De afgelopen jaren is de wereldwijde digitale economie snel gegroeid, deels door de veelzijdige en complexe impact van de COVID-19-pandemie op onze samenleving. Naarmate traditionele industrieën een digitale transformatie ondergaan en veel kritieke diensten afhankelijk worden van online infrastructuur, worden de potentiële kosten van cybercriminaliteit steeds hoger. Wat betreft financiële verliezen voorspellen recente rapporten van Cybersecurity Ventures (een onderzoeksbureau dat analyses geeft over de wereldwijde cybereconomie) dat de wereldwijde kosten van cybercriminaliteit kunnen oplopen tot 10,5 biljoen dollar per jaar in 2025, waardoor het een belangrijke uitdaging vormt voor individuen, organisaties en overheden.
Nu het volume, de complexiteit en de kosten van cyberaanvallen blijven toenemen, wenden organisaties zich tot kunstmatige intelligentie (AI) om deze dreiging te bestrijden. Veel experts verwachten dat AI, en machine learning in het bijzonder, een cruciale technologie wordt om cyberbedreigingen in realtime te detecteren en erop te reageren en zo de aanvallers voor te blijven. AI-algoritmes kunnen systemen continu bewaken en ongebruikelijke patronen herkennen, zoals ongeautoriseerde toegang tot gegevens, wat kan duiden op een aanval.
Doordat AI enorme hoeveelheden gegevens in realtime kan verwerken, kan het beveiligingspersoneel snel worden gewaarschuwd over mogelijke cyberincidenten, zodat ze snel actie kunnen ondernemen om verder gegevensverlies te voorkomen. Bovendien kan AI worden gebruikt om de reactieprocedures bij incidenten te automatiseren, waardoor de tijd tussen het detecteren van een inbreuk en het oplossen ervan wordt geminimaliseerd. Met de toenemende rol van AI en machine learning in defensieve cyberbeveiliging, wordt het belang van het bestuderen, verkennen en echt begrijpen van opkomende technologieën steeds meer algemeen aanvaard. Zowel de industrie als onderzoeksinstellingen investeren niet enkel in het volledig begrijpen van potentiële voordelen, maar ook in het begrijpen van onbedoelde gevolgen van AI-technieken in cyberbeveiliging.
Eén zo’n krachtige technologie is deep learning – een sterke subset van machine learning gebaseerd op diepe neurale netwerken, complexe structuren van onderling verbonden knooppunten die in staat zijn om patronen in gegevens te herkennen en voorspellingen te genereren. Deep learning trekt veel aandacht op verschillende gebieden, vanwege de flexibiliteit en het vermogen om automatisch complexe patronen te filteren uit onbewerkte gegevens. Diepe neurale netwerken hebben zeer succesvolle resultaten voortgebracht op belangrijke gebieden zoals computervisie, spraakherkenning en natuurlijke taalverwerking, waarbij een prestatieniveau is bereikt waarvan eerder werd aangenomen dat alleen mensen dit konden bereiken. Een uitstekend voorbeeld is de fascinerende ontwikkeling van ChatGPT, dat tekst van hoge kwaliteit verwerkt, voorspelt en genereert met behulp van deep learning.
In navolging van deze trends is deep learning ook geïdentificeerd als een veelbelovende technologie in cyberbeveiliging vanwege het potentieel om de detectie van kwaadaardige activiteiten en anomalieën te verbeteren, bekende aanvallen te analyseren en nieuwe te ontdekken, en door de vele andere mogelijke toepassingen. Hoewel machine learning al werd gezien als een onmisbaar hulpmiddel in cyberbeveiliging voor intelligente automatisering, waardoor er veel vooruitgang kon worden geboekt in een groot aantal kerntoepassingen voor cyberbeveiliging, stellen de moderne complexiteit van cybergebeurtenissen en de overweldigende hoeveelheid gegevens die ze produceren voortdurend hoge eisen om nieuwe en betere technologieën te verbeteren en integreren in cyberverdediging. Voor spamdetectie, verkeersidentificatie, ontdekking van kwetsbaarheden, malwaredetectie, software-exploitsdetectie, blokkeren van phishing-websites, detectie van financiële fraude en andere, is er voortdurend behoefte aan geavanceerde automatiseringsoplossingen.
Het is belangrijk om op te merken dat de heilige graal van cyberdefensie niet alleen de automatisering van routinematige gegevensverwerking is, maar eerder de automatisering van complexe besluitvorming die normaal gesproken alleen door een menselijke specialist kan worden uitgevoerd. Betrouwbare besluitvorming stelt machine learning in elk cruciaal gebied voor talloze uitdagingen. Dat komt vooral doordat menselijke analisten wanneer ze belangrijke beslissingen nemen, vertrouwen op hun aangeboren vermogen om gegevens te interpreteren, kennis te extraheren op basis van eerdere ervaringen, die kennis toe te passen op onverwachte situaties, betrouwbare voorspellingen te doen en zich snel aan te passen aan veranderingen. Het volledig automatiseren van deze activiteiten lijkt misschien nog ver weg, maar om de omvang en evolutie van aanvallen bij te houden lijkt zo veel mogelijk AI-hulp inschakelen de enige optie. Toen deep learning dus zijn intrede deed—aangedreven door een ongeziene computationele kracht, nieuwe algoritmen en architecturen—en superieure prestaties liet zien bij het oplossen van menselijke taken in beeld- en spraakdomeinen, werd het duidelijk dat de potentiële toepassingen verder reikten dan deze domeinen. Daarom was de mogelijkheid om het succes ervan over te dragen op cyberbeveiliging te belangrijk om te negeren, wat leidde tot een krachtige onderzoekslijn.
Om te begrijpen waarom de wetenschappelijke gemeenschap veel potentieel zag in deep learning voor het verbeteren van oplossingen voor cyberbeveiliging, moeten we het belangrijkste verschil tussen deep learning en andere benaderingen van machine learning benadrukken. De unieke eigenschap van deep learning is het inherente vermogen om automatisch representaties te leren van invoergegevens, die beschrijvende wiskundige kenmerken van gegevens zijn, ook bekend als kenmerken. Met andere woorden: deep learning-modellen hebben niet noodzakelijkerwijs een mens nodig om handmatig zinvolle kenmerken te ontwikkelen uit invoergegevens – ze doen dit automatisch wanneer ze leren van onbewerkte gegevensstromen. Diepe neurale netwerken kunnen op een incrementele manier high-level kenmerken leren en zijn vaak beter in het verwerken van ongestructureerde invoergegevens. Naarmate de hoeveelheid realistische gegevens die beschikbaar is voor een diep neuraal netwerk groeit, verbetert de kwaliteit van de representatie die kan worden bestudeerd aan de hand van automatisch geëxtraheerde kenmerken, wat op zijn beurt leidt tot hogere prestaties van het model. Tegelijkertijd wordt cyberbeveiliging gekenmerkt door een overvloed aan heterogene ruwe gegevens van verschillende modaliteiten die sneller worden gegenereerd dan ze kunnen worden geanalyseerd. Dat is de belangrijkste reden waarom representation learning uit ruwe gegevens (of geautomatiseerde kenmerkextractie) veelbelovend is voor het verbeteren van beveiligingsoplossingen, terwijl de noodzaak voor menselijke betrokkenheid afneemt.
Een van de kritieke uitdagingen in AI-gebaseerde cyberbeveiliging die afhangt van menselijke betrokkenheid, is de distributieverschuiving. Distributieverschuiving verwijst naar de situatie waarin de gegevensverdeling in de testomgeving van een model verschilt van de gegevensverdeling tijdens de training. In cyberbeveiligingscontexten is dit een veelvoorkomend fenomeen vanwege de dynamische aard van de systemen die bescherming nodig hebben enerzijds en het voortdurend veranderende dreigingslandschap anderzijds. Software-updates, veranderingen in bedrijfsprocessen, veranderingen in netwerktopologieën of aanvallers die nieuwe technieken gebruiken, kunnen allemaal een distributieverschuiving veroorzaken. Daarom kunnen de gebeurtenissen op beveiligingsgebied tijdens de implementatie aanzienlijk verschillen van de gebeurtenissen die tijdens het ontwerp en de training van een beveiligingsoplossing zijn waargenomen. Als gevolg daarvan kan de effectiviteit van modellen voor machine learning die zijn getraind op eerdere gegevens afnemen, wat fouten veroorzaakt en de modellen kwetsbaarder maakt voor aanvallen. Mensen die werken in cyberbeveiliging moeten zich bewust zijn van deze risico’s en distributieverschuivingen op verschillende manieren aanpakken, door bijvoorbeeld voortdurende monitoring en het aanpassen van de gebruikte machine learning modellen.
Als een vorm van representation learning heeft deep learning een groot potentieel om op een effectieve, geautomatiseerde manier om te gaan met distributieverschuivingen in cyberbeveiliging. Door automatisch kenmerken te leren die robuuster zijn voor distributieverschuivingen, kunnen diepe neurale netwerken beter veralgemenen naar nieuwe gegevens en voorbeelden detecteren die buiten de distributie vallen. Dit zou ervoor zorgen dat een op deep learning gebaseerde beveiligingsoplossing relevant en effectief blijft bij het detecteren van nieuwe bedreigingen. De robuustheid van deep learning voor een distributieverschuiving zal variëren afhankelijk van het toepassingsscenario en het type invoergegevens. Er is dus meer toegepast onderzoek nodig om te bepalen waar deep learning zijn volledige potentieel kan benutten bij het automatisch aanpassen van beveiligingsoplossingen.
Vandaag zijn we, na de belofte van deep learning, getuige van de systematische verspreiding ervan in cyberbeveiliging: slechts enkele subdomeinen blijven onaangetast door deze transformatie. En toch is de onderzoekreis nog lang niet voltooid en onthult die zowel antwoorden als nieuwe vragen. Een integratie van deze aard op een dergelijke schaal vereist fundamenteel onderzoek en empirische exploratie van diepe neurale netwerken, wat een uitdagend doel is.
Deep learning is in staat om vooruitgang te boeken en unieke inzichten op te leveren in cyberbeveiligingstoepassingen.
AI is misschien niet altijd de optimale oplossing. In dat geval kan het combineren van verschillende benaderingen tot betere resultaten leiden. Desondanks verlegt lopend onderzoek op dit gebied voortdurend de grenzen van wat deep learning kan bereiken en het zou wel eens een zeer invloedrijke technologie kunnen worden in de beveiliging van onze digitale wereld. Te oordelen naar de vooruitgang die tot nu toe is geboekt, is deep learning in staat om te evolueren en unieke inzichten te bieden in cyberbeveiligingstoepassingen, waardoor we deze krachtige technieken beter gaan begrijpen en beheersen en tegelijkertijd dichter bij robuuste, toekomstbestendige verdedigingsoplossingen komen.
