‘Om een algoritme te trainen, moet je weten hoe een aanval eruit ziet’
Hoe ziet security er de komende jaren uit, en wat is de impact van AI of kwantum daarop? Data News sprak met Charl van der Walt, Global head of Security Research for Orange Cyberdefense.
Heeft machine learning op dit moment al een plaats in cybersecurity?
CHARL VAN DER WALT: We zien machine learning niet meteen een radicale impact hebben op hoe we dingen doen binnen security, maar ze kan wel ingezet worden om kleinere problemen op te lossen, aan beide kanten van de wet.
De technologie werkt namelijk goed voor enkele specifieke toepassingen. Machine learning, als je het wil ontwikkelen, heeft een algoritme nodig, het vereist data en kennis van wat je wil doen. Je moet weten welk probleem je probeert op te lossen. Een goed voorbeeld daar is het ontdekken van malware. We weten al langer hoe we bestanden kunnen scannen, en we kunnen dat op grote schaal doen. We hebben bovendien hele bibliotheken aan al gedetecteerde malware waarop we onze algoritmes kunnen trainen. We kunnen heel efficiënt van een nieuw sample proberen te raden of het al dan niet malware zal zijn. We zijn de voorbije zes jaar veel beter geworden in het detecteren van die dingen.
Een andere toepassing die gebruikt wordt is het detecteren van gedrag dat niet normaal is. We hebben een sterke neiging om machine learning toe te passen op dat probleem, maar de uitdaging daar is om data te hebben waarmee je het machine learning algoritme kan trainen. Je moet weten hoe een aanval eruit ziet. En we hebben niet zoveel voorbeelden waarmee we zo’n algoritme kunnen trainen. Daarom gaan de meeste ontwikkelaars een aanpak gebruiken van unsupervised machine learning. Daarmee ga je anomalieën opsporen. Je leert het algoritme aan hoe een goede situatie eruit ziet.
Maar daarvoor moet u wel eerst weten hoe een propere app of machine eruit ziet?
VAN DER WALT: Inderdaad. En zo’n algoritme wordt heel goed in het vinden van anomalieën, maar kan niet weten of dat kwaadaardig is of toevallig. Dus krijg je heel veel valse positieven. Er zijn veel anomalieën die niet per se slecht zijn.
Je gaat dan ook betere resultaten krijgen bij heel specifieke toepassingen, zoals het opsporen van domeinnaamgeneratoren. Aanvallers die domeinen nodig hebben voor hun phishing sites of om opdrachten naar hun malware te sturen, gaan die vaak automatisch genereren. Je kan machines aanleren om dat beter te herkennen, beter nog dan mensen.
Wordt machine learning ook door aanvallers gebruikt?
VAN DER WALT: Een klassieke applicatie van machine learning aan de kant van de aanvallers zijn deepfakes. Je hebt daar een samenloop van technologieën die aanvallers in staat stelt om bijvoorbeeld stemmen na te bootsen. En dat is ook zowat de enige waarvan we zeker weten dat ze het gebruiken. Als je verhalen leest over aanvallers die AI inzetten, dan gaat het meestal over deepfakes.
Het Amerikaanse standaardeninstituut NIST heeft net nieuwe cryptografische standaarden gekozen die bestand moeten zijn tegen quantum computing. Is dat een probleem waar jullie al mee bezig zijn?
VAN DER WALT: Dat gaat op korte termijn niet meteen impact hebben, maar op langere termijn wel. Het probleem is dat de meeste moderne encryptie-algoritmes bouwen op wiskundeproblemen die moeilijk op te lossen zijn, maar makkelijk om na te kijken. En veel van die keys zijn met onze huidige computer niet te ontsleutelen, maar met een kwantumcomputer zou dat binnen enkele minuten kunnen.
Het goede nieuws is dat algemene kwantumcomputers maar over vijf tot dertig jaar mogelijk zijn. En dan heb je nog maar algemeen bruikbare kwantumcomputers. Dat betekent niet dat iedereen er een gaat hebben. Die moeten bovendien nog geprogrammeerd worden, er moet software voor worden ontwikkeld, besturingssystemen, drivers en libraries. We hebben dus een buffer. Anderzijds, het duurt jaren om een cryptografisch algoritme te vervangen.
Is dat niet vooral een probleem voor bijvoorbeeld banken?
VAN DER WALT: Zij hebben uiteraard baat bij sterke cryptografie. Daarnaast is er nog een kwetsbaar domein in de vorm van cryptomunten en defi. Je hebt een wallet op de blockchain die letterlijk een cryptografische sleutel is. Als iemand die sleutel kan ontcijferen, kan hij of zij aan je geld. Je zit daar trouwens met de vraag wat men gaat doen in de sector. Standaarden zoals die van NIST worden traditioneel vaak gebruikt in gereguleerde industrieën, maar defi heeft momenteel geen regels.
Waar gaat het heen met cybersecurity?
VAN DER WALT: Een van de projecten rond machine learning die we zelf hebben opgezet, zoekt naar trends in de sector, en daar zagen we een groeiend aantal veiligheidsincidenten op mobiele telefoons. Je ziet dat daar versneld aan gewerkt wordt, voor een groot deel door aanvallers met overheidsbudget. Denk aan het zoeken naar terroristen en dissidenten, bijvoorbeeld. Je hebt daar overheidsgeld voor nodig want het is heel duur om een mobiele telefoon te hacken. Die systemen zijn zeer sterk beveiligd.
Historisch zie je dat eens een overheid begint te investeren in een technologie of techniek, dat je een grote stap zet in de escalatie daarvan. Er ontstaat een hele industrie rond. Er wordt nu bijvoorbeeld training voorzien in het breken van security op mobiele telefoons. Dat had het criminele milieu nooit. Maar eens het bestaat, wordt het ook goedkoper en zal het beschikbaar zijn voor meer mensen. Het hele ecosysteem wordt uitgebreid. We verwachten dan ook dat mobiele hacks goedkoper zullen worden voor cybercriminelen.
Combineer dat met het belang van die smartphones, en je ziet dat mobiele security een groot probleem kan worden. We gebruiken die toestellen onder meer als een bewijs van identiteit. Alles is open voor het internet en om het aan te spreken moet je je identiteit bewijzen, vaak met meerstapsverificatie. Daarvoor heb je je mobiele telefoon nodig.
Over het algemeen zijn mobiele telefoons het hoogtepunt van secure computing. Je hebt kleine aanvalsoppervlakken, afgesloten app stores waar alleen goedgekeurde apps in mogen, interne segmentatie tussen apps en processen, gebruikers krijgen geen adminrechten op een smartphone. Als beveiligingstoestel zijn ze superieur en tot nu toe was er vrij weinig te winnen voor een aanvaller. Maar nu mobiel belangrijker wordt voor identiteit, en de kost daalt doordat overheden in die hacks gaan investeren, krijg je wel een probleem.
Fout opgemerkt of meer nieuws? Meld het hier