Kunstmatige intelligentie (AI) wordt overal omarmd. Bedrijven gebruiken de technologie om processen efficiënter te maken en nieuwe diensten te ontwikkelen. Ook speelt AI een steeds grotere rol in cybersecurity. Securityteams profiteren van de snelheid en nauwkeurigheid waarmee AI dreigingen kan opsporen, maar ook cybercriminelen zien de voordelen. Het resultaat: een digitale wapenwedloop waarin beide kampen proberen elkaar te slim af te zijn.
Een belangrijke ontwikkeling daarin is de opkomst van zogeheten agentic AI. Dat zijn systemen die niet simpelweg commando’s uitvoeren, maar zelfstandig hun omgeving begrijpen, redeneren en beslissingen nemen. Voor verdedigers is dat een uitkomst, want incidenten worden sneller ontdekt en containments efficiënter uitgevoerd. Maar dezelfde technologie stelt cybercriminelen in staat complete aanvalsketens te automatiseren – van het verzamelen van informatie tot het uitvoeren van een overtuigende deepfake-vergadering.
AI beïnvloedt al meerdere facetten van cyberaanvallen. Denk aan geautomatiseerde phishing, malwareontwikkeling, netwerk- en ports scans, dataverzameling via scraping en het creëren van deepfakes. Taken die vroeger tijdrovend en arbeidsintensief waren, worden met AI sneller, slimmer en nauwkeuriger uitgevoerd.
Het dark web als gereedschapskist
Het dark web fungeert daarbij als een gereedschapskist. Tools die oorspronkelijk defensief bedoeld waren of open source beschikbaar zijn, worden op het dark web hergebruikt voor aanvallen. SpiderFoot, een OSINT-tool die organisaties juist moest helpen hun blootstelling in kaart te brengen, is in verkeerde handen een efficiënt wapen. Ook real-time monitoring van sociale netwerken geeft aanvallers waardevolle inzichten in wie binnen een organisatie kwetsbaar of invloedrijk is. En de nieuwste generatie LLM-gestuurde vulnerability scanners, ontwikkeld om zero-days te voorkomen, worden door aanvallers gebruikt om juist deze kwetsbaarheden te vinden.
Deepfakes zijn misschien wel het meest sprekende voorbeeld. In Hongkong werd ruim 200 miljoen Hongkongse dollar buitgemaakt via een online vergadering waarin medewerkers dachten hun leidinggevende te spreken. Waar aanvallers voorheen gebruikmaakten van vooraf opgenomen video’s, zijn er nu live deepfake-tools die realtime een gezicht en stem imiteren – veel flexibeler én gevaarlijker. Het meest zorgwekkend is de opkomst van zogeheten flow-builders; platforms die losse tools combineren tot een naadloze aanvalsketen. Daarmee kan zelfs een minder ervaren aanvaller een geavanceerde campagne opzetten.
Data als doelwit
Toch gebruiken cybercriminelen AI nog niet massaal. Veel groepen volgen de ontwikkelingen met enige scepsis en vertrouwen voorlopig nog op traditionele methodes: phishing, zwakke wachtwoorden en slecht beveiligde netwerken. Zolang organisaties kwetsbaar zijn, is geavanceerde AI simpelweg niet nodig om binnen te komen. Maar de geavanceerdere cybergroepen experimenteren wel degelijk. Groepen als Scattered Spider, die samenwerken met ransomwarecollectieven als BlackCat, laten zien hoe snel adoptie kan gaan zodra de AI-tools betrouwbaar genoeg zijn. Hun gestructureerde playbooks en social engineering-technieken krijgen door AI een extra impuls. Daarbij werken ze volgens een strak businessmodel: ransomware-as-a-service, met winstverdeling tussen ontwikkelaars, affiliates en access brokers. Cybercrime is een industrie en AI maakt die industrie efficiënter.
Daar komt bij dat AI zelf een doelwit wordt. Aanvallen zoals data poisoning – waarbij trainingsdata bewust vervuild worden – of misdirection en evasion attacks, die modellen verkeerde output laten geven, ondermijnen de betrouwbaarheid van AI. Zeker nu AI steeds vaker wordt ingezet voor veiligheid of zelfs medische beslissingen, zijn dit serieuze risico’s. Governance rond AI – welke data gebruik je, hoe houd je toezicht, hoe voorkom je misbruik – is daarmee cruciaal.
De menselijke factor blijft
Aan de verdedigende kant zijn de voordelen onmiskenbaar. Uit onderzoek van IBM blijkt dat organisaties die AI inzetten hun beveiligingskosten met gemiddeld negen procent zagen dalen, vooral doordat incidenten sneller worden ontdekt en ingedamd. AI helpt bij dreigingsanalyse, het automatiseren van incidentrespons, het opsporen van anomalieën en het prioriteren van kwetsbaarheden. Een sprekend voorbeeld is Google’s Big Speed-agent, die zelfstandig een zero-day ontdekte, een mitigatieplan opstelde en controleerde of de patch werkte. Daarmee wordt zichtbaar hoe dicht we bij volledig geautomatiseerde verdediging staan.
De grote vraag voor organisaties is hoeveel risico ze bereid zijn te accepteren in dit nieuwe landschap. De grootste uitdaging zit in governance. Welke data gebruik je om je modellen te trainen? Hoe voorkom je data poisoning? Wie houdt toezicht op de beslissingen die een agent neemt? Zonder duidelijke afspraken en controlemechanismen kan AI de beveiliging juist ondermijnen.
De rol van de securityspecialist verandert hierdoor naar die van AI-auditor en strategisch adviseur. Operationele taken zoals triage en detectie zullen steeds vaker worden geautomatiseerd. Maar governance, strategie en ethische keuzes kun je niet overlaten aan een algoritme. Menselijke intuïtie, context en verantwoordelijkheid blijven onmisbaar in een wereld die steeds meer door machines wordt bepaald.
Meedoen of achterblijven?
De AI-wedloop is in volle gang. Aanvallers zetten AI in om hun businessmodel te versnellen; verdedigers om datzelfde model te stoppen. Het verschil wordt gemaakt door wie de technologie gecontroleerd en doordacht weet toe te passen. Eén ding staat vast: afwachten is geen optie.
Dit is een ingezonden bijdrage van KnowBe4. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.