Artificiële intelligentie is al jaren onmisbare technologie in de beveiligingswereld, al wordt daar pas recent als dusdanig ruchtbaarheid aan gegeven. Intussen ontdekten ook cybercriminelen de mogelijkheden van de technologie, waardoor het kat-en-muisspel spannender is dan ooit.
Wie de securitywereld de laatste jaren wat opvolgt, ziet overal AI opduiken. “Toch is er de laatste jaren niet zoveel veranderd”, weet Geoffrey Van Beylen, Director Systems Engineering bij beveiligingsspecialist Fortinet. Techzine drinkt een tas koffie met Van Beylen voor een update over het gebruik van AI in beveiligingsland.
Niets nieuws
“Wij introduceerden in 2011 al wat we vandaag AI zouden noemen. De algoritmes worden sinds dan ingezet voor webfiltering”, legt hij uit. Omdat het onbegonnen werk is om alle websites op het internet manueel te scannen, bouwde Fortinet een artificieel neuraal netwerk dat webpagina’s kan interpreteren en catalogiseren. Het systeem draait binnen Fortinet en wordt gebruikt om een accurate lijst op te stellen voor de filtersoftware van het bedrijf.
Twee jaar later introduceerde de beveiligingsfirma AI voor de analyse van malware. “Miljarden events per dag, afkomstig van zowel onze eigen oplossingen als van threat feeds gedeeld met de concullega’s zorgen voor een onoverzichtelijke verzameling potentieel relevante data. Een neuraal netwerk doorzoekt die data naar relevante gegevens.”
Marketingterm
AI draait dus al even mee als tool in de beveiligingswereld. Toch is er nu plots veel om te doen. Fortinet zelf pakte vorig jaar nog uit met Fortinet AI in een persbericht. Van Beylen bekijkt dat nuchter: “Volgens mij zijn mensen nu pas klaar om AI als een geloofwaardig onderdeel in beveiligingstechnologie te zien. Acht jaar geleden hadden mensen vreemd opgekeken als we claimden dat onze beveiliging hulp kreeg van AI.” De specialist ziet het gebruik van de term AI in de beveiligingswereld dan ook vooral als teken dat het beveiligingsverhaal vandaag anders verteld wordt, maar wijst ook naar de realiteit van marketing. “De term is momenteel nu eenmaal erg hip.”
“Volgens mij zijn mensen nu pas klaar om AI als een geloofwaardig onderdeel in beveiligingstechnologie te zien.”
“AI is daardoor een brede en soms onduidelijke term”, geeft Van Beylen aan. Hij benadrukt meteen dat een generalistische AI zoals we die kennen uit films als Terminator nog bijlange niet bestaat. Wat we vandaag AI noemen, zijn doorgaans gespecialiseerde algoritmes. “Die blijven binnen een afgebakende context. Zelfs op het eerste zicht algemene kunstmatige intelligentie zoals Amazon Alexa werkt enkel binnen een afgebakend domein. Een kind zal na een korte conversatie doorhebben dat Alexa erg repetitief wordt, tenzij je binnen haar expertisegebied blijft.”
Verschillende types AI
De AI die beveiligingsbedrijven gebruiken is op dezelfde manier ‘intelligent’. De algoritmes zijn goed in erg specifieke dingen (websites scannen, malware analyseren). De achterliggende techniek waarop ‘AI’ gebaseerd is, heet machine learning. “Machine learning bestaat in verschillende varianten, waaronder supervised, unsupervised en reinforced learning”, verduidelijkt Van Beylen.
Het zogenaamde Deep Learning is eveneens een variant van machine learning waarbij data wordt verwerkt over meerdere levels of fases. Denk daarbij aan een artificieel neuraal netwerk. Deep learning kan supervised of unsupervised gebeuren.” Fortinet gebruikt verschillende variaties van AI, gebaseerd op supervised en unsupervised learning, om heel specifieke problemen heel goed op te lossen.
Diverse implementaties
Voor malwaredetectie vertrouwt het bedrijf op een combinatie van twee AI-algoritmes en het intussen vertrouwde systeem van detectie aan de hand van signatures. “Signature-detectie komt altijd eerst. Het is een verspilling van tijd en systeembronnen om malware met AI te analyseren als na een fractie van een seconde aan de hand van een signature al duidelijk is dat het om kwaadaardige software gaat.” Pas als er geen signature overeenkomt, springen AI-algoritmes in actie.
Pas als er geen signature overeenkomt, springen AI-algoritmes in actie.
“Een eerste AI is getraind om malware te herkennen aan de hand van supervised machine learning. Het algoritme is in staat om in veel gevallen met zekerheid te zeggen of bepaald gedrag kenmerkend is voor malware of niet”, legt Van Beylen uit. Het algoritme komt er echter niet altijd zomaar uit. In dat geval neemt een ander algoritme gebouwd rond unsupervised learning de beoordeling over.
“Die algoritmes zijn gebaseerd op een baseline”, aldus Van Beylen. Ze zijn met andere woorden getraind om een referentiekader te hebben: ze weten wat ‘normaal’ gedrag is. Vervolgens kijken ze naar wat een verdacht stuk software precies doet, bijvoorbeeld door het in een sandbox-omgeving los te laten. “Door dat gedrag te vergelijken met de baseline kan de AI met vertrouwen vaststellen of een stuk software vermoedelijk schadelijk is of niet.”
Helpen bij signatures
Vervolgens probeert Fortinet verschillende types malware in een categorie onder te brengen. Ook daar is een rol weggelegd voor AI. “Als een algoritme gemeenschappelijke kenmerken ontdekt, kunnen we een signature aanmaken voor een hele categorie van malware”, verklaart Van Beylen. Zoals eerder aangehaald blijft signature-detectie de snelste methode, dus het uitbouwden van die database is altijd de moeite.
Zo wordt AI langs de kant van de beveiligingsteams vandaag gebruikt om het web te filteren, malware te detecteren, nieuwe malware te ontdekken en overkoepelende signatures aan te maken. Dergelijk werk werd in de vroege dagen van cybersecurity met de hand gedaan, maar dat is omwille van het enorme volume aan te beschermen toestellen, malware en events geen optie meer vandaag. Met AI proberen de beveiligers een voorsprong te krijgen op criminelen. “Helaas hebben zij vandaag ook ontdekt hoe nuttig AI kan zijn”, zucht Van Beylen.
AI en phishing
Een eerste use-case met potentieel heeft te maken met phishing. De clickrate van een doorsnee phishingcampagne is niet erg groot. Zelfs als een mail op het eerste zicht van een betrouwbare afzender komt, zal je niet zomaar op een generisch benoemde bijlage klikken zonder reden. AI-algoritmes kunnen phishing op schaal beter maken.
Van Beylen: “Beeld je maar eens in dat iemands mailbox gehackt is. Als criminelen die weg gebruiken om de contactenlijst een bijlage te sturen, kan dat werken. Als ze diezelfde bijlage sturen vergezeld van een mail met daarin een begeleidende tekst, wordt de klikkans plots een stuk groter. AI kan vorige mails bijvoorbeeld scannen en aan de hand daarvan een korte tekst opstellen.” Zou jij aan phishing denken als de tekst in de mail je bij naam noemt, verwijst naar een vorige vergadering en de bijlage als ondersteunend materiaal aanprijst?
Het bovenstaande vereist al de nodige toegang tot een account om goed te werken, maar AI kan phishing ook generischer ondersteunen door bijvoorbeeld socialmedia-profielen gekoppeld aan een mailadres te doorzoeken.
Malware vermommen
Nog geavanceerder wordt het wanneer we kijken naar de manier waarop malware vandaag vermomd wordt. Waar beveiligingsbedrijven AI-algoritmes gebruiken om kenmerkende eigenschappen van malware te ontdekken en daar detectie op te baseren, proberen hackers net het omgekeerde te doen.
“Waar de goede kant databases zoals VirusTotal gebruikt om virussen te herkennen en AI wordt ingezet om dergelijke databases aan te vullen, gebruiken hackers de techniek om hun malware te vermommen.” Van Beylen schetst een beeld van tools die malware draaien, kijken wanneer die gedetecteerd wordt en waarom, en dan op basis van machine learning de code aanpassen om detectie te vermijden. “In de nabije toekomst zal er ongetwijfeld een markt ontstaan voor het vermommen van malware, aangeboden als dienst op het dark web.”
Het is dus zeker niet zo dat de toevoeging van AI beveiligingsbedrijven plots de overhand geeft. “Het blijft een kat-en-muisspel, maar dat maakt het net spannend”, aldus Van Beylen.
Gerelatateerd: AI, machine learning en deep learning: wat is het verschil?