Binnen de securitywereld is er veel te doen over de impact van artificial intelligence. Maar wat doet AI aan de kant van de aanvallers? En hoe wordt het ingezet binnen securityproducten die bedrijven veiliger moeten maken? Is het ook mogelijk om de AI die binnen organisaties wordt gebruikt, te beveiligen? Daar zullen we de komende tijd op Techzine aandacht aan besteden.
Elke vraag behandelen we in een afzonderlijk artikel, waarin experts uit het veld aan het woord komen. Zij namen aan het begin van deze Cybersecurity Awareness Month deel aan een rondetafelgesprek. De deelnemers zijn: André Noordam van SentinelOne, Patrick de Jong van Palo Alto Networks, Daan Huybregts van Zscaler, Joost van Drenth van NetApp, Edwin Weijdema van Veeam, Pieter Molen van Trend Micro, Danlin Ou van Synology, Daniël Jansen van Tesorion en Younes Loumite van NinjaOne. In dit tweede artikel aandacht voor de rol van AI binnen securityoplossingen.
Lees ook ons eerste verhaal binnen de AI in/en cybersecurity-reeks, dat een nauwkeurig beeld geeft over de staat van aanvallen.
Snel door data ploeteren
Theoretisch maakt AI binnen securitytools steeds meer mogelijk. Al jaren is het een integraal onderdeel van tooling, bijvoorbeeld om automatisch kwaadaardige stappen binnen het netwerk te detecteren. Nu wordt daarin meer mogelijk, ziet Huybregts van Zscaler. AI wordt steeds meer een laag van de cyberdefense, waarbij het toegepaste model zo goed is als de data die je het voedt. Met een grotere hoeveelheid data ter beschikking kunnen de modellen beter getraind worden, wat leidt tot sterkere uitkomsten. Huybregts benadrukt dat Security Operations Centers (SOC’s) momenteel veel data te verwerken krijgen. “Ze kijken naar een zee van data, op zoek naar de speld in de hooiberg”, merkt Huybregts op. Voor het correleren van deze data en het bieden van waardevolle inzichten is AI cruciaal.
De verbeteringen in AI-modellering zullen ook nieuwe discussies op gang brengen. Hoe capabel zal AI worden in het analyseren van data? Kan dit het SOC aanzienlijk efficiënter maken? Vanuit de SOC-expertise van Tesorion heeft Jansen daar zicht op. Naast het correleren van data middels AI ziet hij ook detectiemodellen die anomalieën in perspectief plaatsen. In de nabije toekomst verwacht Jansen dat tier 1-analisten minder cruciaal worden. “De focus zal meer liggen op incidentrespons en de meldingen die echt onderzocht moeten worden, de verdachte situaties”, voorziet Jansen. In het SOC is dan meer behoefte aan engineering- en data science-vaardigheden, om modellen goed uit te kunnen leggen. Het begrijpen van de modellen is nodig om ze te benutten voor risicobeheer.
Cyberverdediging naar nieuwe hoogten
Met de capabele modellen gaat cybersecurity in de volle breedte naar een hoger niveau. De rondetafeldeelnemers zijn het daarover eens, maar de verbeterslag zal per werkveld verschillen. Zo benadrukt Loumite van NinjaOne dat AI helpt bij endpoint-beveiliging door beter inzicht te geven in de beschermde apparaten. In gesprekken met managed service providers ziet hij nu vaak een kloof tussen wat organisaties denken te beschermen en wat daadwerkelijk beschermd is. Dit komt door onvolledige inventarisaties, vooral met de in omloop zijnde BYOD-apparaten. Apparaten waar geen zicht op is, lopen het risico onbeschermd te blijven. “Het is cruciaal de kloof te dichten. AI kan helpen op weg naar betere zichtbaarheid en dekking van alle apparaten”, aldus Loumite.
Molen van Trend Micro haakt aan op wat AI echt kan betekenen voor een verhoogde securitystaat. Hij ziet nu een sterke toepassing in het gebruiken van data om in te schatten hoe makkelijk bepaalde aanvalspaden te exploiteren zijn, om daarop te acteren met preventieve maatregelen. “Het gaat om het voorblijven van de aanvaller en het proactief versterken van je systemen”, legt Molen uit.
Door de patronen in eerdere aanvallen te herkennen, kunnen organisaties dan ook grotere schade voorkomen. Denk alleen al aan het elimineren van een toegangspoort die misbruikt had kunnen worden voor ransomware. Of het eventueel snel handelen bij een beginnende aanval – dat kan een groot verschil maken in de schadeomvang. Het kan soms weken duren om een aanval te onderzoeken en op te lossen. En de kosten lopen daarbij afhankelijk van de organisatieomvang op in de tonnen tot miljoenen. Van Drenth van NetApp ziet in preventie- en reactietijd verminderen dan ook een mooie impuls. “Het is moeilijk om nee te zeggen op iets dat binnen enkele minuten schade kan beperken”, stelt Van Drenth.
De opkomst van het security-platform
Een integrale securitybenadering wordt steeds belangrijker. Juist ook in combinatie met het beoordelen van de invloed van AI. Alle oplossingen gaan steeds meer samenwerken, waardoor de datapool alleen maar groter wordt. AI zal dan niet alles oplossen – het is geen silver bullet – maar een ecosysteem is wel cruciaal om het juist in te zetten, voorziet Weijdema van Veeam. “Daarom integreren we oplossingen met leveranciers als Palo Alto Networks en NetApp, zodat de backup-data meer context geeft en schonere resultaten oplevert”, legt hij uit. De doorsnee gebruiker wil niet een AI-expert worden, maar verwacht wel resultaten. Daarvoor zijn duidelijke inzichten nodig zonder al te diep in de technologie te hoeven duiken.
De securityindustrie kijkt bij het omarmen van AI dus veel naar hoe het via samenwerking bedrijven echt kan ondersteunen. Niet zomaar AI omarmen om mee te gaan met de tijd, maar een use case bedenken. Als dit leidt tot een sterkere verdedigingslinie, is dat alleen maar een mooie bijvangst. De Jong van Palo Alto Networks ziet hierin een sterke voorkeur ontstaan voor best-of-breed– het gebruiken van de beste oplossing in een bepaalde situatie – in combinatie met een platformbenadering. “Ze willen rijke data die overal verzameld kan worden, terwijl het open blijft voor andere tooling”, zegt De Jong. Bedrijven geven daarbij duidelijk aan dat ze geen additionele tool willen om AI aan te pakken, maar juist dat artificial intelligence geïntegreerd is in hun bestaande systemen en gebruikmaakt van de beschikbare data.
Noordam van SentinelOne voegt hieraan toe dat de trend richting het single pane of glass-concept gaat. “Of het nou SIEM, XDR of een andere tool is – organisaties streven naar één overzicht om data te consolideren en silo’s te vermijden”, aldus Noordam. Minder securityoplossingen, maar meer integratie, is volgens Noordam de toekomst. Alleen dan kunnen aanvallen effectief geïdentificeerd en gestopt worden.
Hoever kan automatisering gaan?
Met een grote hoeveelheid beschikbare data en kundige modellen wordt automatisering een mogelijk volgende grote stap voor veel organisaties. Alleen al door de complexiteit in de hele IT-huishouding van bedrijven is daar veel behoefte aan. Networking, storage, securitytools – alles breidde door de jaren heen fors uit. Hoewel de intentie was om efficiënter en effectiever te werken, wijst de praktijk uit dat het anders uitpakt. Volgens Ou van Synology neemt hierdoor de behoefte aan gecentraliseerde beheersystemen toe. Deze systemen kunnen alle punten in de infrastructuur beter scannen en beveiligen. “AI speelt een cruciale rol in het automatiseren van device discovery”, geeft Ou aan. Dit leidt tot betere zichtbaarheid en een sterkere security posture, vooral in complexe netwerkomgevingen.
De discussie over de mate van automation komt hiermee steeds meer op gang aan tafel. Loumite ziet in navolging van zijn eerdere punt over endpointdetectie mogelijkheden om de boel bij organisaties efficiënter te laten functioneren. Het gaat dan bijvoorbeeld om de vele tools die nu bij organisaties draaien, maar die niet optimaal benut worden voor het beoordelen van het aanvalsoppervlak, het risico en het aanvalspad. “Je zou automation echt moeten omarmen”, aldus Loumite. Hij maakt daarbij wel de kanttekening dat je automation pas door kan voeren bij een bepaald volwassenheidsniveau binnen de organisatie. Je infrastructuur en securityhuishouding moeten er klaar voor zijn.
Plan B
Naast de potentiële winst kun je je ook afvragen hoever we al zijn met automation. En zijn de fouten die automation maakt wel op te vangen? Bij AI zie je in het algemeen dat de technologie niet foutloos is, dat zou je misschien wel moeten accepteren. Weijdema houdt hier een slag om de arm. Hij heeft situaties gezien waarin volledige Active Directory-systemen op slot werden gezet door geautomatiseerde beslissingen. “Als je AI automatisch handelingen laat doen, ontstaan er situaties waarin iedereen buitengesloten wordt omdat het systeem ‘nee’ zegt”, schetst Weijdema. Volledige automatisering zonder menselijke tussenkomst zal wat dat betreft in ieder geval voorlopig dit soort risico’s met zich meebrengen. Toch ziet Weijdema een toekomst waarin AI steeds meer beslissingen autonoom kan nemen, zolang er voldoende vertrouwen is in de data die aan de AI-modellen wordt gevoed.
Ou is het zeker eens met beide kanten van het verhaal. Ze ziet potentie voor automatisering, maar zelfs de beste modellen kunnen falen. Ou pleit dan ook voor een ‘plan B’ om data eventueel te kunnen herstellen. “Wat als er zaken misgaan? Kun je dan de data herstellen?”, vraagt Ou zich af. Ze benadrukt dat immutability en air gap-technieken cruciaal zijn om de veiligheid van data te waarborgen. Zelfs met de meest geavanceerde AI-oplossingen blijven fouten van zowel AI als mensen een risico. Daarom is het in de optiek van Ou essentieel om herstelstrategieën op te zetten om de gevolgen van een aanval te minimaliseren.
Mens blijft belangrijk
Hoe goed AI binnen de securitylaag straks ook zal zijn, het lijkt onwaarschijnlijk dat het volledig autonoom alles zal kunnen beveiligen. Zeker de komende jaren blijft de input van de mens noodzakelijk. Jansen benadrukt dat AI in de praktijk soms tekortschiet bij het herkennen van dreigingen die voor een mens overduidelijk zijn. “AI is erg capabel, maar mist nog skills”, legt hij uit. Hij geeft als voorbeeld een business email compromise-aanval die door AI werd aangezien voor normaal gedrag. De AI bestempelde de actie als legitiem omdat het op de getrainde herkenningspunten een akkoord gaf. Het hield echter geen rekening met additionele factoren die een securityexpert overduidelijk als malafide zou bestempelen.
Het voorbeeld van Jansen is voor Molen een aanwijzing dat AI niet voor 100 procent cybersecuritytools gaat aandrijven. Het is een kwestie van voortdurend zoeken waar artificial intelligence wel en niet toegepast moet worden. “Het gaat ook om kennis, van wat er jaren geleden gebeurde en wat er nu in de wereld gebeurt”, schetst Molen. Er zijn volop kansen om het aanvalsoppervlak te analyseren en in kaart te brengen en te ondersteunen met detectie van malicious activiteiten, maar additionele technologie en een menselijke beoordeling blijven in ieder geval voorlopig noodzakelijk.
Betrouwbaar opsporen en blokkeren
De seinen voor extra AI in tooling staan wat dat betreft gewoon op groen, als het maar nuttig is en dat we ons ervan bewust zijn dat het niet alles kan. De Jong voegt hieraan toe dat de modellen echt betrouwbaar moeten zijn. Volgens hem moeten organisaties erop kunnen vertrouwen dat de beslissingen die AI neemt – bijvoorbeeld het blokkeren of isoleren van verdachte apparaten – juist zijn. “AI moet natuurlijk erg betrouwbaar zijn”, merkt De Jong op. Hoewel er altijd een klein risico bestaat dat AI een fout maakt, zijn dergelijke incidenten volgens hem zeldzaam. Hij voorziet dat in de toekomst AI steeds vaker autonoom beslissingen zal nemen zonder dat menselijke tussenkomst nodig is, vooral wanneer het gaat om het herkennen van afwijkend gedrag in IT-omgevingen.
Wanneer dat allemaal goed geregeld is, staat niets een innovatiegolf in de weg. Van Drenth ziet vanaf dat moment een prominentere rol ontstaan voor data storage als component die verder wordt geïntegreerd met securitytools. “Data storage heeft AI nodig om incidenten te detecteren en te voorkomen”, stelt hij. Door AI toe te passen op meerdere lagen, zoals storage en SOC-systemen, kunnen incidenten sneller worden opgespoord en aangepakt. Van Drenth benadrukt dat de integratie van AI binnen verschillende lagen van de IT-infrastructuur een holistische benadering vereist, waarbij samenwerking tussen teams essentieel is.
Het OT-gat invullen
De hele discussie gaat tot nu toe vooral over wat AI nou precies kan betekenen aan de IT-kant. Toch kun je de discussie over verhoogde beveiliging met AI niet voeren zonder de impact op OT en IoT te behandelen, stipt Huybregts aan. Die convergentie van OT en IT moet wat hem betreft doorgezet worden. “In OT wordt AI steeds belangrijker om besluiten te nemen”, ziet Huybregts. Fabrieken gebruiken bijvoorbeeld laserstralen met IoT-sensoren om AI zelfstandig besluiten te laten nemen. Daar moeten flinke verdedigingsmechanismes omheen gebouwd worden met behulp van AI, zodat de apparaten goed beschermd blijven.
Cybercriminelen zijn zich namelijk bewust van wat ze kunnen aan de OT-kant. Ze voeren dan ook aanvallen uit op dit soort systemen en doen dat in steeds groteren getale. Je wilt de controle niet in handen geven van de hackers. Zij kunnen doen wat ze willen wanneer ze de machines overnemen. “De impact van een fabriek die uitvalt is gigantisch”, zegt Noordam. Wanneer een hacker tot een bepaald apparaat toegang krijgt, kan zelfs een gevaarlijke machine exploderen en daarmee de volledige fabriek vernietigen. In theorie is dat nog veel schadelijker dan een hacker die toegang krijgt tot een gedeelte van het IT-systeem.
Strategisch wapen in security
Al met al is AI een breed krachtig wapen in de strijd tegen de verschillende dreigingen. Het vereist een zorgvuldige implementatie en samenwerking tussen verschillende lagen van de IT-infrastructuur. De technologie moet niet alleen worden gebruikt om dreigingen te detecteren, maar ook om dynamisch te reageren op afwijkend gedrag. Automation biedt kansen, al moet het met de nodige voorzichtigheid worden ingezet om fouten te voorkomen. Organisaties die AI effectief willen benutten, moeten vertrouwen op data van hoge kwaliteit en voorbereid zijn op scenario’s waarin AI niet feilloos functioneert. AI zal in de toekomst steeds meer een integraal onderdeel worden van securityoplossingen. Wel in combinatie met menselijke expertise en herstelstrategieën, om het volledige potentieel te bereiken.
Dit was het tweede verhaal binnen onze AI in/en cybersecurity-reeks. In het volgend artikel gaan we in op AI die organisaties gebruiken veilig maken.