De impact van AI op autonome cybersecurity

Insight: SentinelOne

Lachende persoon met een baard in een donkerblauw jasje en een lichtgekleurd overhemd tegen een effen achtergrond.
De impact van AI op autonome cybersecurity

De opkomst van autonome voertuigen en vliegtuigen lijkt een lange tijd een science fiction te zijn geweest, maar vandaag de dag worden deze technologieën steeds meer werkelijkheid. De discussie over de veiligheid en efficiëntie van deze autonome systemen strekt zich uit tot de wereld van cybersecurity. Net zoals autonome voertuigen en vliegtuigen de weg en lucht veiliger en efficiënter maken, kan kunstmatige intelligentie (AI) ook de manier waarop we security beheren drastisch veranderen.

Er kunnen veel parallellen worden getrokken tussen autonome voertuigen en wat men het Autonomous Security Operations Center (ASOC) zou kunnen noemen. Hoewel dit nog ver weg is, duikt deze blog dieper in op de belangrijkste kenmerken die van het ASOC een realiteit zouden kunnen maken en wat dit zou kunnen betekenen voor het versnellen van autonome cybersecurity, gebaseerd op de niveaus van autonome voertuigen (niveau 0-5).

De overgang van autonome voertuigen naar autonome SOC’s

In traditioneel vervoer is het gebruikelijk om één bestuurder voor één voertuig en één piloot voor één vliegtuig te zien. Hetzelfde geldt voor cybersecurity: één analist beheert één onderzoek of incident, net zoals een bestuurder een voertuig bestuurt of een piloot een vliegtuig. Met de opkomst van AI-technologie kunnen we echter een verschuiving verwachten waarbij één cybersecurity-analist meerdere incidenten tegelijkertijd beheert, vergelijkbaar met hoe één piloot meerdere vliegtuigen kan monitoren. De weg naar volledige automation in cybersecurity doorloopt, net als bij autonoom rijden, een aantal niveaus:

Niveaus van autonomie in cybersecurity

  • Niveau 0: geen automatisering

Op niveau 0 zijn menselijke analisten volledig verantwoordelijk voor alle security. Dit omvat het identificeren, analyseren en reageren op dreigingen zonder enige ondersteuning van geautomatiseerde systemen. Basis-cybersecurity – zoals firewalls en antivirussoftware – bieden enige bescherming, maar vereisen continu menselijke monitoring en aanpassing van regels. Dit niveau kan leiden tot problemen, zoals een overschot aan losse tools, een tekort aan gespecialiseerde vaardigheden en een groeiend aanvalsoppervlak.

  • Niveau 1: assistentie voor analisten

Bij niveau 1 zien we enkele geautomatiseerde tools die analisten ondersteunen. Technologieën zoals security orchestration, automation, and response (SOAR) en hyper-automatisering kunnen routinematige taken automatiseren, zoals patchbeheer en het prioriteren van waarschuwingen. Analisten moeten echter nog steeds toezicht houden op deze processen en ingrijpen tijdens uitzonderlijke of complexe situaties. De integratie van SOAR-tools kan de efficiëntie verbeteren met automatische uitvoer van voorspelbare taken, maar de menselijke betrokkenheid blijft van groot belang.

  • Niveau 2: gedeeltelijke automatisering

Niveau 2 vertegenwoordigt een verdere stap in automatisering. Hier kunnen security-systemen meerdere taken automatisch uitvoeren, zoals het correleren van waarschuwingen en het verzamelen van contextuele informatie. AI-systemen kunnen aanbevelingen doen voor reacties en zelfs enkele incidenten automatisch afhandelen op basis van vooraf gedefinieerde criteria. Analisten stellen regels en workflows in en monitoren de acties van het systeem. Hoewel er grote voordelen zijn op het gebied van efficiëntie en snelheid, blijft menselijke controle noodzakelijk om voor de juiste afhandeling van niet-standaard situaties te zorgen.

  • Niveau 3: voorwaardelijke automatisering

Op niveau 3 kunnen systemen een groot deel van de securityfuncties zelfstandig uitvoeren onder specifieke omstandigheden. AI-gestuurde platforms zijn in staat om dreigingen te analyseren en te reageren op basis van historische gegevens en vooraf getrainde modellen. Dit niveau van automatisering biedt de mogelijkheid voor het systeem om volledig zelfstandig te functioneren voor routinetaken, maar complexe of onbekende dreigingen kunnen nog steeds worden doorgegeven aan menselijke analisten via een request to intervene (RTI). Deze hybride aanpak biedt een balans tussen automatisering en menselijke betrokkenheid, voor betere efficiëntie zonder afbreuk te doen aan de mogelijkheid om in te grijpen bij onbekende situaties.

  • Niveau 4: hoge automatisering

Niveau 4 is een stap verder, waarbij systemen het volledige threat management – inclusief detectie, analyse, respons en herstel – volledig autonoom kunnen afhandelen. Deze systemen werken het beste in omgevingen waar de verschillende soorten dreigingen goed bekend en duidelijk gedefinieerd zijn. Hoewel de systemen voornamelijk zelfstandig werken, blijft er – indien nodig – ruimte voor menselijke interventie. Dit niveau van automatisering vermindert de noodzaak voor voortdurende menselijke betrokkenheid aanzienlijk, maar analisten kunnen – in complexe situaties – handmatig ingrijpen als dat nodig is.

  • Niveau 5: volledige automatisering

Niveau 5 vertegenwoordigt de ultieme vorm van automatisering. Hier kan het systeem alle aspecten van security-beheer – van threat management tot respons en herstel – volledig zelfstandig uitvoeren, zonder enige menselijke input. Het systeem gebruikt de nieuwste AI-technologieën en -technieken, waaronder quantum computing, om complexe security-analyses en threat modeling uit te voeren. Dit niveau biedt een volledig autonome aanpak waarbij het systeem in real-time kan reageren op en leren van nieuwe dreigingen, actief kan optreden om schade te voorkomen en kan herstellen van incidenten zonder menselijke tussenkomst.

Conclusie

De vooruitgang in AI biedt veelbelovende mogelijkheden voor de toekomst van cybersecurity. AI kan de snelheid en efficiëntie verhogen, evenals de hoeveelheid gegevens die kan worden verwerkt en geanalyseerd. Maar zelfs met de meest geavanceerde AI-systemen zal het juiste niveau van autonomie afhangen van de specifieke behoeften en doelen van een organisatie. Het is belangrijk voor organisaties om goed te evalueren welk niveau van automatisering het beste past bij hun situatie en doelstellingen.

AI heeft het potentieel om de manier waarop we security beheren te transformeren door autonome systemen te introduceren die snel, efficiënt en effectief functioneren. Naarmate we verdergaan met het ontwikkelen van autonome cybersecurity-systemen, worden de voordelen van AI steeds beter zichtbaar. In de toekomst kunnen cybersecurity-analisten zich minder bezighouden met routinematige operationele taken en zich meer richten op strategische planning en onderzoek. Dit verbetert niet alleen de efficiëntie, maar draagt ook bij aan een degelijke en meer responsieve security-infrastructuur. Maar hoewel AI aanzienlijke voordelen biedt, blijft menselijke expertise noodzakelijk voor strategische besluitvorming en het beheren van uitzonderlijke situaties.

Dit is een ingezonden bijdrage van SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.