4min

Kunstmatige intelligentie gaat security op de schop nemen. CEO Rohit Ghai stelt tijdens RSA Conference dat het nodig wordt om AI steeds meer verantwoordelijkheid te geven over het beveiligen van digitale omgevingen. Dit met name omdat IT-security anders door diezelfde technologie om zeep geholpen kan worden.

Op de jaarlijkse RSA-conferentie is te altijd horen over de laatste ontwikkelingen rondom cybersecurity, maar deze keer verwacht het securitybedrijf een grote transformatie van de industrie. Hoewel er elk jaar nieuwe linies getrokken worden in de strijd tegen cybercrime, is de functie van de zogeheten identity-tech hetzelfde gebleven. Toch legt Ghai aan de hand van drie technologie-golfen uit hoe security-engineers hun taak hebben zien veranderen.

De securitysector maakte allereerst de internetgolf mee, waarbij connectiviteit vanzelfsprekend centraal stond. Vervolgens doorliepen we de mobile cloud-golf: het belang van ‘convenience’ werd uitvergroot. Gebruikers moeten tegenwoordig op allerlei apparaten en vanuit allerlei locaties toegang hebben tot de applicaties die een organisatie definiëren. De toenemende digitalisering heeft deze verandering in een stroomversnelling gebracht. Ten slotte: de AI-golf, die momenteel aan de kust verschijnt.

Veel petjes

Als securitybedrijf is het van groot belang om in te spelen op de veranderende wereld van cyber-omgevingen. We zien dit door de grote verscheidenheid aan AI-toepassingen. Palo Alto Networks-country manager Mark van Leeuwen lichtte eind 2022 al de waarde van kunstmatige intelligentie en machine learning uit. Concreet betekent de juiste toepassing van AI volgens hem dat het Security Operations Center (SOC) efficiënter en met minder man in staat is een organisatie van security te voorzien. Hoe kijkt RSA hier tegenaan?

RSA draagt veel petjes. Voor diens conferentie rept het over het landschap van cyberaanvallen in 2022, licht het de waarde van AI uit voor diens producten en haalt het de banden aan met overheidsinstanties. Het is dus geen adviesorgaan of non-profit, waarbij men vanuit neutrale positie kan oordelen over de beste securitymaatstaven. Echter is het een reëel punt dat AI voor verandering bij identity-technologie gaat zorgen, waardoor bedrijven als RSA paraat moeten zijn om organisaties te beschermen.

Volgens Rohit Ghai betekent het dat er een paradigmaverandering op komst is. Multi-factor authentication (MFA) bleek in 2022 op allerlei manieren kwetsbaar te zijn voor hacks. Deze benadering is uiteindelijk vrij eenvoudig: een systeem stelt zichzelf bij elke toegangspoging de vraag: moet ik hier toegang verlenen? Achterhaald, aldus Ghai. In plaats daarvan moet deze ja/nee-vraagstelling plaats maken voor een ‘ja, want…’ of een ‘nee, niet nu’. Kortom, securitysystemen moeten op een dynamische wijze toegang verlenen. Waarom niet mensen aan de knoppen in plaats van moeilijk te doorgronden AI-algoritmes?

‘Good AI’

Het is niet verrassend te noemen dat cybercrime zijn vingers aflikt bij het concept van AI. De toepassingen zijn breed en kunnen aardig innovatief zijn. Zo kunnen phishing-mails overtuigender klinken dankzij de hulp van ChatGPT of zal een stuk malware met AI sneller kunnen achterhalen hoe een bedrijfsnetwerk in elkaar zit. Het is eerder een kwestie hoe creatief criminelen zijn dan wat hun tools in theorie kunnen, omdat de mogelijkheden van AI moeilijk te overzien zijn. Zeker omdat de technologie zich met rasse schreden ontwikkelt.

Ghai toont met een simpel voorbeeld aan waarom een SOC het monitoren van aanvallen op identity-tech niet aankan. Het kost een organisatie gemiddeld namelijk 277 dagen om een datalek te dichten: wie op Nieuwjaarsdag aangevallen is, heeft op 4 oktober de zaken weer enigszins op orde. Hierin ziet RSA dus een gat dat opgevuld kan worden door AI.

Cybercriminelen aan de ene kant, securitymedewerkers van een organisatie aan de andere. Beide groepen zullen in de toekomst steeds meer gebruikmaken van AI. Het is volgens Ghai de taak van de legitieme engineers om ‘Good AI’ te ontwikkelen, die ‘Bad AI’ bestrijdt. Om dit te bewerkstelligen, zou kunstmatige intelligentie meer moeten zijn dan een ‘copilot’. Dit refereert aan de assistent-functie die AI momenteel toegeschreven krijgt in allerlei applicaties. Denk aan het helpen bij het in elkaar zetten van computercode of de inzet van chatbots om met creatieve inbreng te komen voor schrijfwerk. Ghai denkt dat de mens zich op dit gebied echter geleidelijk terug zal trekken. RSA en andere securitybedrijven hebben er belang aan dat AI zich zal blijven inzetten voor beschermende doeleinden.

Wat nu?

Een belangrijke vraag blijft: wat doen we in het hier en nu? We bevinden ons op een ontwikkelingscurve van AI, maar we weten niet waar we ons op die curve bevinden. Die onzekerheid voedt initiatieven als het willen inperken van AI-ontwikkeling tot er wereldwijde wetgeving is rondom deze kwestie. De realiteit is dat dergelijke ontwikkelingen in de geschiedenis zich zelden laten remmen. Wie profijt kan halen uit verdere innovatie, zal er alles aan doen om deze voortgang te versnellen.

Toch heeft het strijdtoneel zich nog niet geheel richting AI verplaatst. De meeste succesvolle cyber-aanvallen zijn het resultaat van menselijke fouten. Securitykwetsbaarheden die over het hoofd zijn gezien waar criminelen gebruik van maken, of de ‘social engineering’ die het foppen van een medewerker per e-mail definieert. Gebruikelijke securitymethodes zoals MFA zijn een prominent doelwit. Daarom stelt RSA dat MFA slechts een goede eerste lijn ter verdediging is, dat ondersteund wordt door sterkere methodes waar nodig. Het bedrijf heeft het over een ‘identity lifecycle’, waarbij de gebieden tussen identity-oplossingen kwetsbaar zijn. Hoewel security-experts er wereldwijd mee bezig zijn om elk mogelijk lek te dichten, blijven fouten menselijk. Zie hier de kans voor AI om zich te ontplooien.

Ter conclusie: RSA heeft een blik op de toekomst geworpen en gezien dat AI voor een paradigmaverandering gaat zorgen. Daar waar het internet en de cloud om connectiviteit en gebruikersgemak vroegen, staat security bij de AI-golf centraal. Het is hierbij zaak om cybercriminelen de pas af te snijden door kunstmatige intelligentie keuzes te laten maken over wie toegang tot een systeem krijgt, maar vooral: waarom (niet) en wanneer (niet)?

Lees ook: AI brengt cybersecurity vooruit, maar biedt ook hackers volop kansen