Idag får alla leverantörer av IT-säkerhet återkommande frågor om artificiell intelligens (AI) och maskininlärning. De som inte har några svar, därför att de inte arbetar med AI, antas med rätta inte hänga med i teknikutvecklingen.
För artificiell intelligens har idag blivit en allmänt använd term för en rad olika metoder och tekniker. Inom IT-säkerhet finns det grovt sett tre användningsområden för begreppet AI. Företag måste förstå dessa för att förstå sina behov och vad de kan förvänta sig att få ut av det alternativ de väljer.
Analyser av Big Data
Den första tekniken som beskrivs som AI finns i de verktyg som används för att analysera Big Data. Här sker en statistisk analys av trafikdata – och det kan handla om trafik från webbplatser, e-post eller annan nätverksdata – för att hitta avvikelser från det normala som kan vara tecken på ett säkerhetshot. Denna metod använder en rad olika informationsdelar ur all data, till exempel var trafiken kommer från, vilken väg den tog och dess ämne, för att förutsäga om det finns risk för att trafiken kommer att utgöra ett hot.
Den här tekniken är egentligen ganska enkel och den tenderar att flagga mycket som hot, som sedan visar sig inte vara så farligt. Det klassificerar alltså allt som oftast helt legitim trafik som skadlig. Vilket sedan leder till att någon på IT-avdelningen måste göra en manuell bedömning av det eventuella hotet. Detta kan inte kallas för ett fullblodigt AI, eftersom det i slutänden förlitar sig på människors beslut.
Övervakad maskininlärning
En sannare form av AI är maskininlärning. Denna fungerar genom att en algoritm kategoriserar data i olika grupper. Övervakad maskininlärning är när algoritmen tränas, till exempel genom att den matas med bilder av katter och hundar så att den lär sig att känna igen dessa i framtiden. Efter att ha tränat på tillräckligt med data kan maskininlärningsalgoritmer lära sig att skilja mellan hot och legitim trafik.
Övervakad maskininlärning är som Big Data-analyser på steroider. Dagens hot består ofta av hundratals olika delar och ju bättre det går att hitta alla delar och sambanden mellan dem desto färre blir intrången som faktiskt tränger igenom skydden. En stor fördel med denna typ av AI är att den kan analysera all denna stora mängd information och därefter fatta korrekta beslut, mycket snabbare än vad människor klarar.
För att kunna använda maskininlärning är det dock avgörande att besluten inte blir fel. Först då kan automatiseringen gå hela vägen. Rädslan för felaktiga beslut gör att en människa i många fall måste fatta det slutliga beslutet – och därmed saktas processen ner.
Oövervakad maskininlärning
En ännu renare form av AI är den oövervakade maskininlärningen. Vilket innebär att en algoritm analyserar data och hittar mönster, utan att tränas. Exempelvis kommer den genom att undersöka bilder online lära sig att vissa av dem är kor eller zebror. Men detta kan vara tidskrävande och en oövervakad maskininlärningsalgoritm kan spendera år med att undersöka säkerhetsdata innan den kommer fram till en värdefull insikt. Fast samtidigt kan det då handla om något verkligt omvälvande, till exempel att den ser att vissa kodrader har med virus eller attacker att göra.
Rätt blandning av olika AI
Det kanske är bättre att tänka på de olika typerna av AI som en blandning av olika ingredienser. Alla kan blandas för att bli en mer aptitlig rätt än vad de är var och en för sig.
Att analysera Big Data är att använda bara ett par ingredienser för att kunna hitta hoten. Det är enkelt, men kanske inte så avancerat. Övervakad maskininlärning använder sig av fler ingredienser och kan därför bli en mer komplicerad anrättning – men kanske också mer välsmakande. Oövervakad maskininlärning använder inte recept över huvud taget – och ingredienserna är inte alltid de väntade!
Det här gör att AI kan vara så många olika saker. När någon säger att de har en bra säkerhetslösning som drivs av AI så är det en bra idé att fråga sig vad de menar med AI. För ett enskilt företag är det inte alls säkert att det handlar om en typ av lösning som passar affärsbehoven. För att avgöra sådant behöver företagen ta hänsyn till sådant som vilken mängd data som produceras i organisationen, hur känslig och värdefull den är och hur utsatt för hot den är.
Många företag kan komma fram till att det är det enkla som är bäst. Eller så behövs det allra mest avancerade för att klara utmaningen. AI kan, rätt använd, verkligen hjälpa en verksamhet att nå helt nya höjder av säkerhet.
Jan Lundberg, teknisk chef för Norden på Palo Alto Networks