Okuduklarınızın aksine, makine öğrenme (ML) sihirli peri tozu değil. Genel olarak makine öğrenimi, çok büyük veri kümelerinin mevcut olduğu ve ilgi modellerinin yüksek oranda tekrarlanabilir veya öngörülebilir olduğu dar kapsamlı problemler için iyidir. Çoğu güvenlik sorunu ML'yi gerektirmez ve ondan faydalanmaz. Aralarında arkadaşların da bulunduğu pek çok uzman Google, karmaşık bir sorunu çözerken şunları yapmanız gerektiğini önerin: diğer her şeyi tüket ML'yi denemeden önce yaklaşımlar.
ML, doğru cevabı açıkça kodlamamış olsak bile, bir bilgisayarı bir sorunun cevabını tahmin edecek şekilde eğitmemize olanak tanıyan geniş bir istatistiksel teknikler koleksiyonudur. Doğru türde soruna uygulanan iyi tasarlanmış bir makine öğrenimi sistemi, başka türlü elde edilemeyecek içgörülerin kilidini açabilir.
Başarılı bir ML örneği doğal dil işleme
(NLP). NLP, bilgisayarların deyimler ve metaforlar gibi şeyler de dahil olmak üzere insan dilini "anlamasına" olanak tanır. Siber güvenlik birçok açıdan dil işlemeyle aynı zorluklarla karşı karşıyadır. Saldırganlar deyimler kullanmayabilir ancak birçok teknik, yazılışları veya telaffuzları aynı, ancak anlamları farklı olan eşsesli sözcüklere benzer. Bazı saldırgan teknikleri de aynı şekilde bir sistem yöneticisinin tamamen zararsız nedenlerle gerçekleştirebileceği eylemlere çok benzer.
BT ortamları amaç, mimari, önceliklendirme ve risk toleransı açısından kuruluşlar arasında farklılık gösterir. Tüm senaryolarda güvenlik kullanım durumlarını geniş bir şekilde ele alan algoritmalar (ML veya başka türlü) oluşturmak imkansızdır. Bu nedenle güvenlikteki en başarılı ML uygulamaları, çok spesifik bir sorunu çözmek için birden fazla yöntemi birleştirir. İyi örnekler arasında spam filtreleri, DDoS veya bot azaltma ve kötü amaçlı yazılım tespiti yer alır.
Çöp içeri çöp dışarı
ML'deki en büyük zorluk, sorununuzu çözecek ilgili, kullanılabilir verilerin bulunmasıdır. Denetlenen makine öğrenimi için büyük, doğru şekilde etiketlenmiş bir veri kümesine ihtiyacınız vardır. Örneğin, kedi fotoğraflarını tanımlayan bir model oluşturmak için, modeli "kedi" etiketli birçok kedi fotoğrafı ve kedi olmayan şeylerin "kedi değil" etiketli birçok fotoğrafı üzerinde eğitirsiniz. Yeterli fotoğrafınız yoksa veya kötü etiketlenmişlerse modeliniz iyi çalışmaz.
Güvenlikte, iyi bilinen bir denetimli makine öğrenimi kullanım örneği, imzasız kötü amaçlı yazılım tespitidir. Birçok uç nokta koruma platformu (EPP) satıcısı, büyük miktarlarda kötü amaçlı örnekleri ve iyi huylu örnekleri etiketlemek için ML'yi kullanarak "kötü amaçlı yazılımın neye benzediği" konusunda bir model eğitiyor. Bu modeller, bir dosyanın bir imzadan kaçacak kadar değiştirildiği ancak kötü amaçlı kaldığı durumlarda, kaçınılmaz mutasyona uğrayan kötü amaçlı yazılımları ve diğer hileleri doğru bir şekilde tanımlayabilir. ML imzayla eşleşmiyor. Başka bir özellik seti kullanarak kötü amaçlı yazılımları tahmin eder ve genellikle imza tabanlı yöntemlerin gözden kaçırdığı kötü amaçlı yazılımları yakalayabilir.
Ancak ML modelleri olasılığa dayalı olduğundan bir ödünleşim söz konusudur. ML, imzaların kaçırdığı kötü amaçlı yazılımları yakalayabilir, ancak aynı zamanda imzaların yakaladığı kötü amaçlı yazılımları da kaçırabilir. Modern EPP araçlarının, optimum kapsam için makine öğrenimi ve imza tabanlı teknikleri birleştiren hibrit yöntemleri kullanmasının nedeni budur.
Bir Şey, Bir Şey, Yanlış Pozitifler
Model iyi hazırlanmış olsa bile, çıktının yorumlanması söz konusu olduğunda makine öğrenimi bazı ek zorluklar sunar:
- Sonuç bir olasılıktır.
ML modeli bir şeyin olasılığını ortaya çıkarır. Modeliniz kedileri tanımlamak için tasarlandıysa "bu şeyin %80'i kedi" gibi sonuçlar alırsınız. Bu belirsizlik, ML sistemlerinin doğasında olan bir özelliktir ve sonucun yorumlanmasını zorlaştırabilir. %80 kedi yeterli mi? - Model ayarlanamıyoren azından son kullanıcı tarafından. Olasılıksal sonuçları ele almak için bir araç, bunları ikili sonuçlara daraltan satıcı tarafından belirlenen eşiklere sahip olabilir. Örneğin, kedi tanımlama modeli >%90 "kedi" olan herhangi bir şeyin kedi olduğunu bildirebilir. İşletmenizin kedicilik toleransı satıcının belirlediğinden daha yüksek veya daha düşük olabilir.
- Yanlış negatifler (FN)Gerçek kötülüğün tespit edilememesi, makine öğrenimi modellerinin, özellikle de kötü ayarlanmış modellerin acı verici sonuçlarından biridir. Yanlış pozitiflerden (FP) hoşlanmayız çünkü bunlar zaman kaybına neden olur. Ancak FP ve FN oranları arasında doğal bir değiş-tokuş var. ML modelleri, "en iyi" FP-FN oran dengesine öncelik vererek dengelemeyi optimize edecek şekilde ayarlanmıştır. Ancak "doğru" denge, kuruluşların bireysel tehdit ve risk değerlendirmelerine bağlı olarak farklılık gösterir. ML tabanlı ürünleri kullanırken, satıcılara sizin için uygun eşikleri seçeceklerine güvenmelisiniz.
- Uyarı triyajı için yeterli bağlam yok. ML büyüsünün bir kısmı, veri kümelerinden güçlü tahmine dayalı ancak keyfi "özellikler" çıkarmaktır. Bir kediyi tanımlamanın hava durumuyla oldukça ilişkili olduğunu hayal edin. Hiçbir insan bu şekilde mantık yürütmez. Ancak makine öğreniminin amacı da budur; başka türlü bulamadığımız kalıpları bulmak ve bunu geniş ölçekte yapmak. Ancak tahminin nedeni kullanıcıya açıklanabilse bile, uyarı önceliklendirmesi veya olay müdahalesi durumunda genellikle faydasız olur. Bunun nedeni, ML sisteminin kararını nihai olarak tanımlayan "özelliklerin", güvenlik analistleri açısından pratik uygunluk için değil, öngörücü güç için optimize edilmiş olmasıdır.
Başka Bir Adla "İstatistik" Bu Kadar Tatlı Kokar Mı?
ML'nin artıları ve eksilerinin ötesinde, bir önemli nokta daha var: "ML"nin tamamı aslında ML değildir. İstatistikler, verileriniz hakkında size bazı sonuçlar verir. ML, sahip olduğunuz verilere dayanarak, sahip olmadığınız veriler hakkında tahminler yapar. Pazarlamacılar heyecanla "makine öğrenme” ve “yapay zeka” bir tür modern, yenilikçi, ileri teknoloji ürününün sinyalini veriyor. Bununla birlikte, teknolojinin ML kullanıp kullanmadığına genellikle çok az önem veriliyor, ML'nin doğru yaklaşım olup olmadığı bir yana.
Peki, ML Kötülüğü Tespit Edebilir mi, Yapamaz mı?
ML, "kötülük" iyi tanımlandığında ve kapsamı dar olduğunda kötülüğü tespit edebilir. Ayrıca yüksek düzeyde öngörülebilir sistemlerde beklenen davranıştan sapmaları da tespit edebilir. Ortam ne kadar istikrarlı olursa makine öğreniminin anormallikleri doğru şekilde tanımlama olasılığı da o kadar artar. Ancak her anormallik kötü niyetli değildir ve operatör her zaman yanıt verecek yeterli içeriğe sahip değildir. ML'nin süper gücü, mevcut yöntemlerin, sistemlerin ve ekiplerin optimum kapsam ve verimlilik için yeteneklerini değiştirmek değil, genişletmektir.
