Home Innovatie & Strategie Machine learning als beveiligingsmaatregel voor applicaties

Machine learning als beveiligingsmaatregel voor applicaties

37

In elke krant slaat men ons momenteel om de oren met artikels over artificial intelligentie (AI) en machine learning. Voorspelmodellen worden nu al door diverse partijen ingezet, denk hierbij aan verzekeringsmaatschappijen die ongevallen voorspellen of detailhandelaren die voorspellen op welk moment ze het beste een aanbod kunnen doen. Veel techreuzen zoals IBM, Google en Amazon investeren zwaar in deze technologieën, met als doel nieuwe manieren te creëren om zakelijke transacties automatisch, intelligent en zelfs voorspellend uit te voeren. De industrie voor identiteit- en toegangsbeheer (IAM) probeert deze technieken ook in te zetten om zo de beveiliging van applicaties en gegevens een stukje veiliger en gebruiksvriendelijker te maken.

Vooruitgang met voorspelmodellen

Data analyses kunnen bij authenticatieprocedures een groot verschil gaan maken. Op dit moment wordt machine learning gebruikt om gedetailleerde gebruikersprofielen op te stellen door onder andere het vastleggen van toetsaanslagen of het onthouden van de specifieke Bluetooth-apparaten die een gebruiker in de buurt van het toegangsapparaat heeft. Elke afwijking van de norm die hiermee wordt vastgelegd draagt bij aan de risicoscore die een gebruiker krijgt. Op basis van deze gebruikersprofielen kan een aantal authenticatiefactoren vastgelegd worden. Zo kan bij een hoog risicoprofiel bijvoorbeeld two-factor authenticatie noodzakelijk worden of kan de toegang worden beperkt op basis van de taken die iemand uitvoert.

Machine learning als beveiligingsmaatregel

Ook machine learning voegt waarde toe. Deze technologie wordt ingezet bij het creëren van gebruikersprofielen om patronen te ontdekken. Zo kan op efficiënte wijze normaal versus abnormaal gebruikersgedrag worden gespot. Daarnaast is er geen tussenkomst van de mens nodig om te identificeren welke taken een medewerker heeft en welk type toegang daarbij hoort. Op basis van de risicoscore, de werkzaamheden en het betrouwbaarheidsniveau van de gebruikte authenticatiemethode kan de toegang van een medewerker indien nodig beperkt worden. Met deze aanpak is het beveiligingslevel hoog, terwijl de belasting van gebruikers aanzienlijk wordt verminderd. Stel je voor dat je jouw bankrekening controleert, maar geen transactie uitvoert. Als je dit doet vanaf een locatie waar je dit in het verleden hebt gedaan en een bekend apparaat gebruikt, vereist dit slechts één wachtwoord of helemaal geen wachtwoord. Maar als je daadwerkelijk geld overschrijft of als je het doet vanaf een onbekend apparaat of een onbekende locatie, kan er om een tweede authenticatiefactor gevraagd worden.

Machine learning voor de IT-afdeling

Dezelfde principes zijn van toepassing zijn op een IT-beheerder. Bij bijvoorbeeld een wijziging in het systeem kunnen meerdere authenticatiefactoren, zoals een hardware token en een wachtwoord, vereist worden. Maar hij of zij zou die stap kunnen overslaan als er alleen een snelle controle van het aantal gebruikers plaatsvindt. Deze nieuwe toepassingen van AI vereisen een gezamenlijke inspanning tussen machine en mens. Wanneer geautomatiseerde algoritmen een risicoscore opleveren, voert de IT-beheerder indien nodig controles uit. Het gaat om het vinden van de juiste balans en zo optimaal gebruik te maken van wat mens en machine te bieden hebben. In het ideale geval wordt machine learning gebruikt om de kwaliteit van de risicoscore te verbeteren en het gemakkelijker maken van inloggen.

De privacy-uitdaging

Een van de uitdagingen is dat de meeste van deze methoden afhankelijk zijn van het verkrijgen van meer informatie over gebruikers en hun omgeving – iets dat de privacy alarmen doet afgaan. In Europa bijvoorbeeld kunnen pogingen om te voldoen aan GDPR in conflict komen met dit soort gegevensverzameling. Ook onder het grote publiek is de bezorgdheid over privacy toegenomen. Haaks hierop staat een nieuwe trend; de focus van de technische industrie op gebruiksgemak, soms ten koste van de veiligheid. Al tientallen jaren wordt er gezocht naar de juiste balans tussen deze twee. Eind jaren negentig en begin 2000 lag de focus op beveiliging, met de introductie van zaken als PKI (public key infrastructure) en smartcards. Deze oplossingen waren echter omslachtig en zagen weinig wijdverbreide toepassing buiten hun nichemarkten. Nu wordt er meer ingezet op gebruiksvriendelijke opties, zoals cloudgebaseerde single sign-on (SSO), die wel iets minder veilig zijn. De sweetspot bevindt zich ergens in het midden.

Het vinden van deze gulden middenweg zal waarschijnlijk de herinvoering van hardware tokens vereisen, maar op een gebruikersvriendelijkere manier, door bijvoorbeeld smartphones te gebruiken als slimme hardware tokens. Bedrijven zijn nu meer dan ooit geïnteresseerd in gebruiksvriendelijke authenticatieconcepten zoals zero log-in en impliciete authenticatie. Machine learning, sensoren en algoritmes kunnen ingezet worden om medewerkers eenvoudig te herkennen aan hun gedrag. Er wordt al geruime tijd nagedacht over deze concepten, maar nu beginnen ze eindelijk vorm te krijgen. De komende twee tot drie jaar zullen een nieuwe grens definiëren voor contextgebaseerde, risicogebaseerde en impliciete authenticatie en voor toegangsbeheer. We moeten op zoek gaan naar de juiste balans tussen gemak, veiligheid en privacy.

 

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here