I takt med att artificiell intelligens (AI) sveper över världens företagslandskap, står vi inför både oöverträffade möjligheter och outgrundade risker, särskilt inom cybersäkerhetens kritiska sfär. Petter Glenstrup, Director Sales Engineering på Arctic Wolf Nordics, tar oss med på en genomtänkt resa i denna krönika, där han granskar AI:s dubbla natur och uppmanar oss till kritisk granskning och eftertänksamhet innan vi helt omfamnar denna förföriska teknik.
Företag över hela världen är i full gång med att ta till sig och utnyttja AI i sitt dagliga arbete. Men även om AI kan ge många fördelar bör vi som jobbar med cybersäkerhet fortfarande närma sig det nya verktyget med viss försiktighet.
AI är vår tids allra trendigaste teknik och företagen står i kö för att satsa på det – även inom cybersäkerhet. Nu får man lätt intrycket att vartenda nytt verktyg använder sig av AI. Men även om AI kan ses som ett framsteg är det fortfarande viktigt att betrakta det kritiskt. För det är inte självklart att en produkt som bygger på AI också är bäst.
Bara framtiden kommer att veta vilka konsekvenser – på gott och ont – denna okända jätte kommer att växa fram. Men med proaktiva insatser och kunskap om tre olika typer av AI är det möjligt för IT-säkerhetsföretag att tämja det till synes vilda odjuret och använda dess superkrafter till sin fördel.
Djuplärande neuronnät
Den mest avancerade AI-metoden som finns idag är djupinlärning med neuronnät. AI-modeller för djupinlärning vill efterlikna den mänskliga hjärnan när de skapar intelligens. Sådana modeller tränas med enorma mängder data, samtidigt som modellerna i sig är ganska små. Detta gör dem lätta att använda och implementera i olika miljöer. Djupinlärning används med fördel för generativ AI, där ChatGPT är ett känt exempel.
Inom cybersäkerhet är generativ AI särskilt användbart för att bygga enkla användargränssnitt. Det kan exempelvis göra det möjligt för användaren att ange kommandon med naturligt språk, där gränssnittet omvandlar dessa till instruktioner som är begripliga för säkerhetssystemen. Användaren behöver därför inte ha någon ingående kunskap om de bakomliggande systemen.
På så sätt kan djupinlärning hjälpa säkerhetsteam att bli mycket effektivare, då även ett ”vanlig” IT-specialist kan ta sig an och klara komplexa säkerhetsuppgifter med detta verktyg. Detta öppnar i sin tur för att komma runt det kända problemet med en ständig brist på kompetens inom cybersäkerhet.
Random Forrest
En annan AI-metod är Random Forest som bygger på att klassificera kunskap och information med hjälp av beslutsträd. Random Forrest-modeller betraktas som en effektiv princip för analysarbete, men fungerar inte lika bra som modeller för djupinlärning när de hanterar nya, okända ämnen.
Den här AI-metoden kan snabba upp och förbättra analysarbetet. När den används inom cybersäkerhet kan det exempelvis innebära att data samlas in från en rad olika verktyg. Genom att förbättra analysen av denna data går det att minska antalet säkerhetsvarningar och på så vis undvika fenomenet med ”larmtrötthet” bland användarna, så att det bara är de mest relevanta och farliga hoten som utlöser en varning. Dessutom kan cybersäkerhetsexperter dra nytta av AI för att snabbare undersöka och kartlägga vilka typer av hot som utgör den största risken för en viss kund eller sektor.
K-Nearest Neighbour
K-Nearest Neighbor är en annan AI-metod för att upptäcka skadlig kod eller hotaktivitet där utgångspunkten är att jämföra misstänkta objekt med andra som liknar dessa. AI kan vara mycket användbart i dessa fall, men det gäller samtidigt att vara uppmärksam på om det i verkligheten blir effektivare än en lösning som inte utnyttjar AI.
Om ni till exempel redan vet precis vad ni efter och har kunskap om variablerna kan det vara betydligt enklare att skapa en uppsättning regler för den kända hotaktiviteten. Att bygga en AI-modell som ger liknande resultat kan bli både mer komplicerat och dyrare. Det mest effektiva sättet att identifiera och lösa ett säkerhetsproblem kan mycket väl vara att kombinera AI med andra slags lösningar.
Relevant data för träning
När du väljer ett AI-verktyg är det viktigt att veta hur AI-verktyget har tränats, eftersom kvaliteten på träningsdata är avgörande för modellens effektivitet. I grund och botten kan man hävda att ju mer relevant data som har använts för att träna verktyget, desto bättre presterar modellen. Många cybersäkerhetsföretag behandlar varje vecka biljontals säkerhetshändelser som de använder för att träna sin AI. Detta resulterar i fantastiska AI-verktyg och plattformar, men man kan bara föreställa sig hur kraftfullt och bekvämt det skulle vara om cybersäkerhetsföretagen kombinerade all sin data för att skapa ett AI-verktyg eller en AI-plattform för att uppnå ännu bättre resultat.
ROC-kurvor
Det är inte lätt att mäta resultatet av ett AI-verktyg, men ibland lyckas det. Så kallade ROC-kurvor (receiver operating characteristic curves) kan användas för att bedöma hur effektivt ett verktyg är för att upptäcka falsk positiv identifiering. Om vi till exempel tränar ett verktyg för att upptäcka skadlig programvara, så lär sig AI-modellen genom att jämföra resultaten av verktyget med exempel där det redan är känt om det handlar om skadlig programvara eller inte. Genom att upprepa detta bör modellerna automatiskt prestera bättre, vilket återspeglas i kurvorna. Ju färre falskt positiva träffar, desto mindre arbete blir det för säkerhetsavdelningen.
Ställ de rätta frågorna
Sammantaget kan vi konstatera att ett verktyg som tar hjälp av AI inte nödvändigtvis är bättre än traditionella verktyg. Det handlar ytterst om hur effektivt vi använder AI, något som avgörs av flera faktorer, till exempel vilket sätt som AI-verktyget har tränats, hur mycket data som användes för att träna det, samt av datakvaliteten. När du och ditt företag väljer ett nytt säkerhetsverktyg är det därför viktigt att fråga leverantörerna hur effektivt AI-verktyget är jämfört med traditionella alternativ. Den etablerade och enklare tekniken kan ge liknande resultat för betydligt mindre pengar.
Annons
