Här är tekniken som kan förutspå en cyberattack

2018-04-19 06:00  
Staffan Truvé är forskningschef på säkerhetsföretaget Recorded Future som grundades i Göteborg. Foto: Sören Håkanlind

Säkerhetsbranschen har gått från att reagera på attacker till att förebygga okända hot. Så här har maskininlärning ändrat allt.

Maskininlärning verkar vara en tekniktrend som faktiskt lever upp till hajpen. Begreppet har nästan blivit synonymt med artificiell intelligens och används i alltifrån Netflix filmrekommendationer och Facebooks nyhetsflöde till självkörande bilar.

Tekniken går ut på att finslipa en artificiell intelligens genom att lära den hitta mönster i stora mängder data. Och samma teknik som hjälper en självkörande bil förstå att den inte ska krocka med cyklister kan stoppa datorvirus eller förutspå cyberattacker.

– De bra cyberbrottslingarna måste vara effektiva och rationella. Men just att de är det gör dem mer förutsägbara, säger Staffan Truvé som är forskningschef på och medgrundare av Göteborgsbolaget Recorded Future.

Bolagets tanke är att samla in enorma mängder data och dra slutsatser om nya cyberhot. De skannar av alltifrån Twitter och ryska hackerforum på darknet till domännamnsregister och samlar i en enorm databas. Sedan använder de en kombination av maskininlärning, ai och mankraft för att försöka förutsäga framtiden.

Google en av investerarna

Resultatet är en exklusiv tjänst med storföretag och myndigheter på kundlistan. Både Google Ventures och CIA-ankutna In-Q-Tel har investerat i företaget.

– Övergripande gör vi två saker. Det första är vad vi kallar descriptive analytics. Att berätta vad folk pratar om – redan där får man information för att förutspå framtiden eftersom vissa personer är snälla nog att säga explicit vad de tänker göra, säger Staffan Truvé.

Läs mer: Här är 5 sätt som hackare använder ai på

Som exempel nämner han en pakistansk hackergrupp som koordinerat en attack mot indiska regeringsservar. Planeringen skedde öppet på ett forum på nätet, snappades upp av Recorded Futures botar och sedan var det inte speciellt svårt att titta in i kristallkulan och sia om vad som skulle ske.

– Nästa steg är att använda maskininlärning för att förutspå framtida händelser, eller vilken infrastruktur som kommer att drabbas av problem, fortsätter Staffan Truvé.

Lär ai-tjänster se mönster

Med den enorma mängden uppgifter som Recorded Future samlar in från nätet och andra källor som träningsdata lär företaget sina ai-tjänster att identifiera mönster. Som att hitta ip-adresser som sannolikt kommer att användas i phisingkampanjer eller försöka bedöma vilka sårbarheter som hackare kommer att nyttja i cyberattacker.

– Det roliga tycker jag är att alla aktörer som vill vara effektiva och framgångsrika måste vara rationella. Vare sig de heter NSA, Nordkorea eller Anonymous, säger Staffan Truvé.

De kanske köper sina ip-adresser i bulk, eller använder sig av vissa datacenter som en bas för operationer. Små indikationer som Recorded Futures ai kan använda för att dra paralleller och hitta samband. Data som kanske kan användas för att förutsäga vilken typ av hot en bank eller ett industriföretag ska akta sig för.

Men där nöjesjättar och giganterna inom sociala medier varit snabba på att anamma maskininlärning har det tagit desto länge tid för säkerhetsbranschen. Först de senaste åren har utvecklingen tagit fart på allvar, menar Marcus Bengtsson som är teknikchef på säkerhetsfirman Securelink.

– Vi var väldigt sena på bollen, det är först nu som säkerhetsbranschen vaknat, säger han.

Läs mer: Är våra datorer säkra nog för artificiell intelligens?

Securelink hjälper andra företag att sköta sin it-säkerhet, och har numera flera maskininlärningsbaserade produkter i katalogen. Det främsta exemplet är kanske antivirusprogrammet Cylance som utvecklats av företaget med samma namn. På ett ögonblick kan känna igen skadlig kod med skrämmande precision.

Flera svagheter i tidigare virussök

Historiskt sett har antivirus fungerat ungefär så här. Forskare har hittat ett nytt virus, säkerhetsföretagen har katalogiserat det och viruset har fått en signatur. Sedan skickade de ut den signaturen till alla sina klienter på datorer världen över.

När en ny fil landade på en sådan dator gjorde antivirusprogrammet en koll mot signaturlistan och såg om det var ett känt virus.

Det finns flera svagheter i kedjan. Det tar tid att uppdatera listan över kända virus, och det räcker att hackarna stuvar om lite i koden för att många antivirus ska missa det nya hotet. Eller för att vara konkret, för att ett virus ska stoppas måste någon redan ha drabbats av det.

Men maskininlärning kastar om rollerna.

Cylance har låtit sin ai analysera miljontals kända virus och därigenom har programmet kunnat skapa en slags mall för hur skadlig kod ser ut. Det behöver bara slänga ett snabbt öga på en ny fil för att kunna avgöra om den vill ont – och kan fånga upp nya virus utan att någon databas behöver uppdateras.

Läs mer: Ai-forskaren som kämpar för opartiska algoritmer

Ett stort steg framåt för säkerhetsföretag som Securelink.

– Det gör att vi flyttar fram positionerna och kan jobba lite mer proaktivt i stället för att uteslutande jobba reaktivt, säger Marcus Bengtsson.

I dag har nästan alla säkerhetsföretag hängt på och tagit in maskininlärning i någon del i sina produkter. Andra kända exempel är Vectra och Darktrace. På samma sätt som Cylance lärt känna igen mönster för skadlig kod, har dessa företag lärt sina ai-tjänster att hitta skadlig trafik till och från företagets nätverk. Så om en hackare trots allt lyckats infektera en dator, kan program som Vectra eller Darktrace upptäcka när denne försöker stjäla data eller styra sin trojan.

Appar innehåller skadlig kod

Ett annat erkännande av tekniken är att Google plockat in en Cylance-liknande lösning i Android.

Plattformen har länge haft problem med att virus sprids av tillsynes legitima appar som laddas ned från Google Play. De kanske ser ut att vara spel, QR-läsare eller bildredigeringsprogram, men innehåller i själva verket skadlig kod.

För drygt ett år sedan implementerade Google en ny ai som tränats till att känna igen den typen av dolda virus. När teknikjätten summerade 2017 kunde man konstatera att ai:n hade stoppat 99 procent av de skadliga apparna – innan en enda person hunnit ladda ned dem.

Marcus Bengtsson tror att transparensen är en anledning till att säkerhetsbranschen varit tveksam till att anamma ai fullt ut. När en lösning som Cylance flaggar ett program som skadligt kommer det inte med en förklaring. Omdömet har satts utifrån en matematisk algoritm, inte genom mänsklig logik.

– När våra ”Lisbeth Salander” tittar på skadlig kod kan de säga ”den här koden är skadlig för att...”, men när Cylance algoritm säger att något är skadligt berättar den inte varför. Då får kontrollbehovet en rejäl knäck, säger Marcus Bengtsson.

Läs mer: Ledande forskare varnar för farorna i artificiell intelligens

Men nu kommer ai-lösningarna i rask takt. Marcus Bengtsson tror att de kommer att fortsätta öka i omfång. Från att analysera enskilda filer och kolla av nätverksaktivitet till att kartlägga data från hela företagets it-miljö i jakt på förbrytare.

De logglösningar som kollar av företags nätverkstrafik är ganska dumma i dag menar han. Där skulle maskininlärning kunna bidra med att hitta de där avvikelserna som är så viktiga, och att dessutom dra fler slutsatser av dem.

– Tänk det som att du zoomar ut från den enskilda datorn, ut från nätverkssensorerna och till hela paraplyet av allt som loggas i systemet. Det är nästa steg, säger Marcus Bengtsson.

Recorded Future

It-säkerhetsföretag med bas i Göteborg och Boston som försöker förutspå cyberattacker genom att samla in och analysera data från nätet. På ägarlistan står både Google och CIA via respektive riskkapitalbolag. Företaget har varit med på Ny Tekniks och Affärsvärldens 33-lista som samlar Sveriges mest lovande unga teknikbolag två gånger, 2012 och 2013.

Startades: 2009

Omsättning i Sverige: 44,9 miljoner (2016)

Anställda i Sverige: 31 (2016)

Securelink

Jobbar med säkerhetsintegrering åt andra företag, det vill säga installerar säkerhetslösningar och kan även sköta övervakningen av it-miljön. Företaget grundades i Holland och tog på allvar klivet in på den svenska markanden 2016 när de köpte upp Coresec som har kontor på flera orter i Sverige med bas i Malmö.

Startades: 2003

Omsättning i Sverige: 552 miljoner (2016)

Anställda i Sverige: 184 (2016)

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt