Okumuş olabileceğinizin aksine, makine öğrenimi (ML) sihirli peri tozu değildir. Genel olarak, ML, mevcut büyük veri kümeleri olan ve ilgili modellerin yüksek oranda tekrarlanabilir veya tahmin edilebilir olduğu dar kapsamlı problemler için iyidir. Çoğu güvenlik sorunu ML’yi ne gerektirir ne de yarar sağlar. İnsanlar da dahil olmak üzere birçok uzman Googlekarmaşık bir sorunu çözerken şunları yapmanız gerektiğini önerin: diğer her şeyi tüket ML’yi denemeden önce yaklaşımlar.
ML, doğru cevabı açıkça kodlamamış olsak bile, bir sorunun cevabını tahmin etmek için bir bilgisayarı eğitmemize izin veren geniş bir istatistiksel teknikler koleksiyonudur. Doğru sorun türüne uygulanan iyi tasarlanmış bir makine öğrenimi sistemi, başka türlü elde edilemeyecek olan içgörüleri açığa çıkarabilir.
Başarılı bir ML örneği doğal dil işleme
(NLP). NLP, bilgisayarların deyimler ve metaforlar gibi şeyler de dahil olmak üzere insan dilini “anlamasına” izin verir. Birçok yönden siber güvenlik, dil işleme ile aynı zorluklarla karşı karşıyadır. Saldırganlar deyimleri kullanmayabilir, ancak birçok teknik, aynı yazılışlara veya telaffuzlara sahip ancak farklı anlamlara sahip olan eş sesli kelimelere benzer. Bazı saldırgan teknikleri de aynı şekilde bir sistem yöneticisinin tamamen iyi huylu nedenlerle gerçekleştirebileceği eylemlere çok benzer.
BT ortamları amaç, mimari, önceliklendirme ve risk toleransı açısından kuruluşlar arasında farklılık gösterir. Tüm senaryolarda güvenlik kullanım durumlarını geniş bir şekilde ele alan ML veya başka türlü algoritmalar oluşturmak imkansızdır. Bu nedenle, ML’nin güvenlikteki en başarılı uygulamaları, çok özel bir sorunu ele almak için birden çok yöntemi birleştirir. İyi örnekler arasında spam filtreleri, DDoS veya bot azaltma ve kötü amaçlı yazılım algılama yer alır.
Makine öğrenimindeki en büyük zorluk, sorununuzu çözmek için ilgili, kullanılabilir verilerin mevcudiyetidir. Denetimli makine öğrenimi için büyük, doğru etiketlenmiş bir veri kümesine ihtiyacınız vardır. Örneğin, kedi fotoğraflarını tanımlayan bir model oluşturmak için, modeli “kedi” olarak etiketlenmiş birçok kedi fotoğrafı ve “kedi değil” olarak etiketlenmiş kedi olmayan birçok fotoğraf üzerinde eğitirsiniz. Yeterli fotoğrafınız yoksa veya kötü etiketlenmişlerse modeliniz iyi çalışmayacaktır.
Güvenlikte, iyi bilinen bir denetimli makine öğrenimi kullanım durumu, imzasız kötü amaçlı yazılım algılamadır. Birçok uç nokta koruma platformu (EPP) satıcısı, büyük miktarlardaki kötü amaçlı örnekleri ve iyi huylu örnekleri etiketlemek için makine öğrenimini kullanır ve bir modeli “kötü amaçlı yazılımın neye benzediği” konusunda eğitir. Bu modeller, bir dosyanın bir imzadan kaçmak için yeterince değiştirildiği ancak kötü niyetli kaldığı durumlarda, kaçamak mutasyona uğrayan kötü amaçlı yazılımları ve diğer hileleri doğru bir şekilde tanımlayabilir. ML imzayla eşleşmiyor. Başka bir özellik seti kullanarak kötülüğü tahmin eder ve genellikle imza tabanlı yöntemlerin kaçırdığı kötü amaçlı yazılımları yakalayabilir.
Ancak, ML modelleri olasılıklı olduğundan, bir ödünleşim vardır. Makine öğrenimi, imzaların kaçırdığı kötü amaçlı yazılımları yakalayabilir, ancak imzaların yakaladığı kötü amaçlı yazılımları da kaçırabilir. Bu nedenle modern EPP araçları, optimum kapsama için ML ve imza tabanlı teknikleri birleştiren hibrit yöntemler kullanır.
Model iyi hazırlanmış olsa bile, çıktının yorumlanması söz konusu olduğunda ML, aşağıdakiler de dahil olmak üzere bazı ek zorluklar sunar:
ML’nin artıları ve eksilerinin ötesinde, bir nokta daha var: “ML”lerin tümü gerçekten ML değildir. İstatistikler, verileriniz hakkında size bazı sonuçlar verir. ML, sahip olduğunuz verilere dayanarak sahip olmadığınız veriler hakkında tahminler yapar. Pazarlamacılar, bir tür modern, yenilikçi, ileri teknoloji ürününün sinyalini vermek için “makine öğrenimi” ve “yapay zeka”ya hevesle bağlandı. Bununla birlikte, teknolojinin ML kullanıp kullanmadığına bile çok az saygı duyulur, ML’nin doğru yaklaşım olup olmadığına aldırmayın.
ML, “kötülük” iyi tanımlanmış ve dar kapsamlı olduğunda kötülüğü algılayabilir. Ayrıca, oldukça öngörülebilir sistemlerde beklenen davranıştan sapmaları da tespit edebilir. Ortam ne kadar kararlı olursa, makine öğreniminin anormallikleri doğru bir şekilde tanımlaması o kadar olasıdır. Ancak her anomali kötü amaçlı değildir ve operatör her zaman yanıt vermek için yeterli içeriğe sahip değildir. ML’nin süper gücü, optimum kapsama ve verimlilik için mevcut yöntemlerin, sistemlerin ve ekiplerin yeteneklerini değiştirmekte değil, genişletmededir.