Maskininlärning är en gren av AI som definieras som datorers förmåga att lära sig själva, utan att programmeras. Genom algoritmer byggs modeller av beteenden som sedan är grunden för att skapa förutsägelser baserad på den senaste informationen som kommer in.

Det kan användas av tjänster som Netflix som ger filmtips baserat på vad du tittat på innan eller hur en självkörande bil kan lära sig om olika vägförhållanden när den är ute och kör.

Men det kan också användas i informationssäkerhetsarbetet. Vår amerikanska systersajt CSO Online har listat fem områden där maskininlärning lämpar sig särskilt bra.

1. För att upptäcka illasinnad aktivitet och stoppa attacker

Maskininlärningsalgoritmerna kan användas för att stoppa attacker redan innan de blir av genom att upptäcka illasinnad aktivitet. Teknikchefen David Palmer på brittiska startupen Darktrace berättar att de nyligen hjälpte ett kasino i USA och då upptäckte en attack där hackarna använde sig av ett uppkopplat akvarium för att ta sig in i nätet.

Läs också: Därför rundar användarna säkerheten – och så kan det stoppas

Och han berättar också för CSO Online att företagets algoritmer framgångsrikt stoppat Wannacryattacken hos alla sina kunder, även de som inte uppdaterat sina system ordentligt med de senaste patcharna. En av kunderna var den brittiska sjukvården, NHS.

– Våra algoritmer upptäckte attacken mot NHS nätverk inom bara ett par sekunder och hotet undanröjdes utan att det orsakade någon skada på verksamheten, säger David Palmer.

2. För att analysera mobilklienter

Redan nu finns mycket maskininlärning i våra mobiler och det mesta används för röststyrning – som Google Now och Siri. Men det finns stora möjligheter till att använda det också för säkerhet. Google använder maskininlärning för att analysera hot mot mobilklienter och företag ser en möjlighet att skydda alla mobila enheter som deras anställda använder, och där har också säkerhetsföretagen börjat erbjuda olika typer av lösningar.

3. För att förbättra den mänskliga analysen

När det gäller säkerhet och maskininlärning finns en bild av att det kan hjälpa analytiker med alla delar av deras jobb – upptäcka attacker, analysera nätverket, skydda klienterna och att bedöma sårbarheten. Men det som kanske skapar mest entusiasm är möjligheten att analysera säkerhetshot.

Ett exempel är ett system som utvecklades på ett MIT-labb, Computer Science and Artificial Intelligence Lab. En säkerhetsplattform byggd på maskininlärning som hjälpte analytiker att hitta ”nålarna i höstacken”. Genom att granska miljontals login vare dag kunde systemet filtrera data och skicka det vidare till analytiker vilket fick ner antalet larm till runt hundra på en dag. Antalet attacker som upptäckter steg med 85 procent och dessutom minskade antalet falska larm minskade kraftigt.

4. För att automatisera säkerhetsuppgifter som upprepas

Den kanske största vinsten med maskininlärning är att den kan automatisera uppgifter som återkommer och låta de anställda syssla med viktigare saker.

Managementkonsulten Booz Allen Hamilton är ett av de företag som provat på. De använder AI-verktyg för att fördela sina it-säkerhetsresurser så effektivt som möjligt och prioritera hot så att medarbetaren kan fokusera på de mest kritiska attackerna.

5. För att stänga akuta säkerhetshål

En del tror att maskininlärning också kan vara ett verktyg för att hitta och stänga sårbarheter, särskilt kritiska så kallade ”zero-day”-sårbarheter och sådana som riktar in sig på uppkopplade enheter som inte är skyddade.

Läs också: Botnäten växer och växer. Varför är de så svåra att stoppa?

En del har också gjorts på området. På Arizona State University har en grupp använt sig av maskininlärning för att övervaka trafik på den mörka delen av internet, dark web, för att identifiera data kopplade till zero-day-sårbarheter. Den informationen gör det potentiellt möjligt att stänga igen säkerhetshålen innan de resulterar i dataintrång.

Varnar för övertro

Men trots att det finns stora möjligheter med maskininlärning så är det inte en mirakelkur, konstaterar CSO Online. Det finns många fallgropar. Det kan handla om att maskininlärning larmar falskt men de finns också de som varnar för att det inte går att se vad som finns under huven, det vill säga att man inte vet vad som ligger bakom de resultat som AI:n presenterar. Det innebär att de tvingas lita helt på leverantören och på datorprogrammet.

Och samtidigt är frågan om de verkligen går att lita på. David Palmer pekar på att många modeller tränats upp i molnmiljöer med fiktiva hot hos leverantören som implementeras mer som en slags antivirus hos kunderna.

– Många maskininlärningspåfund som prackas på folk lär sig inget när de väl är på jobbet, i kundens miljö, säger han.

Dessutom finns en risk att dåliga data och dålig implementation kan leda till dåliga resultat när modellerna väl kommer ut i den riktiga världen.

– Maskininlärning är bara så bra som den information du förser den med. Så om algoritmerna inte är bra designade så blir inte resultaten särskilt användbara, säger analytikern Jack Gold på J Gold Associates.

– Att låta algoritmerna träna i labbmiljö är en sak men en av de största utmaningarna med maskininlärning för cyberförsvar är att få det att fungera i stor skala i levande, komplexa nätverk.