Open source AI verlaagt de drempel voor cybercriminelen. Beveiligingsteams moeten nadenken over de juiste manier om defensieve AI toe te passen om deze bedreiging tegen te gaan.
In het kielzog van de toenemende bezorgdheid over cybercriminelen die open source AI-tools zoals ChatGPT gebruiken om op grote schaal geavanceerde cyberaanvallen uit te voeren, is het tijd om opnieuw te bekijken hoe we AI defensief kunnen inzetten om deze bedreigingen af te weren.
Tien jaar geleden was cybersecurity een ander spelletje. Tools voor het opsporen van bedreigingen waren doorgaans gebaseerd op “vingerafdrukken”. Ze zochten naar exacte overeenkomsten met eerder uitgevoerde aanvallen. Deze ‘achteruitkijkspiegel-aanpak’ werkte lange tijd, toen de aanvallen minder omvangrijk en over het algemeen redelijk voorspelbaar waren. In de afgelopen tien jaar zijn de aanvallen aan de offensieve kant geavanceerder en veranderlijker geworden. Aan de defensieve kant gaat deze uitdaging gepaard met complexe supply chains, hybride werkpatronen, multicloud-omgevingen en de toename van het gebruik van IoT.
De industrie erkende dat de traditionele manier van het opsporen van bedreigingen de snelheid van deze ontwikkelingen niet konden bijbenen. De noodzaak om altijd en overal aanwezig te zijn stimuleerde de adoptie van AI-technologie om de schaal en complexiteit van het beveiligen van het moderne bedrijf aan te pakken. En in deze tijd waarin de meeste bedrijven ook te maken hebben met een algemeen gebrek aan opgeleid beveiligingspersoneel, is automatisering via AI de enige optie om voortdurende aanvallen af te weren. De AI-verdedigingsmarkt is inmiddels overvol met leveranciers die gegevensanalyse beloven en op zoek gaan naar “fuzzy matches”: mogelijke overeenkomsten met eerder aangetroffen bedreigingen, en uiteindelijk machine learning gebruiken om soortgelijke aanvallen op te vangen.
Hoewel dit een verbetering is ten opzichte van de traditionele aanpak, blijft AI op deze manier reactief. Het kan aanvallen detecteren die sterk lijken op eerdere incidenten, maar is niet in staat om nieuwe aanvalsinfrastructuur en -technieken te stoppen die het systeem nog nooit eerder heeft gezien.
Welke aanpak men ook gebruikt, het systeem wordt nog steeds gevoed met dezelfde historische aanvalsgegevens. Het accepteert dat er een ‘patient zero’, oftewel een eerste slachtoffer moet zijn om te kunnen slagen. Het gebruik van open source AI, zoals ChatGPT, heeft het voor cybercriminelen gemakkelijker gemaakt om nieuwe aanvalsmethoden te ontwikkelen of bestaande methoden te perfectioneren, waardoor de behoefte aan proactieve oplossingen groter is dan ooit. Ik denk zelfs dat we aan de vooravond staan van een golf van nieuwe op AI gebaseerde aanvalsmethoden, en we moeten er klaar voor zijn.
Supervised vs. unsupervised machine learning
Het ‘pre-trainen’ van AI op geobserveerde gegevens wordt ook wel supervised machine learning (ML) genoemd. En er zijn inderdaad slimme toepassingen van deze methode in cybersecurity. Bij onderzoek naar bedreigingen is bijvoorbeeld ML onder toezicht gebruikt om te leren en na te bootsen hoe een menselijke analist onderzoek doet. Denk aan het stellen van vragen, het vormen van hypotheses, het herzien van bevindingen en het trekken van conclusies. Op die manier kan AI het onderzoeken nu autonoom, snel en op grote schaal uitvoeren.
Maar hoe zit het met het vinden van de eerste broodkruimels van een aanval? Hoe zit het met het vinden van het eerste teken dat er iets mis is? Het probleem met supervised machine learning op dit gebied is dat het slechts zo goed is als zijn historische trainingsset – maar niet met dingen die het nog nooit eerder heeft gezien. Hij moet dus voortdurend worden geactualiseerd, en die actualisering moet aan elke klant worden doorgegeven. Deze aanpak vereist ook dat de gegevens van de klant naar een gecentraliseerd data lake in de cloud worden gestuurd, waar ze worden verwerkt en geanalyseerd. Tegen de tijd dat een organisatie informatie ontvangen heeft over een bedreiging, is het vaak al te laat. Bovendien is het weer een actie die de toch al overbelaste beveiligingsteams niet nodig hebben.
Als gevolg daarvan lijden organisaties onder een gebrek aan bescherming op maat, grote aantallen false positives en gemiste detecties, omdat deze aanpak één cruciaal onderdeel mist: de context van de unieke organisatie die zij moet beschermen.
Maar er is hoop voor verdedigers in de oorlog van algoritmen. Duizenden organisaties hanteren tegenwoordig een fundamenteel andere aanpak om zich te verdedigen tegen het hele aanvalsspectrum – inclusief willekeurige en bekende aanvallen, maar ook gerichte en onbekende aanvallen. In plaats van een machine te trainen in hoe een aanval eruit ziet, houdt unsupervised machine learning in dat de AI de organisatie leert kennen. In dit scenario leert de AI zijn omgeving kennen, van binnen en van buiten, tot in de kleinste digitale details, en begrijpt hij wat “normaal” is voor de unieke digitale omgeving waarin hij wordt ingezet om vast te stellen wat niet normaal is. Als bijvoorbeeld een werknemer die geacht wordt op vakantie te zijn, inlogt op de werkomgeving, dan zou dat als verdacht worden beschouwd. De AI zou dan de gebruiker die deze verdachte activiteit uitvoert ‘insluiten’ zonder de continuïteit van het bedrijf te beïnvloeden, totdat het beveiligingsteam kan bepalen of het legitiem is of niet.
Dit is waar unsupervised ML het beste werkt: autonoom detecteren, onderzoeken en reageren op geavanceerde en nooit eerder geziene bedreigingen op basis van een op maat gemaakt inzicht in de organisatie waarop het gericht is.
Deze AI-technologie wordt continu en uitgebreid getest tegen offensieve AI-prototypes bijvoorbeeld in een high tech AI-onderzoekscentrum in Cambridge. Net als bij ChatGPT kunnen deze prototypes hyperrealistische en gecontextualiseerde phishing-e-mails maken en zelfs een geschikte afzender selecteren om de e-mails te vervalsen en af te vuren. De conclusie is duidelijk: nu we de eerste tekenen zien van door AI-ondersteunde aanvallen, weten we zeker dat beveiligingsteams AI nodig zullen hebben om AI te bestrijden.
Unsupervised ML zal van cruciaal belang zijn omdat het on-the-fly leert en een complex, evoluerend begrip opbouwt van elke gebruiker en elk apparaat in de hele organisatie. Met dit overzicht in vogelvlucht van de digitale business, zal unsupervised AI offensieve AI herkennen zodra deze gegevens begint te manipuleren en intelligente microbeslissingen nemen om die activiteit te blokkeren. Offensieve AI kan heel goed worden gebruikt vanwege zijn snelheid, maar dit is iets dat defensieve AI ook zal toevoegen aan de wapenwedloop.
Als het gaat om de oorlog van algoritmen, kan de juiste benadering van ML het verschil zijn tussen een robuuste beveiliging en een ramp.
Dit is een ingezonden bijdrage van Darktrace. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
1 uur geleden
