TOPNYHED:Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører

Artikel top billede

(Foto: Dan Jensen)

Machine learning kan lukke kompetencekløften inden for cybersikkerhed

Klumme: Hackerne er altid to skridt foran analytikerne, og analytikerne jagter hackernes nye metoder. Machine learning kan både automatisere og udvide detekteringen af trusler.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Mens antallet af cyberangreb fortsætter med at stige, står virksomheder og organisationer over for et fundamentalt problem med at finde kvalificeret arbejdskraft.

For at sætte problemets omfang i perspektiv er der mere end 3,5 millioner ubesatte stillinger inden for cybersikkerhed på globalt plan.

Og ifølge en undersøgelse fra Ingeniørforeningen mangler hver femte danske private virksomhed og hver fjerde danske offentlige myndighed kompetencer inden for cybersikkerhed.

Problemet er så omfattende, at det ikke kan løses lige foreløbig.

Derfor er danske virksomheder nødt til at finde en måde at leve med problemstillingen på og etablere et cyberforsvar, som alligevel er godt nok til at imødegå den stigende trussel.

Der er kort sagt behov for at effektivisere cyberforsvaret og minimere behovet for menneskelige ressourcer, og machine learning er svaret.

Gentænk cyberforsvaret

Virksomheders sikkerhedsanalytikere bruger en stor del af deres tid på at programmere værktøjer, som kan identificere kendte indikatorer på kompromittering i et system eller netværk.

Udfordringen er, at de cyberkriminelle hele tiden finder nye sårbarheder og nye måder at kompromittere virksomheder på, hvilket betyder, at listen af indikatorer hele tiden vokser.

Hackerne er altid to skridt foran analytikerne, og analytikerne jagter hackernes nye metoder.

Machine learning kan både automatisere og udvide detekteringen af trusler.

Ved at modellere brugere og tekniske enheders adfærd i it-landskabet kan man ved hjælpe af machine learning identificere uregelmæssigheder enten op til eller under et angreb.

Det er ikke alle organisationer, afdelinger eller brugere, der opfører sig på samme måde. En unormal adfærd i én organisation er ikke nødvendigvis en unormal adfærd i en anden.

Machine learning giver sikkerhedshændelser kontekst, hvilket kan forbedre analytikernes håndtering af dem.

Et eksempel på, hvordan machine learning kan opdage adfærdsmæssige uregelmæssigheder, er brugerkonti.

Machine learning analyserer adfærdsmønstre og kan identificere, hvis en bestemt bruger logger på eller arbejder på et atypisk tidspunkt eller fra en geografisk placering, vedkommende ikke plejer at arbejde fra.

Det er ikke noget, en analytiker har programmeret eller brugt tid på, men noget systemet udleder gennem tidligere adfærd.

Forstærk sikkerhedsanalytikeren

Machine learning-systemer er hverken lige så generelle eller fleksible som mennesker, men de kan trænes til at være mere nøjagtige end mennesker til bestemte opgaver.

De kan også analysere komplette datasæt i modsætning til sikkerhedsanalytikerne, der ofte må nøjes med at lave prøveudtagninger.

Og endelig kan de analysere komplekse data, som mennesker ikke er i stand til på grund af det enorme antal kombinationer.

Machine learning kan forstærke sikkerhedsanalytikerne ved at udføre nogle af deres sædvanlige, tidskrævende opgaver.

På den måde kan analytikere bruge deres tid på situationer og sikkerhedshændelser, hvor machine learning ikke kan være behjælpelig – endnu i hvert fald.

For eksempel kan analytikerne arbejde på en generel forbedring af cybersikkerheden, gennemgå arkitektur og infrastruktur samt efterforske trusler.

Derudover kan analytikeren få værdifuld viden om sikkerhedshændelser, hvilket gør dem i stand til at prioritere dem på et oplyst grundlag.

Machine learning som en del af cyberforsvaret i praksis

Der er mange eksempler på, at machine learning kan være det afgørende værktøj til at opdage en sikkerhedshændelse i god nok tid til at reagere.

Banken, der finder ud af, at en medarbejder planlægger at sælge fortrolige informationer, fordi machine learning registrerer, at medarbejderen arbejder på skæve tidspunkter og tilgår langt større mængder fortrolige data end normalt.

Virksomheden, der detekterer en cyberkriminels forsøg på at kompromittere en administratorkonto, fordi machine learning opdager flere forfejlede loginforsøg på konto og server end normalt.

Medicinalvirksomheden, der får bekræftet mistanken om, at en medarbejder eksfiltrerer følsomme informationer, fordi machine learning afdækker, at medarbejderen downloader data i stor stil og sender det til usædvanlige modtagere.

Man kan få sikkerhedsløsninger baseret på machine learning til både små og store virksomheder i forskellige prisklasser.

I den ene ende af skalaen er letvægtsløsningerne, som passer godt til de mindre virksomheder, fordi de kræver et minimum af vedligehold.

I den anden ende af skalaen kan man få omstændige løsninger, som kræver en del integrationsarbejde at få op at køre, hvilket fordrer en moden sikkerhedsorganisation.

Sådan kommer du i gang

Hvis man overvejer at anvende machine learning som en del af sit cyberforsvar, er det vigtigt at være opmærksom på nogle forskellige faktorer både internt og eksternt.

Det er først og fremmest vigtigt at afdække de specifikke behov internt i virksomheden.

Her er det essentielt at kigge på virksomhedens størrelse, it- og sikkerhedsorganisationens modenhed samt it-landskabet.

Og man skal spørge sig selv: Har vi nok data? Hvordan er datakvaliteten? Har vi den rette data? Datasættet er nemlig af afgørende betydning – en løsning baseret på machine learning er kun så god som den data, man fodrer den med.

Når man har overblik over behovet, er det essentielt at kigge på de forskellige løsninger på markedet og deres omkostninger, vedligeholdelsesniveau samt kvalitet i forhold til, hvad man vil have ud af det:

Er den on-premise eller cloud-baseret? Holder udbyderen øje med, at løsningen fungerer, eller skal man selv gøre det? Hvad er support-niveauet? Hvor store datamængder understøtter udbyderen? Analyserer løsningen kun brugere, eller kan den også analysere enheder?

Det er særligt vigtigt at holde øje med, om løsningen reelt er baseret på machine learning eller, om det er marketing-lingo for en regelbaseret løsning.

Ægte machine learning har en baseline, som forandrer sig over tid.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.