Artikel top billede

(Foto: leolintang / leolintang)

Alt for meget hype: Derfor må du under ingen omstændigheder satse på machine learning som eneste sikkerhedsbarriere

Klumme: Hypen omkring machine learning har skævvredet sikkerhedsdebatten, og jeg møder desværre hele tiden nye virksomheder, som er klar til at gamble datasikkerheden i håbet om, at machine learning er et nyt, universelt quickfix. Det er det ikke.

De intelligente, selvlærende systemer er overalt omkring os. Internet of Things og big data er blevet mainstream buzzwords.

Det er fascinerende, ja.

Men kunstig intelligens har eksisteret siden 1950'erne, og i it-sikkerhedssammenhæng er det bestemt heller ikke en nyhed.

Langt de fleste etablerede it-sikkerhedsproducenter bruger nemlig allerede machine learning-algoritmer i deres produkter og har gjort det længe.

Det er ganske enkelt ren hype og ny vin på gamle flasker at kalde en velkendt metode som machine learning for next-gen anno 2017.

Myten om en silver bullet

Ligesom i medicinalbranchen søger vi i it-sikkerhedsbranchen også efter den berygtede silver bullet - den perfekte teknologi, som altid rammer sit mål uden at ødelægge noget, den ikke skal.

Og skal man tro den nuværende hype i branchen, er denne silver bullet allerede fundet i form af endpoint-beskyttelse baseret 100 procent på machine learning.

Påstanden er, man kan opnå den højest mulige datasikkerhed, hvis man kun har ét enkelt lag af sikkerhed i form af endpoint-sikkerhed, som tilmed er helt og aldeles baseret på machine learning-algoritmer.

Lyder det for godt til at være sandt, at en sådan endpoint-løsning skulle være svaret på alle sikkerhedsproblemer?

Ser man på de seneste uafhængige analyser af netop endpoint-sikkerhedsprodukter fra en bred vifte af leverandører, er der intet, der tyder på, at der er hold i påstanden om superalgoritmernes evner.

Eksempelvis siger analysevirksomheden Gartner i sin seneste magic quadrant-rapport (februar 2016) om algoritme-baseret endpoint protection baseret på machine learning, "at historien tydeligt har vist, at der ikke findes én enkelt teknologi, som med succes kan udrydde alle former for malware-angreb. Virksomheder og leverandører er nødt til at benytte en fleksibel og strategisk tilgang til malware-beskyttelse."

Effektiv datasikkerhed er med andre ord baseret på mange forskellige metoder og flere lag af sikkerhed. Ligesom det har været i mange år.

Trusler er i evig forandring

Gartners konklusion om, at et effektivt værn skal have mange facetter, er heller ikke overraskende, når man ser på udviklingen i trusselbilledet.

Malware er en forskelligartet størrelse, som er i evig forandring, fordi de cyberkriminelle konstant ændrer deres metoder og angriber fra nye vinkler.

Trusler bliver ikke længere bare spammet ud med spredehagl som i de gamle virusdage.

Hackerne har ændret strategi og forretningsmodel. Moderne trusler bliver i højere grad målrettet bestemte virksomheder, organisationer og målgrupper og skræddersyet til at udnytte bestemte svagheder i den enkelte sikkerhedsteknologi.

Derfor er det nødvendigt at opbygge beskyttelsen lag for lag, nøjagtigt som man gør i det i for eksempel en bil, hvor man har blandt andet har seler, sikkerhedsglas, ABS-bremser, traction control og airbags, som spiller sammen om at forebygge og begrænse en ulykke.

Machine learning-algoritmer er for eksempel effektive, når det gælder om at afsløre trusler, som er skjult i exe-filer.

Til gengæld kommer machine learning til kort, når det eksempelvis gælder om at spotte filløse angreb.

Det kan for eksempel være i form at et makro-enablet Word-dokument med et powershell-script, som kalder en CNC-server, når offeret åbner dokumentet.

Men her træder andre teknologier så ind og assisterer som for eksempel adfærdsanalyse og sandboxing, som også begge har styrker og svagheder.

Det er altså hype at påstå, at én enkelt sikkerhedsteknologi er perfekt eller kan modstå alle moderne angreb.

Det ville svare til, at en bilproducent præsenterer en bil, hvor det eneste sikkerhedsudstyr er en next-gen autopilot, som påstås at kunne forudse og forebygge alle typer af ulykker.

Hvem ville i ramme alvor trygt overlade familiens sikkerhed til sådan en bil?

Det grundlæggende skal - som altid - være i orden

De cyberkriminelle vil altid prøve at komme et skridt foran sikkerhedsproducenterne. Sådan har det altid været, og sådan vil det blive ved med at være.

Morgendagens trusler vil derfor altid være ukendt farvand, og der vil altid være et åbent sårbarhedsvindue, inden en ny trussel bliver identificeret og blokeret.

Det har ikke pludselig ændret sig, og det er derfor at gamble voldsomt med virksomhedens sikkerhed, hvis man satser på machine learning som et enestående quickfix, der kan løse og forudsige alle fremtidige sikkerhedsproblemer uanset virksomhedens størrelse og infrastrukturens kompleksitet.

Machine learning-algoritmer er ikke bedre end det, teknologien har set indtil nu.

Selv om maskiner er blevet gode til at mestre velafgrænsede opgaver som skak, ansigts- og talegenkendelse og delvist også kan køre bil, er machine learning stadig et primitivt våben, når man er oppe imod tusindvis af opfindsomme hackere, som konstant bryder deres hjerner og redefinerer spillereglerne.

Derfor er de velkendte dyder om, at man skal have styr på den grundlæggende sikkerhed, og at man skal opbygge sit sikkerhedsværn i mange lag, stadig vejen frem, hvis man vil optimere sin datasikkerhed.

Her er og har machine learning længe været én brik blandt mange - og præcis ligesom farven sort er den hverken ny eller nyskabende, selv om den for tiden har fået dele af branchen til at gå helt i sort.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.