Okumuş olabileceğinizin aksine, makine öğrenimi (ML) sihirli peri tozu değildir. Genel olarak, ML, mevcut büyük veri kümeleri olan ve ilgili modellerin yüksek oranda tekrarlanabilir veya tahmin edilebilir olduğu dar kapsamlı problemler için iyidir. Çoğu güvenlik sorunu ML’yi ne gerektirir ne de yarar sağlar. İnsanlar da dahil olmak üzere birçok uzman Googlekarmaşık bir sorunu çözerken şunları yapmanız gerektiğini önerin: diğer her şeyi tüket ML’yi denemeden önce yaklaşımlar.
ML, doğru cevabı açıkça kodlamamış olsak bile, bir sorunun cevabını tahmin etmek için bir bilgisayarı eğitmemize izin veren geniş bir istatistiksel teknikler koleksiyonudur. Doğru sorun türüne uygulanan iyi tasarlanmış bir makine öğrenimi sistemi, başka türlü elde edilemeyecek olan içgörüleri açığa çıkarabilir.
Başarılı bir ML örneği doğal dil işleme
(NLP). NLP, bilgisayarların deyimler ve metaforlar gibi şeyler de dahil olmak üzere insan dilini “anlamasına” izin verir. Birçok yönden siber güvenlik, dil işleme ile aynı zorluklarla karşı karşıyadır. Saldırganlar deyimleri kullanmayabilir, ancak birçok teknik, aynı yazılışlara veya telaffuzlara sahip ancak farklı anlamlara sahip olan eş sesli kelimelere benzer. Bazı saldırgan teknikleri de aynı şekilde bir sistem yöneticisinin tamamen iyi huylu nedenlerle gerçekleştirebileceği eylemlere çok benzer.
BT ortamları amaç, mimari, önceliklendirme ve risk toleransı açısından kuruluşlar arasında farklılık gösterir. Tüm senaryolarda güvenlik kullanım durumlarını geniş bir şekilde ele alan ML veya başka türlü algoritmalar oluşturmak imkansızdır. Bu nedenle, ML’nin güvenlikteki en başarılı uygulamaları, çok özel bir sorunu ele almak için birden çok yöntemi birleştirir. İyi örnekler arasında spam filtreleri, DDoS veya bot azaltma ve kötü amaçlı yazılım algılama yer alır.
Çöp içeri çöp dışarı
Makine öğrenimindeki en büyük zorluk, sorununuzu çözmek için ilgili, kullanılabilir verilerin mevcudiyetidir. Denetimli makine öğrenimi için büyük, doğru etiketlenmiş bir veri kümesine ihtiyacınız vardır. Örneğin, kedi fotoğraflarını tanımlayan bir model oluşturmak için, modeli “kedi” olarak etiketlenmiş birçok kedi fotoğrafı ve “kedi değil” olarak etiketlenmiş kedi olmayan birçok fotoğraf üzerinde eğitirsiniz. Yeterli fotoğrafınız yoksa veya kötü etiketlenmişlerse modeliniz iyi çalışmayacaktır.
Güvenlikte, iyi bilinen bir denetimli makine öğrenimi kullanım durumu, imzasız kötü amaçlı yazılım algılamadır. Birçok uç nokta koruma platformu (EPP) satıcısı, büyük miktarlardaki kötü amaçlı örnekleri ve iyi huylu örnekleri etiketlemek için makine öğrenimini kullanır ve bir modeli “kötü amaçlı yazılımın neye benzediği” konusunda eğitir. Bu modeller, bir dosyanın bir imzadan kaçmak için yeterince değiştirildiği ancak kötü niyetli kaldığı durumlarda, kaçamak mutasyona uğrayan kötü amaçlı yazılımları ve diğer hileleri doğru bir şekilde tanımlayabilir. ML imzayla eşleşmiyor. Başka bir özellik seti kullanarak kötülüğü tahmin eder ve genellikle imza tabanlı yöntemlerin kaçırdığı kötü amaçlı yazılımları yakalayabilir.
Ancak, ML modelleri olasılıklı olduğundan, bir ödünleşim vardır. Makine öğrenimi, imzaların kaçırdığı kötü amaçlı yazılımları yakalayabilir, ancak imzaların yakaladığı kötü amaçlı yazılımları da kaçırabilir. Bu nedenle modern EPP araçları, optimum kapsama için ML ve imza tabanlı teknikleri birleştiren hibrit yöntemler kullanır.
Bir Şey, Bir Şey, Yanlış Pozitifler
Model iyi hazırlanmış olsa bile, çıktının yorumlanması söz konusu olduğunda ML, aşağıdakiler de dahil olmak üzere bazı ek zorluklar sunar:
- Sonuç bir olasılıktır.
ML modeli, bir şeyin olasılığını verir. Modeliniz kedileri tanımlamak için tasarlandıysa, “bu şey %80 kedidir” gibi sonuçlar alırsınız. Bu belirsizlik, ML sistemlerinin doğal bir özelliğidir ve sonucun yorumlanmasını zorlaştırabilir. %80 kedi yeterli mi? - Model ayarlanamıyor, en azından son kullanıcı tarafından değil. Olasılık sonuçlarını ele almak için, bir araç, onları ikili sonuçlara daraltan satıcı tarafından ayarlanmış eşiklere sahip olabilir. Örneğin, kedi tanımlama modeli >%90 “kedi” olan herhangi bir şeyin kedi olduğunu bildirebilir. İşletmenizin kediliğe toleransı, satıcının belirlediğinden daha yüksek veya daha düşük olabilir.
- Yanlış negatifler (FN), gerçek kötülüğü tespit edememek, ML modellerinin, özellikle de zayıf ayarlanmış olanların acı verici bir sonucudur. Yanlış pozitifleri (FP) zaman kaybettikleri için sevmiyoruz. Ancak FP ve FN oranları arasında doğal bir değiş tokuş var. ML modelleri, “en iyi” FP-FN oran dengesine öncelik vererek, ödünleşimi optimize edecek şekilde ayarlanmıştır. Ancak, “doğru” denge, bireysel tehdit ve risk değerlendirmelerine bağlı olarak kuruluşlar arasında farklılık gösterir. ML tabanlı ürünleri kullanırken, sizin için uygun eşikleri seçmeleri için satıcılara güvenmelisiniz.
- Uyarı triyajı için yeterli bağlam yok. Makine öğrenimi büyüsünün bir parçası, veri kümelerinden güçlü tahmine dayalı ancak keyfi “özellikler” çıkarmaktır. Bir kediyi tanımlamanın hava durumuyla yüksek oranda ilişkili olduğunu hayal edin. Hiçbir insan bu şekilde akıl yürütemez. Ancak bu, ML’nin amacıdır – başka türlü bulamadığımız kalıpları bulmak ve bunu ölçekte yapmak. Yine de, tahminin nedeni kullanıcı tarafından açıklanabilse bile, bir uyarı triyajında veya olay müdahale durumunda genellikle yararsızdır. Bunun nedeni, ML sisteminin kararını nihai olarak tanımlayan “özelliklerin”, güvenlik analistleriyle pratik alaka düzeyi için değil, tahmin gücü için optimize edilmiş olmasıdır.
Başka Bir İsimle “İstatistikler” Tatlı Kokuyor mu?
ML’nin artıları ve eksilerinin ötesinde, bir nokta daha var: “ML”lerin tümü gerçekten ML değildir. İstatistikler, verileriniz hakkında size bazı sonuçlar verir. ML, sahip olduğunuz verilere dayanarak sahip olmadığınız veriler hakkında tahminler yapar. Pazarlamacılar, bir tür modern, yenilikçi, ileri teknoloji ürününün sinyalini vermek için “makine öğrenimi” ve “yapay zeka”ya hevesle bağlandı. Bununla birlikte, teknolojinin ML kullanıp kullanmadığına bile çok az saygı duyulur, ML’nin doğru yaklaşım olup olmadığına aldırmayın.
Peki, ML Kötülüğü Tespit Edebilir mi, Yapamaz mı?
ML, “kötülük” iyi tanımlanmış ve dar kapsamlı olduğunda kötülüğü algılayabilir. Ayrıca, oldukça öngörülebilir sistemlerde beklenen davranıştan sapmaları da tespit edebilir. Ortam ne kadar kararlı olursa, makine öğreniminin anormallikleri doğru bir şekilde tanımlaması o kadar olasıdır. Ancak her anomali kötü amaçlı değildir ve operatör her zaman yanıt vermek için yeterli içeriğe sahip değildir. ML’nin süper gücü, optimum kapsama ve verimlilik için mevcut yöntemlerin, sistemlerin ve ekiplerin yeteneklerini değiştirmekte değil, genişletmededir.