Systemudvikling og systemer, It-drift

Kunstig intelligens på vej ind i it-afdelingerne

Machine learning og øget automatisering er på dagsordenen i mange it-afdelinger. Specielt på sikkerhedsområdet er der gang i konkrete implementeringer.

Der er endnu ikke mange implementeringer af machine learning-baserede løsninger i de danske it-afdelinger, men de er på vej. Specielt på sikkerhedsområdet findes der allerede implementerede løsninger, og en del virksomheder har afsat midler på næste års it-budget til testinstallationer. Andre er blot i færd med at orientere sig i markedet, men regner med at skulle med på vognen på et tidspunkt.

Ifølge Jens Bo Friis, uafhængig konsulent inden for sikkerhed og machine learning og partner i AI Ratio, er en væsentlig grund, at hele sikkerhedsspørgsmålet for alvor er rykket ind på direktionsgangene.

– Efter de store ransomware-angreb og ikke mindst GDPR har virksomhedsledelsen fået øjnene op for vigtigheden af at beskytte sig mod cyberangreb. Denne opmærksomhed var der ikke for bare to år siden, siger han og fortsætter:

– Det er ikke godt nok, at man skal vente på, at antivirusprogrammet bliver opdateret til at håndtere de seneste vira. Dér er det nødvendigt med løsninger baseret på machine learning.

Normal kontra unormal adfærd

Grundprincippet i løsningerne er typisk en viden om, hvad der er normal systemadfærd og dermed en mulighed for at detektere afvigelser fra det normale. Det kunne være en maskine i en given afdeling i virksomheden, der begynder at hente data i en anden afdeling og sende det til en ftp-server, eller usædvanlig stor hyppighed af en given transaktion.

Det er ikke nyt, at systemer skal monitoreres og potentielle problemer afhjælpes, før de for alvor gør skade. Men mængden af log-data, som genereres fra it-systemerne, er steget eksponentielt over de senere år, og det er blevet stadig vanskeligere at få noget meningsfuldt og operationelt ud af dashboard-præsentationer af de store mængder data.

Antallet af monitorerings-værktøjer er også steget. Ifølge et studie fra Enterprise Strategy Group (ESG) fra 2017 havde flertallet af virksomhederne implementeret mellem 10 og 25 forskellige værktøjer til formålet. Ved at slippe machine learning-baserede løsninger løs på de store datamængder er håbet, at man i it-afdelingerne i meget højere grad vil kunne bruge data konstruktivt og proaktivt frem for reaktivt.

Kapløb med de cyberkriminelle

Ifølge Jens Bo Friis bør løsningerne være baseret på såkaldt unsupervised machine learning, hvor det ikke er nødvendigt at definere specifikke regler for at detektere anomalier, som det er tilfældet med supervised machine learning. Grunden er den simple, at man ikke kan føde data ind til genkendelse af vira, som man ikke kender og endnu ikke er blevet ramt af.

Og Jens Bo Friis mener, det på høje tid, at virksomhederne begynder at interessere sig for disse løsninger.

– De cyberkriminelle er allerede i gang med at anvende denne teknologi, og det bliver virkelig kritisk, hvis vira fremover bliver baseret på en eller anden form for kunstig intelligens, siger han.

Stig Borchersen, der er director i konsulenthuset Valcon, ser den stigende fokus på machine learning inden for it-drift som et resultat af nogle tydelige overordnede udviklingstendenser.

– Den digitale teknologi har ændret de kundevendte forretningsmodeller og processer. Kunderne forventer hurtig og nem adgang til tjenester på mange forskellige platforme og på alle tidspunkter af døgnet. Det betyder øgede krav til det understøttende it-miljø, siger Stig Borchersen.

Han forventer, at det blandt andet vil føre til agil drift, automatisering af it-service management-processer og intelligente service desks. Med machine learning vil en service desk kunne lære sig selv at blive dygtigere til at hjælpe en bruger og efterhånden begrænse eller eliminere behov for menneskelig indblanding.

Automatisk afhjælpning af problemer

Der findes en lang række løsninger på sikkerhedsområdet. De grupperes typisk under betegnelsen Intrusion Detection and Prevention Systems (IDPS) med Darktrace, Cisco og FireEye blandt de mest kendte.

Klassiske IDPS-løsninger er baseret på regler og antagelser, mens eksempelvis Darktrace detekterer alle anomalier ved hjælp af unsupervised machine learning.

Machine learning vil i det hele taget vinde stadig større indpas i IDPS-løsningerne. Således forudsiger Gartner's Magic Quadrant for Intrusion Detection and Prevention Systems fra januar 2018, at 60 procent af løsningerne i 2020 vil indeholde en eller anden form for machine learning-funktionalitet. Derudover forventes meget af funktionaliteten i standalone-løsningerne efterhånden også at blive integreret i firewall-teknologierne. 

For at kunne agere så tidligt som muligt vil kravene til løsningerne ikke blot handle om monitorering af infrastrukturen og detektion af anomalier, der potentielt kan udvikle sig til alvorlige problemer. Løsningerne skal også være i stand til automatisk at inddæmme problemet, for eksempel ved at lukke en maskine ned. Og i sidste instans handler det om at finde de grundlæggende årsager til anomalierne – de såkaldte root causes – og få dem løst.

IDPS-løsningerne er primært designet til at håndtere udefrakommende trusler mod sikkerheden, men kan i nogle tilfælde også konfigureres til at scanne for anomalier opstået internt. Til det formål findes der dog en række dedikerede løsninger, som i kombination med IDPS-løsningerne leverer det samlede sikkerhedsværn.