6min

Cybersecurity moet slimmer worden. AI speelt hierin een belangrijke rol. Bij Darktrace pakken ze deze uitdaging op geheel eigen wijze aan, horen we van het bedrijf. Hoe precies? Dat lees je in dit artikel.

De quote in de titel geeft al aardig aan hoe Darktrace in de wedstrijd zit. Het beschouwt zichzelf als een speler die cybersecurity benadert vanuit een totaal ander perspectief dan andere bedrijven in dit segment. Vandaar ook de claim van SVP Cyber Innovation Pieter Jansen dat Darktrace geen concurrentie heeft. Wij houden altijd wel van dat soort uitspraken, mits de feiten ze ondersteunen uiteraard. Daar lijkt het wel op. We komen hier verderop in het artikel op terug.

Pieter Jansen kennen we al geruime tijd. Hij was namelijk de oprichter (in 2015) en CEO van Cybersprint. Dat bedrijf specialiseerde zich in Attack Surface Management. Het is sinds vorig jaar onderdeel van Darktrace. Daar maakt het onderdeel uit van het Prevent-aanbod van het bedrijf. Daarnaast heeft Darktrace ook nog Detect, Respond en Heal. Met andere woorden, het heeft voor alle stadia van een aanval iets te bieden.

AI-bedrijf met sterke focus op security

Darktrace is dus duidelijk een cybersecuritybedrijf. Eerst en vooral is het echter ook een AI-bedrijf. Het is een AI-bedrijf met een sterke focus op security, geeft Jansen dan ook aan. Dat klinkt ons in de oren als een marketinguitspraak. Wat Jansen er echter mee wil zeggen is dat AI aan de basis staat van het hele bedrijf. Als de oprichters het in 2013 hadden gewild, dan hadden ze er ook een ander soort bedrijf omheen kunnen bouwen, bij wijze van spreken. Vandaar ook dat hij het regelmatig aanduidt als Cyber AI, oftewel AI die geschikt is voor cybersecuritydoeleinden.

Dit onderscheid lijkt wellicht onbelangrijk. Dat is het echter zeker niet, geeft Jansen aan. Het is eerder fundamenteel. Hij trekt een vergelijking met hoe de meeste andere cybersecurityspelers AI inzetten. Die spelers komen namelijk vanuit cybersecurity de AI-wereld binnen. “Vaak zijn deze er in de afgelopen vijf jaar mee begonnen en vaak komen ze uit een specifieke wereld”, vervolgt hij. Als voorbeeld van zo’n wereld kun je denken aan netwerksecurity, maar zo zijn er nog talloze cybersecuritydeelgebieden waar specialisten in zijn die op den duur ook AI zijn gaan inzetten.

Darktrace komt niet uit een specifieke hoek van de securitymarkt, omdat dit simpelweg niet de volgorde is waarin dat bedrijf opereert. Self-learning AI komt eerst, daarna komt de specifieke toepassing. 

Omdenken: van aanvallers naar organisaties als vertrekpunt

Darktrace was al heel vroeg bezig met self-learning AI, geeft Jansen aan. Veel eerder dan securityspelers die op dit moment goede sier maken met hun AI-mogelijkheden. Dat niet alleen, Darktrace heeft – mede door de andere insteek – voor een andere manier gekozen om organisaties te beschermen. Je kunt zeggen dat er sprake is van omdenken. Want waar veel andere securityspelers de aanvallen en aanvallers centraal stellen, kijkt Darktrace juist naar de organisatie.

Stel je de organisatie – en niet de aanvallen en aanvallers – centraal, dan kun je deze veel fijnmaziger beschermen. Dat is althans het idee hierachter. Met behulp van de modellen van Darktrace is het mogelijk om per organisatie een baseline te genereren van wat het voor die organisatie betekent om veilig te zijn. Deze baseline wordt real time bijgewerkt op basis van veranderingen in de business. Op basis van analyses en bescherming tegen bestaande aanvallen kun je dit niet zo eenvoudig bereiken. Sowieso beschermen die tools organisaties doorgaans vooral tegen bekende en bestaande aanvallen, of nieuwe aanvallen die sterk lijken op bestaande aanvallen. Dat is niet genoeg om echt goed beveiligd te zijn.

Het gaat bij wat Darktrace doet dus om het vaststellen van een baseline, oftewel het identificeren van normale verkeerspatronen. Afwijkingen in die normale patronen vallen meteen op, waarna er (al dan niet geautomatiseerd) iets aan gedaan kan worden. Het gaat hier overigens niet om een enkele baseline per organisatie, het kunnen er wel duizenden per organisatie zijn. Niet iedereen heeft dezelfde privileges en werkt op dezelfde afdeling, dus er is geen enkele reden om aan te nemen dat de verkeerspatronen voor verschillende medewerkers hetzelfde zijn.  

Geschikt voor alle organisaties

Het is ons inmiddels duidelijk dat Darktrace de zaken behoorlijk wat anders aanpakt dan het gros van de securitymarkt. Het enige verhaal dat we recent hebben gehoord dat er enigszins op lijkt is dat van Extrahop. Dat bedrijf heeft het ook over het vaststellen van normale patronen binnen organisaties. Dat is echter wel alleen gericht op het netwerk, oftewel NDR. Dat is ook waar het voor Darktrace is begonnen trouwens, maar het is inmiddels ook sterk en succesvol met deze benadering op het gebied van emailsecurity, horen we van Jansen. Op deze twee gebieden krijgen ze de hoogste  peer reviews bij Gartner.

Darktrace is in principe eenvoudig in te passen in de securitystack van een organisatie. Dat wil zeggen, in principe kan het bij alle organisaties meerwaarde bieden, “van organisaties die niets hebben staan tot organisaties die al heel veel hebben staan”, volgens Jansen. Dat het zowel in greenfield als in brownfield goed uit te voeten kan, heeft volgens hem te maken met de verschillen tussen de basisfunctionaliteit en de geavanceerde functionaliteit. Als je nog niets hebt staan, dan pak je het hele platform van Darktrace. Heb je al heel veel securitytooling staan, dan kan Darktrace altijd nog net dat beetje dieper gaan om het geheel nog beter te beveiligen.

Extra beschermingslaag tegen gerichte aanvallen

Op dit punt dringt de vraag zich op of het Darktrace dan te doen is om bestaande tooling te vervangen, of om daar juist nog een extra laag aan toe te voegen. Volgens Jansen is het toch vooral dat laatste: “We zijn juist heel erg relevant voor defense in depth, niet zozeer als vervanging.” Met andere woorden, Darktrace is heel erg goed in het voorkomen/detecteren van zeer gespecialiseerde aanvallen, juist vanwege die vele baselines die het heeft binnen organisaties. Jansen haalt Microsoft aan als voorbeeld. De tools van dat bedrijf zijn goed voor de basissecurity, maar Darktrace is veel beter in zaken zoals microresponse. Jansen wijst in dit opzicht ook nog op een blog uit 2021 waarin Microsoft expliciet aanraadt om Darktrace af te nemen. Zelf heeft Darktrace ook een uitgebreide webpagina gemaakt over de samenwerking tussen de twee partijen.

“Er zijn bedrijven die over elke organisatie een beetje weten, maar wij weten alles over jouw organisatie”, vat Jansen de meerwaarde van Darktrace voor organisaties samen. Dat klinkt wellicht wat beangstigend, maar zo is het niet bedoeld. Het feit dat de modellen van Darktrace alles over een organisatie weten, zorgt er juist voor dat het mogelijk is om die gespecialiseerde aanvallen af te slaan. Vandaar ook de quote uit de titel over het ontbreken van concurrentie voor Darktrace. Toch geeft Jansen hiermee ook duidelijk aan dat de meerwaarde van Darktrace vooral de extra beschermingslaag is, vooral tegen gerichte aanvallen.

Een ‘unieke’ positie hebben in een markt is aan de ene kant natuurlijk mooi en zonder meer heel erg knap. Zeker in de securitymarkt, waar er inmiddels zo’n 3500 leveranciers zijn. Het zorgt er echter ook voor dat het soms lastig is om Darktrace te plaatsen in die markt. In dat opzicht is het voor Darktrace goed dat Gartner inmiddels is begonnen met het kijken naar een Cyber AI-categorie. Dat helpt al behoorlijk. De (positieve) peer reviews die daar worden geplaatst doen het natuurlijk ook erg goed. Tot slot zijn de partnerships die Darktrace heeft met alle grote spelers in de markt een goede manier om onder de aandacht te komen. Het bedrijf werkt ook samen met integrators en MSP’s van wie velen Darktrace inmiddels als integraal onderdeel van hun stack hebben opgenomen, horen we van Jansen.

Al met al speelt Darktrace het best slim op deze manier. Het lukt met deze benadering om ondanks een niet alledaags verhaal toch op de radar van potentiële klanten te komen en te blijven, nog los van de noodzaak van wat Darktrace kan toevoegen aan de gelaagde securitybenadering die tegenwoordig essentieel is.

Lees ook: Cybersecurity in 2023: is het vijf voor of vijf over twaalf?