Palmer.
Firma Booz Allen Hamilton se vydala touto cestou a údajně používá nástroje AI k efektivnějšímu přidělování práce personálu zabezpečení a stanovení priorit u hrozeb, takže se mohou pracovníci zaměřit na nejkritičtější útoky.
5. Použití strojového učení k omezení zranitelností nultého dne
Někteří věří, že by mohlo strojové učení napomoci omezení zranitelností, zejména hrozeb nultého dne a dalších, které se zaměřují převážně na nezabezpečená zařízení IoT.
V této oblasti probíhá iniciativní práce: Tým na Arizonské státní univerzitě použil strojové učení k monitorování provozu na darkwebu za účelem identifikace údajů týkajících se exploitů nultého dne, uvádí Forbes.
Vyzbrojené tímto typem informací by organizace mohly potenciálně omezit zranitelná místa a zablokovat exploity zneužívající známé zranitelnosti, aby s jejich pomocí nemohlo dojít k průlomu.
Humbuk a nepochopení
Strojové učení však není všelék. Průmysl stále s těmito technologiemi experimentuje a ověřuje koncepty. Existuje zde řada nástrah.
Systémy strojového učení někdy ohlašují falešně pozitivní případy (systémy učení bez učitele – unsupervised, kde algoritmy odvozují kategorie založené na datech) a někteří analytici objektivně uvádějí, že strojové učení „představuje v oblasti zabezpečení černou skříňku, u které ředitelé zabezpečení informací nemají jistotu, co je uvnitř“.
V důsledku toho jsou tak nuceni přenést svou důvěru a odpovědnost na bedra dodavatelů a strojů. Tato myšlenka týkající se důvěry není ideální ve světě, kde některá řešení zabezpečení ani nepoužívají strojové učení.
„Většina vychvalovaných vynálezů strojového učení ve skutečnosti neuskutečňuje při práci v prostředí zákazníka žádné učení,“ uvádí Palmer.
„Namísto toho používají modely vyzkoušené na vzorcích malwaru v cloudu dodavatele. Tyto modely se poté stahují do firem zákazníků podobně jako antivirové signatury. Není to nijak pokrokové, pokud jde o bezpečnost klientů, a ponechává to v podstatě zpětný přístup.“
Kromě toho, na základě těchto vzorků školicích dat – potřebných k tomu, aby se algoritmy mohly naučit své modely před jejich odesláním do reálného světa, existuje názor, že nedostatečná data a implementace budou mít za následek ještě horší výsledky.
„Strojové učení je jen tak dobré jako vstupní informace, které mu poskytnete (nakrmte ho odpadem a dostanete odpad),“ upozorňuje Gold.
„Pokud tedy algoritmy pro strojové učení nejsou dobře navrženy, nebudou ani výsledky příliš užitečné. Mít algoritmy, které fungují na školicích datových množinách v laboratoři, je jedna věc, ale jednou z největších výzev v oblasti strojového učení pro kybernetickou obranu je to, aby začala fungovat ve velkém v živých a složitých sítích,“ uzavírá Gold.
Tento příspěvek vyšel v Security Worldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU