Ik heb in het SOC gezeten tijdens actieve aanvallen. Ik weet hoe het voelt als alerts zich opstapelen en je tegelijkertijd helder moet blijven om de CISO te briefen. Die druk is niet veranderd.
Wat wél is veranderd, is de rekensom.
Vijf jaar geleden hadden de meeste organisaties nog enige speelruimte. Geavanceerde aanvallen waren duur en gerichte campagnes vroegen om serieuze investeringen. Die speelruimte is verdwenen.
Aanvallers hadden altijd al een structureel voordeel in cybersecurity — maar AI heeft dat voordeel verder uitvergroot. Defenders kunnen alleen terrein terugwinnen door AI-systemen in te zetten die zijn geworteld in context en geautomatiseerde respons.
De rekensom valt nu uit in het voordeel van de aanvaller
AI versnelt softwareontwikkeling ingrijpend — en aanvallers benutten dat om kwetsbaarheden sneller te ontdekken en te weaponizen dan ooit tevoren. Het pad van zwakke plek naar actieve exploitatie is korter geworden, en de cijfers laten dat duidelijk zien.
Breakout times kelderen. Aanvallers bewegen lateraal in minder dan een uur — soms al binnen enkele minuten. Execution heeft evasion ingehaald: adversaries kiezen voor snelheid en payload delivery boven stealth. Weaponization is vrijwel instant: threat actors beginnen binnen no-time te scannen op nieuw bekendgemaakte kwetsbaarheden.
Ze hoeven zich niet wekenlang te verbergen als ze hun doel al kunnen bereiken voordat wij de triage hebben afgerond. We hebben nu te maken met menselijke creativiteit op machinesnelheid. Met handmatige playbooks win je die strijd niet.
AI is niet de strategie — de architectuur is dat
Security leaders plakken AI-features op legacy-architectuur, maar dat is niet genoeg. Overleven in het AI-tijdperk vereist een fundamentele verschuiving in hoe analisten, data en automatisering samenwerken.
Vijf principes moeten die verschuiving sturen:
1. Vervang analisten niet — versterk ze
Het narratief dat AI SOC-analisten zou moeten vervangen, is kortzichtig. Zelfs als sommige tools entry-level output kunnen repliceren: wie de instromers wegsnijdt, zaagt de pijplijn door die de experts van morgen voortbrengt.
De echte waarde van AI zit in het vermogen om op rap tempo rijke context te doorgronden en defenders realtime bruikbare inzichten te geven. AI maakt securityteams effectiever door menselijke expertise te versterken, niet door deze te vervangen. AI kan patronen en aanbevelingen naar boven halen, terwijl mensen die valideren, waardoor een samenwerkingsgerichte aanpak ontstaat. Daarvoor is technologie nodig die AI-modellen en experts dezelfde diepe, bruikbare context geeft om complexe problemen op te lossen.
2. Zet oneindige ruis om in bruikbare inzichten
Iedereen in security kent de druk van enorme hoeveelheden logdata. En met strengere eisen rond datasoevereiniteit en dataresidentie is het lang niet altijd praktisch om alle data naar één centrale plek te brengen.
De slimmere aanpak is daarom om de intelligentie naar de data te brengen. AI moet dreigingen kunnen verwerken, correleren en prioriteren op de plek waar de data staat.
3. Sluit het vulnerability window
Als een aanvaller binnen 11 minuten kan toeslaan en jouw reactie 30 minuten duurt, dan weet je al hoe dit verhaal afloopt. We zien al jaren dat de executiefase binnen het MITRE ATT&CK-framework steeds vaker het dominante signaal wordt. Aanvallen vinden sneller plaats en kwaadwillenden zijn steeds meer bereid om geavanceerde technieken in te zetten om snelheid en impact te vergroten. Aanvallers hebben hun kill chains geautomatiseerd, terwijl defenders nog altijd handmatig alerts triëren.
Hanteer daarom een harde norm: voorkom wat te voorkomen is en automatiseer de rest. AI moet eerst fungeren als schild dat aanvallen blokkeert voordat code wordt uitgevoerd. En als dreigingen toch werkelijkheid worden, hebben verdedigingssystemen een zenuwstelsel nodig dat instinctief reageert en automatisch herstelt.
4. Overbrug de kloof tussen tool en vakmanschap
Veel organisaties beschikken over krachtige platforms, maar slechts een handvol experts weet daar echt alles uit te halen. Complexe syntax, lastige querytalen en versnipperde telemetrie creëren kunstmatige barrières.
AI trekt dat recht. Het maakt cybersecurity toegankelijker en stelt veel meer mensen in staat om geavanceerde analyses uit te voeren. Als een junior analist een hypothese in gewone taal kan formuleren en daarop contextuele, nauwkeurige resultaten terugkrijgt, groeit het collectieve verdedigingsvermogen van een organisatie.
5. Het community-effect
De vijfde en laatste verschuiving is filosofisch. Obscurity schaalt niet op machinesnelheid. Community wel.
Diverse perspectieven vormen een wereldwijd early warning system. Een detectieregel geschreven door een onderzoeker in Brazilië kan vijf minuten later een bank in Londen redden.
Maar community alleen is niet genoeg. We moeten die collectieve intelligence koppelen aan de toegankelijkheid van AI. Community biedt breedte, AI biedt diepte. Samen stellen ze ons in staat om op schaal terug te vechten.
De verschuiving operationeel maken
En nu? Zonder proces is filosofie waardeloos. Om echt voordeel te behalen moeten securityleiders zich richten op deze onmiddellijke veranderingen:
- Controleer op repetitief werk: Kijk waar analisten handmatig logs correleren, basisqueries schrijven of tickets samenvatten. Daar hoort AI thuis.
- Zet de lijnen open: Kijk hoe je contact onderhoudt met de bredere securitycommunity. Als je niet actief deelneemt aan ISACs, branchebijeenkomsten en het delen van dreigingsinformatie met vakgenoten, creër je je eigen blinde vlekken.
- Leg AI-ondersteunde workflows vast: Werk playbooks bij zodat duidelijk is wanneer en hoe analisten AI moeten inzetten voor onderzoek. AI is een krachtversterker, geen oplossing voor gebrekkige processen.
- Kies partners, niet alleen leveranciers: Je technologiestack is je verdedigingslinie; vul die niet met black boxes. Zoek partners die open bouwen en AI als een natuurlijk fundament behandelen, niet als betaalde extra.
De tools om deze strijd te winnen bestaan. De community staat klaar. De enige variabele die nog rest: hebben we de discipline om onze processen bij te sturen in het tempo van de dreiging?
Dit is een ingezonden bijdrage van Elastic. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.