Het tromgeroffel rondom AI in de wereld van cybersecurity is niet van de lucht de laatste jaren. Ook deze markt wil graag een graantje meepikken van de opkomst en populariteit van AI in het algemeen sinds de brede introductie van GenAI. Maar hoe liggen deze verhoudingen nu precies? En wat is belangrijk om te weten? Wij vroegen het Robert Tom, systems engineer bij Fortinet Nederland.
We waren eerder dit jaar in San Francisco bij de jaarlijkse RSA Conference. Heel moeilijk was het niet om een overkoepelend thema voor de show als geheel aan te wijzen. Dat was onmiskenbaar AI. We lopen inmiddels al een tijdje mee in deze wereld en AI is al heel wat jaartjes een thema binnen deze industrie, maar zo overduidelijk als dit jaar hebben we het nog niet eerder gezien. Alle aanwezige partijen hadden er wel iets over te zeggen: hoe het onderdeel is van de security tooling die organisaties in kunnen zetten, maar ook hoe het gebruikt wordt door aanvallers.
Als je vanuit een wat cynisch perspectief naar bovenstaande ontwikkeling kijkt, kun je zeggen dat al deze aandacht primair een commerciële insteek heeft. AI scoort, dus we vinden er allemaal iets van. Dat zal ongetwijfeld een onderdeel zijn van het verhaal. Het valt echter ook niet te ontkennen dat met name de ontwikkelingen sinds de brede inzet van GenAI wel degelijk veel veranderingen met zich hebben meegebracht voor cybersecurity in het algemeen.
Wat verandert AI aan cybersecurity?
Wat die veranderingen dan precies zijn en welke rollen AI hierin speelt, is echter niet enorm duidelijk. Dat is op zich niet zo vreemd, want de ontwikkeling van AI is erg lastig in te schatten. Zoals Tom het noemt, “de ontwikkeling van AI loopt niet linear”.
Toch is het erg verwarrend als de ene leverancier het heeft over een vloedgolf aan AI-gebaseerde aanvallen die veel slachtoffers maken, terwijl de andere er in het eigen SOC nog vrijwel niets van ziet en vooral wijst op de basishygiëne die nog vaak niet op orde is. Het een sluit het ander natuurlijk niet per se uit, maar verwarrend is het wel als je als organisatie hoogte wilt krijgen van de stand van zaken in de markt.
Tom kijkt op een vrij nuchtere manier naar de invloed van AI op cyberaanvallen: “Hoe weet je wanneer een aanvaller gebruik maakt van AI? Wellicht zijn deepfakes hierbij een uitzondering maar verder is attributie bijna onmogelijk. Als ik AI gebruik om malware te schrijven, hoe weet je dat dat met AI gedaan is?”
Je kunt je verder ook afvragen hoe relevant het is om te weten of AI iets te maken heeft gehad bij de creatie van een cyberaanval. Als AI er vooral voor zorgt dat aanvallers eenvoudiger en sneller malware kunnen schrijven, wil dat nog niets zeggen over de kwaliteit en dus het risico ervan. Je krijgt dan wellicht wel meer aanvallen te verduren, maar die hoeven niet gevaarlijker te zijn dan aanvallen met malware die gewoon door een mens is geschreven. Voor deepfakes geldt dat het detecteren van de inzet van AI juist wel belangrijk is. Zeker nu deze steeds beter en gevaarlijker worden, is het van cruciaal belang dat attributie vastgesteld kan worden.
AI is niet nieuw, ook niet in cybersecurity
GenAI heeft ervoor gezorgd dat het nu vrijwel continu over AI gaat in veel segmenten van de markt, ook cybersecurity. Vaak wordt dan voor het gemak min of meer vergeten dat AI op zichzelf niets nieuws is. Dat punt wil Tom ook maken met betrekking tot cybersecurity: “AI en Cybersecurity zijn al 10+ jaar onlosmakelijk met elkaar verbonden. AI is een parapluterm die te pas en onpas gebruikt wordt sinds de explosie van GenAI en zorgt vooral voor een heleboel verwarring. Zonder een geschiedenisles hiervan te maken is Machine Learning/Neural Networking op grote schaal mogelijk vanaf begin jaren 2010. Dit is ook het adoptiemoment geweest binnen een heleboel cybersecurityoplossingen, zo ook bij Fortinet.”
Wel ziet ook Tom dat de relatief recente introductie van GenAI gezorgd heeft voor een duidelijke verandering in de markt. Veel security-oplossingen worden voorzien van GenAI-mogelijkheden. Dat houdt in dat ze als assistent gaan fungeren van SOC-analisten. Hier stopt het echter niet, verwacht hij: “Iets verder vooruitkijkend verwacht ik dat, waar we nu massaal AI als een “agent/assistent” inzetten, dit langzaam gaat veranderen naar AI die uiteindelijk volledig autonoom kan opereren op basis van doelstellingen.” Dat zal ook wel nodig zijn, verwachten wij in ieder geval, want het zal in de toekomst steeds lastiger worden om alle aanvallen accuraat af te blijven slaan met alleen de inzet van mensen. Daarvoor zijn het er simpelweg te veel.
Waar moeten organisaties op letten als ze AI in willen zetten?
Het is wellicht verleidelijk voor organisaties om nu altijd voor zoveel mogelijk AI in security-oplossingen te kiezen. Tom heeft hier echter zo zijn bedenkingen over. “AI is geen kwaliteitskeurmerk”, stelt hij duidelijk. AI moet nog getraind worden en daar heb je dus data voor nodig.
Volgens Tom is het dan ook belangrijk om allereerst duidelijk te krijgen wat je wilt bereiken met de inzet van AI en de resultaten ervan systematisch te testen en beoordelen. Om dit duidelijk te maken, gebruikt hij de volgende analogie: “Als je uit eten gaat in een restaurant ren je ook niet eerst even de keuken in om te kijken welke oven er gebruikt wordt voordat je gaat eten. Je beoordeelt het resultaat, namelijk wat er uiteindelijk op je bord ligt. Dat is wat telt.”
Verder is het goed om te beseffen dat AI geen magische oplossing voor alles is en heeft, geeft Tom aan. Het is weliswaar erg krachtig maar helpt organisaties niet per definitie om alle problemen op te lossen. “Wij zijn niet kwetsbaar, want wij gebruiken AI” is niet de juiste instelling, volgens hem.
Tot slot licht Tom het gebruik van externe AI-modellen nog uit, bijvoorbeeld de publieke LLM’s die veel van onze lezers ongetwijfeld kennen. “Voor zakelijke toepassingen is het belangrijk goed duidelijk te hebben wat er met jouw data gebeurt”, geeft hij aan. Dat klinkt als een open deur, maar is tamelijk fundamenteel. Een neuraal netwerk achter een LLM leert van data, maar ‘vergeet’ deze data vervolgens nooit meer. “Belangrijk is te snappen dat Neural Networks geen databases zijn waar je wat velden uit kunt wissen”, stelt hij. Eens geleerd, blijft geleerd, is een andere manier om het te omschrijven.
Hoe zet Fortinet AI in?
De laatste jaren lijkt het wel alsof het vooral de jonge securitybedrijven zijn die alle aandacht opeisen als het gaat om AI. Wat oudere bedrijven zoals Fortinet moeten echter ook niet onderschat worden op dit punt. Sterker nog, veel van die bedrijven gebruiken al veel langer AI dan die jongere bedrijven überhaupt bestaan. Dat is ook wat Tom aangeeft. “Fortinet loopt al meer dan tien jaar voorop met innovatie op het gebied van AI en ML”, stelt hij.
Verder wil hij ook duidelijk maken dat “vrijwel elk product van Fortinet, of het nu een firewall, endpoint, cloud of andere oplossing is”, in real time gevoed wordt met de output van AI. Tot slot zet Fortinet AI ook lokaal in, in producten zoals EDR, NDR, Sandboxing, WAF “en nog veel meer”, volgens hem. De Security Fabric mag hierin ook zeker niet worden vergeten. “Het gebruik van AI in de Fortinet Security Fabric is zeer belangrijk en helpt bijvoorbeeld bij het opsporen van ‘zero-day’-bedreigingen en ook bij het herstellen van geavanceerde aanvallen”, geeft hij aan.
Bovenstaande is allemaal ‘oude’ AI. Dat wil zeggen, de AI die we al kenden voordat GenAI gemeengoed werd. Daarmee is het overigens niet inferieur aan of minder belangrijk dan GenAI. De ontwikkelingen blijven ook bij deze vorm van AI zeker doorgaan. Zeker als we binnen cybersecurity richting autonome platformen gaan, zullen de verschillende vormen van AI juist samen moeten doorontwikkelen.
Op het gebied van GenAI heeft Fortinet inmiddels ook al behoorlijk wat stappen gezet, horen we van Tom. Verbetering van gebruiksgemak, snelheid van handelen en het verbeteren van foutgevoeligheid staan hierbij voorop. Dat is op zich niet heel verrassend, want dat is wat GenAI in het algemeen toevoegt, ook bij oplossingen van andere leveranciers. Bij Fortinet tref je het aan in de SIEM- en SOAR-producten, als assistent van de SOC-analist. De schaal van Fortinet, dat inmiddels meer dan 40 AI-gedreven oplossingen heeft, telt Tom ons voor, maakt de impact die GenAI kan hebben op het volledige platform groter dan bij veel andere spelers in de markt.
Is de AI-gedreven toekomst autonoom?
Tot slot kijken we samen met Tom nog even naar de toekomst, van cybersecurity in het algemeen en van Fortinet in het bijzonder. We hebben in dit artikel al een paar keer de term ‘autonoom’ laten vallen. Volledige autonomie in cybersecurity is een deur die AI in potentie namelijk ook opent. Tijdens de conferenties waar wij gedurende het jaar heengaan, is dat ook vaak onderwerp van gesprek.
Tom ziet dit vanzelfsprekend ook: “Aan de ene is het juist het gebruik van AI in cyberaanvallen dat ervoor zorgt dat er geen tijd meer is om handmatig te reageren voordat er al schade is ontstaan. Aan de andere kant is het AI dat ervoor zorgt dat de reactie op de zogeheten “AI augmented attacks” snel en doeltreffend is en schade voorkomt.” Dit is een kat-en-muis-spelletje dat op dit moment al voor een belangrijk deel autonoom gespeeld wordt. Automatisering is volgens hem niet langer optioneel, maar simpelweg noodzakelijk. Dit zal in de toekomst hard gaan toenemen.
Autonomie brengt echter ook een heel belangrijke randvoorwaarde met zich mee. Dit is alleen maar mogelijk als de componenten van organisatie goed met elkaar kunnen integreren. In theorie zou je dit allemaal kunnen (laten) inrichten met de inzet van afzonderlijke oplossingen. De praktijk zal echter uitwijzen dat een solide securityplatform dit eenvoudiger en beter kan. De hele markt is die richting op aan het bewegen. Bij Fortinet is dit de Security Fabric. Dat is in feite het securityplatform van Fortinet. Hiermee wil het omgevingen op een geïntegreerde en geautomatiseerde manier kunnen beschermen, met behulp van zowel GenAI als de AI die het al meer dan tien jaar inzet en doorontwikkelt.
Lees ook: Moderne omgevingen kunnen niet meer zonder security fabric