Voorkomen is beter dan genezen, luidt het bekende spreekwoord. Tijdens cybersecuritybijeenkomsten de afgelopen tien jaar leek dit steeds minder het streven van leveranciers. Steeds meer investeringen gingen richting detectie en respons, preventie werd min of meer een bijkomstigheid. AI kan hier weer verandering in aanbrengen, betoogt Roger Sels van BlackBerry.
We spreken Sels, VP Solutions EMEA bij BlackBerry, in eerste instantie in het kader van de aankomende verkiezingen. De initiële reden voor het gesprek is dat we willen weten hoe hij aankijkt tegen cyberdreigingen rondom het stemmen, al zal het gesprek uiteindelijk op iets totaal anders uitkomen. We stemmen hier vanuit beveiligingsoogpunt weliswaar met potlood en papier, er komen ergens in de keten uiteraard wel systemen in beeld die gegevens verwerken. Daar zit dan ook een potentieel risico. Manipulatie van die systemen is mogelijk als kwaadwillenden toegang ertoe krijgen.
Of dit ook heel realistisch is, is uiteraard de vraag. Er zijn genoeg andere manieren om zonder in te breken op deze systemen stemmen een bepaalde richting op te duwen, zo hebben we in het verleden al gezien. Denk hierbij bijvoorbeeld aan het Facebook/Cambridge Analytica-schandaal.
Op zich is de cyberdreiging tijdens het verkiezingsproces dan ook niet enorm groot, is Sels van mening. Manipuleren van stemgedrag kan op andere manieren, bijvoorbeeld via nepnieuws. “Het risico in Nederland op het manipuleren van het daadwerkelijke stemmen is relatief klein, omdat je niet op afstand digitaal kunt stemmen”, geeft hij aan. Dit betekent niet dat het niet kan, wel dat het heel onwaarschijnlijk is.
OSV2020 volledig geïsoleerd
De systemen waarmee zaken zoals de verkiezingsuitslag en de zetelverdeling worden berekend en bepaald, zijn dus wellicht niet het eerste doelwit van actoren die de verkiezingsuitslag willen manipuleren. Toch is het goed om rekening te houden met een van de onderscheidende kenmerken van deze systemen. Een van de voorwaarden voor gebruik van de OSV2020-U-software is namelijk dat de systemen waar het op draait niet verbonden zijn met een ander netwerk. Op de site van de Kiesraad staat dit expliciet vermeld. Via deze link kun je overigens ook bij het rapport dat Hackdefense heeft geschreven over de beveiliging van deze ondersteunende software.
Geen netwerkconnectiviteit heeft specifieke gevolgen voor de security van systemen. Op het eerste gezicht lijkt dit natuurlijk alleen maar goed. Immers, veel dreigingen komen via het wereldwijde web binnen. De andere kant op geldt echter ook dat systemen nu niet automatisch nieuwe signatures en dergelijke binnen kunnen halen. Krijgt iemand toegang tot een systeem, dan is het van buitenaf niet zichtbaar wat er gebeurt en kan het ook geen eventuele patches of nieuwe signatures downloaden. De Kiesraad geeft weliswaar als duidelijk advies dat de gemeenten die OSV2020 gebruiken moeten ervoor zorgen dat ze het inrichten “zonder fysieke of logisch toegang voor onbevoegden tot de server”, dit betekent niet dat het onmogelijk is. Het zal voor een belangrijk deel draaien – zoals zo vaak – om het uitsluiten van menselijke fouten.
AI voor preventie cyberaanvallen
Systemen zoals die gemeenten inzetten voor het verwerken van stemmen en het berekenen van zetels, zijn wat Sels betreft een goed voorbeeld van omgevingen waarin AI zijn meerwaarde kan bewijzen als het gaat om preventie van cyberaanvallen. Dat is niet geheel toevallig ook een speerpunt van de strategie van BlackBerry. Enkele jaren geleden heeft het bedrijf Cylance overgenomen, de grootste overname in de geschiedenis van het bedrijf (1,4 miljard dollar). Dat was toen al een marktleider op het gebied van AI-driven security. In de jaren erna heeft BlackBerry dit doorgezet. “Als je inzoomt op AI voor cybersecurity, dan halen we tegenwoordig 100+ patenten per jaar”, stelt Sels. Er zijn volgens hem maar weinig andere partijen die dit kunnen claimen. Inmiddels is er met BlackBerry Cyber een volledig AI-driven security-oplossing voor endpoints beschikbaar, waar de Cylance AI engine onderdeel van uitmaakt.
Het grote voordeel van de inzet van AI voor cybersecurity-doeleinden is dat je geen gebruikmaakt van signatures. Met signatures loop je eigenlijk altijd achter de feiten aan. Een dreiging moet immers eerst gedetecteerd zijn alvorens er een signature voor gemaakt kan worden. Dat zorgt ervoor dat je de signatures van je security-oplossing vaak moet updaten en aanvullen. Daarvoor heb je doorgaans dus ook een netwerkverbinding nodig. Die netwerkverbinding is echter juist weer een belangrijke aanvalsroute voor de dreigingen die je juist wilt afhouden.
Een AI-gedreven oplossing kan – mits goed getraind uiteraard – volledig zelfstandig opereren. Je hoeft hem niet te voeden met nieuwe signatures en hij heeft zelfs geen netwerkverbinding nodig. Hij werkt op basis van statische analyses van applicaties en bestanden. Dat wil zeggen, hij analyseert de features ervan nog voordat een applicatie of bestand uitgevoerd wordt. Per applicatie bekijkt hij tot 1,6 miljoen features en neemt ook de context mee. Op basis van de uitkomsten van die analyse bepaalt hij of iets malware is of niet.
Van detectie naar preventie nieuwe stijl
Je zou kunnen zeggen dat het met behulp van AI mogelijk is om weer voorbij detectie en respons te kijken, richting preventie, als we zo eens naar Sels luisteren. Dat wil zeggen, bestanden en applicaties die niet door de analyse komen kun je niet uitvoeren. De security-oplossing heeft ze als malware aangemerkt. Bij wat meer traditionele security-oplossingen vindt de detectie in het gunstigste geval pas plaats op het moment dat ze actief worden. Dan is het eigenlijk al te laat, ook al kun je de erop volgende respons natuurlijk tot in detail inrichten en er alsnog redelijk adequaat op reageren.
Let wel, AI-gedreven endpoint-security is nog altijd geen preventie zoals we dat kennen van firewalls. Het is nog altijd mogelijk om malware op systemen te krijgen. Het preventiestuk zit hem in het voorkomen dat malware ook daadwerkelijk actief wordt. Zo bekeken is deze nieuwe manier van detectie dus eigenlijk het nieuwe preventie. “Waarom zou je detecteren zonder preventie, als dat mogelijk is”, vat Sels het samen.
Ter illustratie van de kracht van het platform dat gebruikmaakt van de Cylance AI Engine, haalt Sels tot slot nog Wannacry aan. Deze ransomware-aanval vond plaats in mei 2017. Om de voorspellende kwaliteiten van de AI in het platform te testen, heeft men gekeken vanaf welke versie/welk jaar het Wannacry detecteerde. Dat bleek al vanaf 2015 het geval te zijn, geeft Sels aan.
Autonome security
Zo zijn we in ons gesprek met Sels en in dit artikel van de verkiezingen uiteindelijk aanbeland bij AI-gedreven endpoint security in het algemeen. Een wat merkwaardige route om te bewandelen wellicht, maar de link ertussen is wel degelijk interessant wat ons betreft. Een volledig autonoom opererend security-platform op basis van AI kan zelfs volledig geïsoleerde omgevingen effectief beschermen, mocht dit nodig zijn. Belangrijker nog is dat de AI-gedreven benadering ervoor zorgt dat we weer meer richting preventie kunnen denken. Want voorkomen is nog altijd beter dan genezen. Het zou prettig zijn als we daar weer naar terug kunnen.
De grote vraag is wat de criminelen/kwaadwillenden met AI doen, om dit te omzeilen. Met andere woorden, lopen we echt geen stap meer achter op die actoren? Doorgaans zorgt een innovatie zoals deze voor een tijdelijk gelijk speelveld. Na enige tijd komt ‘de andere kant’ weer met iets nieuws, waar de securitymarkt dan weer iets op moeten verzinnen. Ook cybercriminelen automatiseren en hebben steeds meer bandbreedte beschikbaar (onder andere door de komst van 5G) om bijvoorbeeld grote datalekken snel uit te kunnen buiten. Is AI-gedreven security anders? Komen cybercriminelen die zelf ook AI inzetten weer een stap voor te liggen? We gaan het in de gaten houden, maar het is alvast een goed teken dat het platform van BlackBerry al in 2015 de Wannacry-malware uit 2017 kon herkennen voor wat het was, ook al bestond die malware toen nog niet eens.
Tip: BlackBerry wil groeiend aantal endpoints van bedrijven beveiligen
13 uur geleden
