Hva ville du spurt om dersom du hadde all verdens svar tilgjengelig?
Hver eneste dag hører jeg IT-sikkerhetskollegaer snakke om mangel på sikkerhetskompetanse, mangel på ressurser og mangel på oppmerksomhet hos ledelsen. Det er litt som å høre regjeringen prate om manglende digitalisering i offentlig sektor. Slutt å prate om problemene, og gjør noe med det da! :)
Kjenner du deg igjen?
Dersom du gjør det tror jeg du er like glad som meg for at åtte universiteter samarbeider om å trene opp en kunstig intelligens-medarbeider som skal bekjempe overnevnte utfordring. Dette skjer gjennom et selskaps forskningsprogram, som foregår over et år.
Forvirret? Tenk på det som artificial intelligence utviklet gjennom maskinlæring. Det vil si at det er en maskin som kan lære seg akkurat det samme som deg og meg.
Tilbake til forskningsprogrammet:
Det gikk fra spennende til kjempekult da jeg fikk vite at den kunstige medarbeideren allerede var CISSP-sertifisert, og at IT-ingeniører hadde lært den «sikkerhetsspråket» ved å laste opp flere tusen gigabyte med IT-sikkerhetsdata fra en kunnskapsbase, og manuelt satt ting i sammenheng. Det som imponerte meg mest var planen om å lære den IT-sikkerhet basert på 20 år med forskning, samt en plan for å kontinuerlig mate maskinen med ferske data. Med tanke på at dette kommer som en ferdig tjeneste i Norge i løpet av året, ønsker jeg å skrive litt om det.
Menneskelig tolkning og forståelse
Grunnlaget for maskinens kunnskapsdatabase er innsamlet sikkerhetsinformasjon, som blant annet trussel-dokumenter, sikkerhetsdokumentasjon fra hacking og annen sårbarhetsinformasjon. Med grunnlaget på plass kan den kunstige medarbeideren lære om de forskjellige sikkerhetsområdene (trusler, aktører, indikatorer, kampanjer) og relasjonene mellom dem. Læringen foregår ved at sikkerhetsingeniører tar et tilfeldig utvalg av sider fra kunnskapsbasen, og manuelt merker enhetene og relasjonene mellom dem.
Når kompetansen er sortert på denne måten, finjusterer den kunstige medarbeideren forståelsen gjennom maskinlæring, slik at den automatisk kan markere tusenvis av lengre dokumenter og etterligne menneskelig forståelse. Den fortsetter å lære gjennom interaksjoner som jevnlig gjennomgås av eksperter og deretter fôres inn i systemet for at sikkerhetsinformasjonen tolkes bedre.
Kan maskinen erstatte et menneske?
Per i dag så er svaret nei, men den kunstige medarbeideren er ikke ment til å erstatte et menneske heller. Målet med denne typen teknologi er å gi menneskene mulighet til å jobbe mer med de ”morsomme” tingene, da maskinen analyserer og finner løsning på ulike problemstillinger man møter på.
Eksempelvis å analysere sikkerhetshendelser slik at vi får vite nøyaktig hva som har skjedd, slik at omfanget reduseres og hindre at det skjer igjen:
IT-avdelingen får en visuell presentasjon over et brudd og hvordan det beveget seg gjennom nettverket: hva ble lastet ned og hvor ble data sendt videre. Informasjonen blir presentert på en enkel måte, slik at til og med jeg (blåruss fra BI) kan forstå hva som har skjedd, og forklare viktigheten av hendelsen. Ved å trykke på en knapp får du en detaljert rapport, som kan vises til ledelsen.
Hvordan holder den kunstige medarbeideren seg oppdatert?
En ting er informasjon som allerede er publisert og offentliggjort, men maskinen må holde seg oppdatert for å finne beste løsning på ulike problemstillinger. Gjennom forskningsprogrammet skjer oppdateringen automatisk. Slik vil alltid den kunstige medarbeideren ha den nyeste informasjonen tilgjengelig, og tilpasse seg stadig ny sikkerhetskunnskap. Kult, ikke sant?
Viktigheten av gode data
Dere har sikkert hørt uttrykket "shit in, shit out", det gjelder her også. For at den kunstige medarbeideren skal gi verdi til din virksomhet må du fôre den med data av god kvalitet. Gode data i denne sammenhengen betyr et sett av logglinjer som utgjør en sikkerhetshendelse, eksempelvis et brudd på IT-sikkerheten i virksomheten.
For at den kunstige medarbeideren skal få gode data, trenger du et SIEM-system som sorterer ut den viktige informasjonen. Et SIEM-system overvåker all aktivitet i IT-infrastrukturen, og fungerer som en innbruddsalarm for virksomhetens informasjonssystemer. SIEM-tjenester har vært i Norge lenge, og aktører som tilbyr dette har forhindret flere skandaleoppslag i mediene. Med tanke på den nye personvernforordningen fra EU (trer i kraft i 2018) håper jeg at de fleste virksomheter investerer i denne typen sikkerhetsovervåkning. Vi vil da kunne fôre vår supersmarte, kunstige medarbeider med god informasjon, og dra nytte av det i lang tid fremover.
Neste gang du hører om mangel på sikkerhetskompetanse, mangel på ressurser, mangel på oppmerksomhet hos ledelsen, eller lignende, nevn Watson for Cyber Security. Det sparker alltid i gang en morsom samtale :)
Yours truly,
Robby James Peralta
Cheerleader
