De zeldzame vorm van machine learning die hackers kan herkennen die al hebben ingebroken

Afbeelding van de interface van het Darktrace-computerplatform.

Afbeelding van de interface van het Darktrace-computerplatform. Darktrace





In 2013 merkte een groep Britse inlichtingenagenten iets vreemds op. Terwijl de meeste pogingen om de digitale infrastructuur te beveiligen waren gericht op het voorkomen dat slechteriken binnenkwamen, waren er maar weinig die zich op het omgekeerde richtten: voorkomen dat ze informatie lekten. Op basis van dat idee richtte de groep een nieuw cyberbeveiligingsbedrijf op, Darktrace genaamd.

Het bedrijf werkte samen met wiskundigen van de Universiteit van Cambridge om een ​​tool te ontwikkelen die machine learning zou gebruiken om interne inbreuken op te vangen. In plaats van de algoritmen te trainen op historische voorbeelden van aanvallen, hadden ze echter een manier nodig waarop het systeem nieuwe gevallen van afwijkend gedrag kon herkennen. Ze wendden zich tot unsupervised learning, een techniek die gebaseerd is op een zeldzaam type machine learning-algoritme waarvoor mensen niet hoeven te specificeren waarnaar ze moeten zoeken.

Afbeelding van de interface van het Darktrace-computerplatform.

Darktrace heeft een geïnfecteerd apparaat ontdekt dat afwijkend gedrag vertoont. Darktrace



'Het lijkt heel erg op het eigen immuunsysteem van het menselijk lichaam', zegt co-CEO Nicole Eagan van het bedrijf. 'Hoe complex het ook is, het heeft dit aangeboren gevoel van wat zelf is en niet zelf. En als het iets vindt dat er niet thuishoort - dat is niet van zichzelf - reageert het extreem nauwkeurig en snel.'

De overgrote meerderheid van machine learning-toepassingen is afhankelijk van begeleid leren. Dit houdt in dat een machine enorme hoeveelheden zorgvuldig gelabelde gegevens wordt ingevoerd om deze te trainen om een ​​nauw gedefinieerd patroon te herkennen. Stel dat u wilt dat uw machine golden retrievers herkent. Je voedt het honderden of duizenden afbeeldingen van golden retrievers en van dingen die dat niet zijn, terwijl je het ondertussen expliciet vertelt welke welke zijn. Uiteindelijk krijg je een behoorlijk behoorlijke golden-retriever-spotting-machine.

In cybersecurity werkt begeleid leren redelijk goed. Je traint een machine op de verschillende soorten bedreigingen waarmee je systeem eerder is geconfronteerd, en het jaagt ze meedogenloos achterna.



Maar er zijn twee grote problemen. Ten eerste werkt het alleen met bekende bedreigingen; onbekende dreigingen sluipen nog steeds onder de radar binnen. Aan de andere kant werken algoritmen voor gesuperviseerd leren het beste met uitgebalanceerde datasets, met andere woorden, met een gelijk aantal voorbeelden van wat het zoekt en wat het kan negeren. Cyberbeveiligingsgegevens zijn zeer onevenwichtig: er zijn maar heel weinig voorbeelden van bedreigend gedrag begraven in een overweldigende hoeveelheid normaal gedrag.

Afbeelding van de interface van het Darktrace-computerplatform.

Een visualisatie van alle verbindingen binnen een bepaald subnetwerk. Darktrace

Gelukkig, waar begeleid leren hapert, blinkt onbewaakt leren uit. De laatste kan naar enorme hoeveelheden niet-gelabelde gegevens kijken en de stukjes vinden die niet het typische patroon volgen. Als gevolg hiervan kan het bedreigingen aan het licht brengen die een systeem nog nooit eerder heeft gezien en heeft het weinig afwijkende datapunten nodig om dit te doen.



Wanneer Darktrace zijn software inzet, plaatst het fysieke en digitale sensoren rond het netwerk van de klant om zijn activiteit in kaart te brengen. Die onbewerkte gegevens worden doorgesluisd naar meer dan 60 verschillende algoritmen voor onbewaakt leren die met elkaar concurreren om afwijkend gedrag te vinden.

EEN ONBEHEERDE RUIMTE

  • Verschillende andere bedrijven zijn ook geconvergeerd in het gebruik van leren zonder toezicht om digitale beveiligingssystemen te verbeteren.

  • Vormbeveiliging

    Het werd in 2011 opgericht door voormalige defensie-experts van het Pentagon en richt zich op het voorkomen van nepaccounts of fraude bij kredietaanvragen, naast andere snode activiteiten. Shape Security combineert de complementaire sterke punten van zowel gesuperviseerde als niet-gesuperviseerde technieken.



  • DataVisor

    Het is in 2013 opgericht door Microsoft-alums en werkt samen met banken, sociale media en e-commercebedrijven om transactiefraude, witwassen van geld en ander grootschalig misbruik te bestrijden. DataVisor zegt dat het voornamelijk technieken zonder toezicht gebruikt.

Die algoritmen spugen hun output vervolgens in weer een ander hoofdalgoritme dat verschillende statistische methoden gebruikt om te bepalen naar welke van de 60 moet worden geluisterd en welke van hen moeten worden genegeerd. Al die complexiteit is verpakt in een uiteindelijke visualisatie waarmee menselijke operators snel mogelijke inbreuken kunnen zien en erop kunnen reageren. Terwijl de mensen uitzoeken wat ze vervolgens moeten doen, werkt het systeem om de inbreuk in quarantaine te plaatsen totdat deze is opgelost, bijvoorbeeld door alle externe communicatie van het geïnfecteerde apparaat af te sluiten.

Unsupervised learning is echter geen wondermiddel. Naarmate aanvallers steeds geavanceerder worden, worden ze beter in het voor de gek houden van machines, welk type machine learning ze ook gebruiken. 'Er is een kat-en-muisspel waarbij aanvallers kunnen proberen hun gedrag te veranderen', zegt Dawn Song, expert op het gebied van cyberbeveiliging en machine learning aan de University of California, Berkeley.

Als reactie hierop heeft de cyberbeveiligingsgemeenschap zich tot proactieve benaderingen gewend: 'betere beveiligingsarchitecturen en -principes zodat het systeem door constructie veiliger is', zegt ze. Maar er is nog een lange weg om alle inbreuken en frauduleuze praktijken volledig uit te bannen. Per slot van rekening, voegt ze eraan toe, 'is het hele systeem zo veilig als de zwakste schakel.'

zich verstoppen