Artificial Intelligence (AI) dringt steeds meer door in de cyberwereld. Het kan ervoor zorgen dat systemen en bedrijfsomgevingen veiliger worden. Tegelijkertijd weten ook hackers kunstmatige intelligentie in te zetten. Wat speelt er momenteel rond AI op cybervlak? In hoeverre tilt het het cybergevecht naar een hoger niveau?
AI is op zich geen nieuwe technologie in de securitywereld, maar wordt wel steeds meer in de marketingboodschappen van beveiligingsbedrijven gebruikt. Dit vanwege het feit dat er steeds meer data verzameld wordt, iets wat nodig is om sterke modellen en algoritmes te ontwikkelen. De technieken zijn veel sterker dan pakweg tien jaar geleden.
AI analyseert en detecteert malware
Als we kijken naar waar de progressie toe geleid heeft voor het veiliger maken van bedrijven, dan zien we een aantal zaken een prominente rol innemen. Een van de mogelijkheden van AI is dat de technologie in staat is allerlei soorten aanvallen waar te nemen. Zo kunnen algoritmes abnormaal gedrag en gebeurtenissen vinden. De algoritmes analyseren hiervoor gegevens uit verschillende bronnen. Denk aan data uit netwerken, endpoints en cloudverkeer.
Security-producten zijn vandaag de dag dan ook in staat om bekende dreigingen te vinden. Daarvoor gebruiken ze de traditionele werkwijze van detectie op basis van signatures. Bij deze detectievorm wordt gezocht naar bekende patronen en voetafdrukken van malware. Een security-product heeft een database met daarin de signatures.
Met de slimmer wordende cyberaanvallen is het echter ook zo dat detectie met behulp van signatures niet altijd werkt. Nieuwe of versleutelde malware is met deze techniek lastig te vinden. In dat geval kan artificial intelligence uitkomst bieden. De algoritmes kunnen onbekende dreigingen vinden door er proactief naar te zoeken. Hierbij kijken ze bijvoorbeeld naar gedrag: zijn bepaalde activiteiten normaal of wijst het op malware? Het algoritme vergelijkt de gedragingen dus eigenlijk met de instructies die het heeft meegekregen.
De algoritmes hebben een lerend vermogen om snellere en betere detectie te bewerkstelligen. Zo moet AI security dus naar een hoger niveau tillen.
Minder tijd en automatisering
Door AI op deze manier in te zetten, is het mogelijk om sneller dan voorheen complexe cyberaanvallen te detecteren. Als de algoritmes bijvoorbeeld actief zijn in een bedrijfsomgeving waar een poging plaatsvindt, dan kan het binnen korte tijd de kwade activiteiten stoppen. Voorheen kon in dit geval de cyberaanval veel langer actief zijn in de omgeving, waardoor meer schade aan te richten is. De AI kan bij het blokkeren ook bepalen of het de aanval volledig zelfstandig stopt of dat het de dreiging (deels) doorzet naar een security-expert. Het verlicht zo op papier ook het werk van die security-expert.
Bij deze ontwikkeling wordt ook vaak gesproken over security-automation. Het wil zeggen dat security-stappen automatisch uitgevoerd worden. Dat kan dus voor de detectie van cyberaanvallen zijn, maar ook voor het onderzoeken en herstellen van een aanval. Systemen met automation-features kunnen dat zelfstandig realiseren (autonomous security) of met hulp van menselijke security-experts. De systemen nemen de malware waar, waarna ze die beoordelen en prioriteren. Naar verwachtingen zal security-automation uiteindelijk binnen nog veel meer bedrijven een rol gaan spelen en daarmee uitgroeien tot een grotere markt.
Geavanceerde cyberaanvallen door AI
De verdedigingslinie wordt dus sterker dankzij AI, maar daartegenover staat dat hackers ook op de nieuwe kansen inspelen. Zij weten hun technieken te verfijnen met behulp van kunstmatige intelligentie. Door AI aan malware toe te voegen wordt de schadelijke software efficiënter. Denk aan spam en phishing persoonlijker maken, waardoor de berichten er geloofwaardiger uitzien en slachtoffers eerder klikken. Maar het is ook mogelijk dat hackers AI inzetten om malware van de radar van security-systemen af te houden. Het kan betekenen dat een hackaanval zichzelf aanpast met een nieuwe encryptiesleutel of code. De algoritmes zijn dusdanig slim dat ze in staat zijn om van de radar af te blijven.
Recent waren we op een event van Thales, waar CTO Bernhard Quendt inging op de ontwikkelingen aan de cybercrime-kant. Hij deelde met ons ook andere voorbeelden van AI-gebruik. De Thales-CTO ziet betrouwbaarheid en beschikbaarheid als belangrijke zaken om rekening mee te houden. In de praktijk kan dat betekenen dat een deurbewakingssysteem op gezichtsherkenning vertrouwt. Deze gezichtsherkenning gebruikt een AI-model dat een cybercrimineel aan kan vallen met reverse engineering-technieken, waardoor hij kan aanpassen wie er toegang heeft. Zo is het mogelijk om fysiek toegang te krijgen tot kritieke plaatsen. De cybercrimineel kan zelfs het AI-model stelen en het aan de concurrent verkopen, om erachter te komen wie toegang heeft tot kritieke infrastructuur.
Tip: Thales is klaar voor disruptie met quantum en AI
Een andere mogelijkheid die de CTO van Thales ziet, heeft met beschikbaarheid te maken. “Als je autonome systeem vertrouwt op complexe AI in de cloud, dan lanceert de cybercrimineel een denial of service-aanval op de dienst in de cloud. Bijvoorbeeld als je een verkeersautomatiseringssysteem in de cloud hebt, laten ze een DoS-aanval op de AI los en is het hele systeem geblokkeerd”, aldus Quendt.
Beide kampen steeds slimmer
Uiteindelijk kunnen we concluderen dat AI in cybersecurity een prominentere rol speelt dan tien jaar geleden. Er is veel progressie geboekt, waardoor analyse en detectie sneller verloopt. Automatisering zorgt ervoor dat security-professionals geholpen worden. Tegelijkertijd moeten zij vrezen voor de manieren waarop cybercriminelen kunstmatige intelligentie inzetten. Zij weten hun aanvallen geavanceerder te maken. Daarmee heeft het cybergevecht een volgende fase bereikt.
2 uur geleden
