W firmie Kaspersky regularnie analizujemy nowe technologie i szukamy sposobów wykorzystania ich w cyberbezpieczeństwie. Chociaż obecnie ontologia nie jest zbyt popularnym podejściem, może przyspieszyć i uprościć wiele procesów. Według mnie to tylko kwestia czasu, zanim zacznie ona być wykorzystywana w cyberbezpieczeństwie.
Czym jest ontologia w dziedzinie systemów informacyjnych?
W informatyce ontologia jest systematycznym opisem wszystkich pojęć w danym obszarze, ich cech lub atrybutów, a także relacji między nimi. Na przykład ontologia w komiksowym uniwersum Marvela obejmuje imiona i atrybuty (supermoce, broń, słabości) wszystkich superbohaterów, ich poziomy mocy i tak dalej. Ontologia może opisać wszystko, od win po sieci elektryczne.
Korzystając z języka, np. OWL, Web Ontology Language, można opracować narzędzia do analizy ontologii i identyfikacji ukrytych połączeń oraz brakujących lub niejasnych szczegółów. Na przykład analiza ontologii uniwersum Marvela może pomóc we wskazaniu najlepszego zespołu superbohaterów i najlepszego sposobu na pokonanie czarnego charakteru.
Do tego, między innymi, celu moglibyśmy skorzystać na przykład z platformy Protégé, czyli opracowanego na Uniwersytecie Stanforda oprogramowania. Chociaż jest ono przeznaczone do analizy danych biomedycznych, z uwagi na to, że jest to darmowa architektura i edytor ontologii z otwartym kodem źródłowym, można je wykorzystywać do tworzenia inteligentnych systemów do zarządzania wiedzą z każdej dziedziny.
Ontologie a uczenie maszynowe
Narzędzia do pracy z ontologiami mają wiele wspólnego z algorytmami uczenia maszynowego, ale różni je jeden kluczowy aspekt: modele uczenia maszynowego przewidują, tymczasem narzędzia ontologiczne dedukują.
Modele uczenia maszynowego analizują duże tablice danych i używają ich do przewidywania nowych obiektów. Na przykład model uczenia maszynowego może przeanalizować 100 złośliwych wiadomości e-mail i wytypować ich określone cechy wspólne. Następnie, gdy rozpozna któreś z tych cech w nowej wiadomości e-mail, zdecyduje, że jest ona szkodliwa.
Ontologia jest również obecna w analizie danych, jednak zamiast prognozować, wskazuje na informacje, które logicznie wynikają z dostarczonych parametrów. Nie uczy się ani nie czerpie wniosków płynących z wcześniejszych doświadczeń, aby analizować informacje. Jeśli na przykład wykażemy w ontologii, że e-mail A jest phishingowy i że wszystkie takie wiadomości są szkodliwe, a następnie stwierdzimy, że e-mail B jest phishingowy, ontologia wywnioskuje, że również jest on szkodliwy. Jeśli będziemy chcieli przeanalizować e-mail C, ale nie dostarczymy żadnych cech, ontologia nie wyda żadnego werdyktu.
Ontologie i uczenie maszynowe mogą się wzajemnie uzupełniać. Na przykład ontologie mogą optymalizować i przyspieszać działanie modeli uczenia maszynowego. Znacznie ułatwiają one proces modelowania modeli szkoleniowych poprzez symulację logicznego rozumowania i możliwość automatycznego klasyfikowania i łączenia informacji. A za pomocą oszczędzających czas aksjomatów ontologicznych — reguł, które opisują relacje między pojęciami — można zawęzić macierz danych wejściowych dla modelu uczenia maszynowego, przyspieszając jego zdolność do znalezienia odpowiedzi.
Inne zastosowania ontologii w cyberbezpieczeństwie
Ontologie mogą również pomóc w identyfikacji ukrytych możliwości lub słabych punktów. Na przykład z ich pomocą możemy przeanalizować poziom ochrony infrastruktury firmy przed określonym zagrożeniem cybernetycznym, takim jak ransomware. Aby to zrobić, należy utworzyć ontologię potencjalnych środków zabezpieczających przed ransomware i zastosować ją do listy istniejących środków bezpieczeństwa w organizacji.
W tym przypadku ontologia powie, czy infrastruktura jest chroniona, czy wymaga dopracowania. Tej samej metody można użyć do określenia, czy system bezpieczeństwa IT spełnia wymagania IEC, NIST lub innych standardów. Chociaż można to zrobić ręcznie, zajęłoby to znacznie więcej czasu i byłoby droższe.
Ontologie ułatwiają również życie specjalistom od bezpieczeństwa IT, umożliwiając im komunikowanie się ze sobą w tym samym języku. Korzystanie z ontologii może poprawić cyberbezpieczeństwo, pomagając specjalistom w zakresie problemów i ataków, z którymi mają do czynienia inni, co skutkuje lepszymi środkami zabezpieczającymi. Tego rodzaju informacje są również przydatne podczas tworzenia architektury bezpieczeństwa informacji od podstaw, gdyż zapewniają systematyczny przegląd luk w zabezpieczeniach, ataków i ich powiązań.
Chociaż koncepcja ta może wydawać się skomplikowana i abstrakcyjna, z ontologii korzystamy prawie codziennie. Na przykład jeśli chodzi o wyszukiwanie informacji w internecie, ontologie stanowią podstawę wyszukiwania semantycznego, dzięki czemu otrzymujemy odpowiedzi na ogólny kontekst zapytania, a nie znaczenie każdego pojedynczego słowa. Takie podejście znacząco zwiększa jakość wyników wyszukiwania. Podobne technologie wykorzystuje Pinterest, sieć społecznościowa służąca do udostępniania obrazów, która używa ontologii do analizowania działań i reakcji użytkowników, a następnie wykorzystuje te dane do optymalizacji rekomendacji i reklam ukierunkowanych.
To tylko kilka pomysłów, w jaki sposób korzystanie z ontologii może ulepszyć wiele aspektów biznesu i cybertechnologii. W firmie Kaspersky interesujemy się perspektywami ontologii nie tylko w obszarze cyberbezpieczeństwa, ale także w szerszym kontekście, gdzie ontologia stwarza ogromne możliwości dla biznesu.