Algoritmes en methodieken voor kunstmatige intelligentie (AI) en machine learning worden binnen cybersecurity steeds belangrijker. Wel moet hierbij tussen de diverse belanghebbenden meer worden samengewerkt om het volle potentieel van deze technologieën te kunnen ontsluiten. Bijvoorbeeld door deze in een openbaar AI Framework te plaatsen. Techzine sprak hierover tijdens de One Conference 2019 met Executive Vice President for Strategic Accounts René Bonvanie, bij Palo Alto Networks.
Binnen de cybersecurity-gemeenschap is de stelling nog te vaak dat van de ‘bad guys’ niet kan worden gewonnen. Zo zouden er volgens voormalig Cisco-CEO John Chambers slechts twee soorten bedrijven bestaan: zij die weten dat ze gehackt zijn en zij die dat nog niet weten. Dit is inmiddels een populaire uitspraak binnen de cybersecurity-industrie. Er wordt ook vaak gezegd dat bedrijven zich niet alleen moeten afvragen of zij ooit eens worden gehackt, maar vooral wanneer.
Deze donkere boodschappen waren onlangs nog te horen tijdens de jaarlijkse cybersecurity-conferentie One Conference van het Ministerie van Justitie en Veiligheid/Nationale Cybersecurity Centere (NCSC-NL) in Den Haag. Ook hier werd gewaarschuwd dat het minder dan vijf voor twaalf is en dat als we niet snel handelen de strijd tegen de kwaadwillenden, van beroepscriminelen tot in toenemende mate ‘state actors’, dreigen te verliezen.
Maar gelukkig zijn er ook nog optimisten in deze wereld die geloven dat de strijd tegen de ‘bad guys’ kan worden gewonnen. Vaak komen deze geluiden uit de industrie waar hard wordt gewerkt aan het digitale domein iedere dag weer een beetje veiliger maken.
Nieuwe technologie
De industrie is op dit moment druk bezig met de inzet van de nieuwste technologieën in het cybersecurity-domein, zoals AI en machine learning. Volgens Palo Alto Networks zijn dit de beste technologieën die momenteel tegen cybercriminelen kunnen worden ingezet.
De belangrijkste reden hiervoor is dat met AI en machine learning op een grotere schaal effectiever en vooral preventiever kan worden opgetreden. Dit in plaats van maar lijdzaam afwachten totdat incidenten plaatsvinden en er vervolgens op reageren. Het is dus nog steeds mogelijk om te voorkomen in plaats van alleen maar te genezen.
Bonvanie ziet echter dat op dit vlak momenteel te weinig bereikt wordt. Er zijn nog te veel verschillende leveranciers, tools en alerts en er moet te veel handmatig werk worden verricht om aan de enorme groei van het aantal aanvallen het hoofd te kunnen bieden. En dit is zeker nog niet voldoende. Denk daarbij aan alle fileless attacks, geautomatiseerde aanvallen en aanvallen op de (public) cloudomgevingen die op ons afkomen.
Maak ‘oude’ technologie weer ‘nieuw’
Dit alles maakt dat het huidige security-landschap nog te vaak is gericht op oplossen in plaats van voorkomen. Ook wordt er, vaak uit commercieel oogpunt, nog te weinig samengewerkt. Het moet daarom eigenlijk helemaal anders, vindt Bonvanie. Dit vergt volgens hem een nieuwe gedachtenstap.
In de eerste plaats moet het duidelijk zijn dat alle bedreigingen en alerts tegenwoordig niet meer door mensen op te lossen zijn. Daarvoor zijn ze vaak te complex en het ontbreekt domweg aan genoeg security-experts. Dit betekent dat de problemen rondom cybersecurity eigenlijk op een geautomatiseerde manier moeten worden opgelost. Niet dus 6600 security-specialisten die dag in, dag uit zitten te ploeteren, maar servers die met grootschalige rekenkracht deze problemen aanpakken en in een zo kort mogelijke tijd met oplossingen komen. Dit vanzelfsprekend met de inzet van AI en machine learning.
Palo Alto ziet kunstmatige intelligentie en machine learning als technologieën die al geruime tijd bestaan, zo’n 20 tot 30 jaar. Veel vroegere algoritmes en methodieken worden nog steeds tot op de dag van vandaag gebruikt binnen cybersecurity. Het gaat nu vooral om de manier waarop deze technologieën worden ingezet en wat daar allemaal voor nodig is.
Basisvoorwaarden voor automatisering
Er moeten goede modellen zijn waarmee security-specialisten kunnen gaan werken. Op die manier kunnen bedreigingen geautomatiseerd en op grote schaal voorkomen en opgelost worden. Dit vereist een aantal basisvoorwaarden: de beschikbaarheid van grote hoeveelheden data, het kunnen gebruiken van veel algoritmes en methodieken en, meest belangrijk, veel samenwerking op deze twee gebieden.
Concreet kunnen op de verzamelde data en metadata algoritmes worden losgelaten. Hierdoor moeten er uiteindelijk modellen ontstaan die kunnen voorspellen of bepaalde acties op netwerken of daar aangetroffen software goed is of kwaadaardig is. Deze voorspellingen worden geautomatiseerd, zodat het makkelijker te voorspellen is welke acties eventuele hackers gaan ondernemen of welke defensieve stappen moeten worden gezet om de aanvallen te voorkomen. Door automatisering kan dit op schaal plaatsvinden en kunnen dus uiteindelijk de talloze cyberdreigingen preventiever worden aangepakt.
Samenwerking belangrijk
Om dit op grote schaal te realiseren, is samenwerking onontbeerlijk. Alle stakeholders, de security-industrie, de diverse overheden en hun instellingen en vooral de academische wereld, moeten de handen ineenslaan. Vooral het betrekken van de academische wereld is belangrijk, omdat cybersecurity in de ogen van Bonvanie niet meer vooral van uit een (netwerk)technische blik moet worden benaderd, maar vooral wiskundig. Algoritmes zijn immers eigenlijk wiskundige begrippen.
Bovendien wordt nu aan de universiteiten een nieuwe generatie medewerkers opgeleid, zoals data scientists, voor wie IT en cybersecurity als vanzelfsprekend zijn. Hun denkwereld is al digitaal. Door deze goed op te leiden, ben je in de toekomst verzekerd van voldoende mensen om binnen cybersecurity actief te zijn.
Open AI framework
Idealiter moet deze samenwerking tussen alle stakeholders rondom kunstmatige intelligentie en machine learning leiden tot de oprichting van een Open AI Framework. Binnen dit framework moeten alle stakeholders niet alleen data beschikbaar stellen, maar ook de algoritmes en methodieken. Met methodieken doelt Bonvanie de technologie die is gebruikt om iets te vinden en de technologie om er iets mee te doen.
Dit is een substantiële uitbreiding op alle informatie die al via diverse (openbare) forums wordt gedeeld en het delen van (telemetrie)data. Met deze gedeelde algoritmes en methodieken kunnen dan weer de modellen worden ontwikkeld, verbeterd en gedeeld.
Omgaan met intellectueel eigendom
De Palo Alto-bestuurder beseft dat het voor de diverse stakeholders lastig is om zelf ontwikkeld intellectueel eigendom openbaar beschikbaar te stellen. Zo kunnen anderen er immers ook van profiteren.
Volgens hem gaat het erom dat zij de ontwikkelde algoritmes en methodieken openbaar beschikbaar stellen, maar wat zij daar precies mee willen doen ‘gewoon’ in commerciële producten kunnen stoppen. Niet alleen de ontwikkelaars van deze algoritmes en methodieken, maar ook andere security stakeholders.
Vanwege de juridische redenen rondom patenten en intellectueel eigendom moet er natuurlijk wel verwezen worden naar de oorspronkelijke ontwikkelaar(s). De leveranciers moeten op hun beurt ook weer worden gestimuleerd om zelf meer algoritmes te gaan ontwikkelen en die weer te delen.
Voorbeeld werkwijze
Palo Alto werkt zelf al op deze manier en stelt algoritmes en methodieken openbaar beschikbaar. Met name aan universiteiten, overheden en daaraan gelieerde instanties. Dit zonder hiervoor iets terug te vragen. Hiermee kweekt het bedrijf vertrouwen en dit vertrouwen wordt op den duur beloond doordat deze instanties nieuwe informatie over algoritmes en methodieken aan de security-specialist terugkoppelen. Palo Alto kan vervolgens doorontwikkelen en weer terugkoppelen, maar kan de informatie ook gebruiken om zijn producten verder aan te scherpen. Dit levert weer nieuwe mogelijkheden op, die weer kunnen worden gedeeld.
Onafhankelijke organisatie
Het voorgestelde Open AI Framework moet worden ondergebracht in een onafhankelijke organisatie, vindt Bonvanie. Denk daarbij aan een platform als Mitre att&ck waar data op cybersecurity-gebied wordt gedeeld en wordt getest. Een ander voorbeeld is Europol waar data binnenkomt, maar ook wordt bekeken of dit op een eerlijke manier is gebeurd. Ook moet het commerciële belang ondergeschikt zijn aan de waarde die cybersecurity professionals aan de gedeelde informatie toekennen. Het moet dus een niet-commerciële organisatie zijn, maar die wel op een zeer transparante wijze wordt gesponsord door de industrie en overheden. Verder vindt de Palo Alto-bestuurder het belangrijk dat er sterk met de academische wereld samengewerkt wordt; de plek waar het toekomstig onderzoek moet en gaat plaatsvinden.
Inmiddels wordt over dit framework al flink overlegd met diverse universiteiten, waaronder ook alle technische universiteiten in Nederland. Daarnaast wordt overlegd binnen het samenwerkingsverband de Cyber Threat Alliance en met belangrijke collega-bedrijven van Palo Alto op cybersecurity-gebied, zoals Cisco.
Bezwaren
Er zijn ook vele bezwaren tegen een dergelijk framework. Denk aan de gedachte dat het juist hackers en andere kwaadwillenden hiermee het erg makkelijk wordt gemaakt om nog geavanceerde aanvalsmethoden te ontwikkelen en de gedeelde informatie te misbruiken. Bonvanie geeft hierop als antwoord dat hij er al vanuit gaat dat tegenstanders weten wat hij gaat doen, maar dat juist door samenwerking de ‘good guys’ sterker staan.
Nu ook geen goede samenwerking
Een ander belangrijk argument tegen samenwerking op deze manier is dat de security-industrie op dit moment ook niet goed samenwerkt. De industrie werkt nog te versnipperd, houdt ontwikkelingen op het gebeid van AI en machine learning nog vooral voor zichzelf en staat ook onder druk van maatschappelijke en macro-economische ontwikkelingen. Denk daarbij aan de diverse handelsoorlogen en -in Europa- de Brexit. Hoe meer de security-industrie versnipperd is, hoe meer dit in het voordeel van de tegenstanders is.
Goed antwoord op tegenstanders
De samenwerking die hij met het Open AI Framework voorstelt, is volgens de Palo Alto-bestuurder een goed antwoord op hoe de tegenstanders het doen. Volgens hem wordt daar al flink samengewerkt bij het ontwikkelen van aanvalsmethodieken. Door binnen de industrie preventief en defensief te gaan samenwerken, kan hierop een nog beter antwoord worden gegeven en wordt de weerbaarheid versterkt. Verder stimuleert het delen van de informatie over algoritmes en methodieken innovatie en profiteert uiteindelijk de hele economie hier weer van, zo geeft hij ons aan. Het Open AI Framework kan in veel opzichten dus een win-win-ontwikkeling zijn.
Benieuwd naar de volgende stappen
Met zijn oproep voor een Open AI Framework voor het delen van algoritmes en methodieken die AI en machine learning voor cybersecurity heeft de Palo Alto-bestuurder een interessante knuppel in het hoederhok gegooid. Zeker omdat hij ook zelf tegenover ons aangeeft dat de security-industrie nu echt eens actie moet ondernemen.
Al jaren wordt er gepraat over gezamenlijk optrekken, maar er is op dat gebied nog steeds weinig van de grond gekomen. De industrie is in zijn ogen nog steeds te versnipperd. Cyberdreigingen kunnen nu met kunstmatige intelligentie en de scale en rekenkracht van de public cloud steeds beter worden bestreden. Dit maakt bestrijding makkelijker en het is dus belangrijk dat de samenwerking echt belangrijk wordt.
Het voorgestelde framework kan, mits goed opgetuigd en goed beheerd en met volle steun van alle deelnemers, weer een belangrijke stap betekenen in de strijd tegen cyberdreigingen. Samen staan de stakeholders sterker dan alleen. We zijn dan ook zeer benieuwd naar de volgende stappen en of dit Open AI Framework in de komende tijd daadwerkelijk van de grond komt.