Kunstmatige intelligentie heeft ook binnen cybersecurity zijn intrede gedaan. Alleen is AI populairder bij de criminelen dan vele organisaties, vertelt Eric van Sommeren, Regional Director voor Noord-Europa van SentinelOne. Daar moet verandering in komen. ‘AI in cybersecurity zet de doorgewinterde securityspecialist in zijn kracht. De traditioneel ingestelde IT-organisaties zetten met AI juist grote stappen in hun digitale weerbaarheid.’
Cybercriminaliteit is aan de orde van de dag: zeker door de razendsnelle adoptie van digitale werkplekken en de opkomst van IoT worden organisaties steeds kwetsbaarder: ‘Werkplekken zijn getransformeerd, terwijl de digitale beschermingsmechanismen nog steeds uitgaan van een veilige kantooromgeving. Cybercriminelen maken dankbaar gebruik van deze nieuwe kwetsbaarheden’, vertelt Eric van Sommeren.
Kunstmatige intelligentie in de verkeerde handen
Hoe kunnen virussen zo snel verschijnen en continu veranderen? Het antwoord: kunstmatige intelligentie. ‘Georganiseerde cybercriminelen maken gebruik van AI, waardoor virussen zich supersnel ontwikkelen. Er zijn helaas weinig organisaties die erin slagen om snel genoeg mee te innoveren. Zeker organisaties die nog vertrouwen op traditionele antivirusprogramma’s lopen achter de feiten aan. Vertrouwen op voorkennis van specifieke dreigingen is niet meer van deze tijd.’
Het beeld dat Eric van Sommeren schetst klinkt somber, maar ook hier kunnen we vuur met vuur bestrijden. Kunstmatige intelligentie in cybersecurity brengt gedrag van gebruikers en devices binnen en buiten het netwerk continu in kaart om verdachte activiteiten te signaleren en kwetsbaarheden zo snel mogelijk op te lossen. Deels gebeurt dat geautomatiseerd, deels handmatig: dat hangt af van de kennis binnen de organisatie.
Traditionele organisaties versus specialisten
Grofweg onderscheidt Van Sommeren twee groepen die kunnen profiteren van AI: enerzijds de traditionelen, bij wie cybersecurity nog in de kinderschoenen staat. Anderzijds de vooruitstrevende organisaties met genoeg kennis en een security operations center (SOC). Alleen: waar de eerste groep AI zonder al te veel specialistische kennis gebruikt om slim te automatiseren, wordt in de tweede groep AI óók gebruikt door securityprofessionals om slimme beslissingen te laten nemen.
‘Organisaties met traditionele IT-teams vinden we bijvoorbeeld in de lokale overheid, zorg en educatie. Ze lopen niet per se voor in innovatie en dat komt niet in de laatste plaats door de beperkte budgetten, mensen en expertise. Ze hebben wel het idee dat ze meer moeten met cybersecurity, maar denken al snel dat ze niet aan de slag kunnen met kunstmatige intelligentie. Zulke geavanceerde technologie is niet voor hen weggelegd, is het idee.’
Een duidelijke behoefte bij traditionele organisaties
Maar AI levert voor deze doelgroep júíst veel op. Enerzijds omdat het direct betere bescherming biedt en anderzijds omdat AI ook zonder al te veel specialistische kennis ingezet kan worden. ‘Het is juist deze groep die helaas vaak als slachtoffer in het nieuws komt. Het gaat vaak mis door beperkt wachtwoordbeheer, onvoldoende back-ups en kritieke onderdelen die niet worden afgezonderd in de infrastructuur, waardoor bijvoorbeeld ransomware zich snel kan verspreiden.’
‘De combinatie van AI en automatisering levert veel op voor deze doelgroep omdat ze juist met minder expertise en mankracht toch goed beschermd zijn. Neem ransomware: een geavanceerde dreiging, maar tegen te houden met AI. Ransomware is namelijk zeer voorspelbaar in gedrag, waardoor met de juiste middelen ransomware op tijd kan worden gesignaleerd en gestopt. AI in cybersecurity is juist laagdrempelig en het is voor deze organisaties dus niet nodig om een specialist in te huren.’
AI en SOC’s: een gouden combinatie
De vooruitstrevende organisaties met hun SOC’s hebben vaak een andere uitdaging: daar komt te veel data binnen, waardoor veel ruis ontstaat. Een menselijke specialist moet de meldingen ontrafelen om te bepalen of die serieus genomen moeten worden of niet. ‘Daar is vaak urenlang handmatig onderzoek voor nodig, terwijl het kritieke pad tussen het moment van detectie en de oplossing zo kort mogelijk gehouden moet worden.’
Het is niet zo gek dat de SOC’s nu juist te veel data binnenkrijgen om te verwerken. Alles werd in werking gesteld om de cybercriminelen voor te zijn. ‘De traditionele aanpak van securityteams in het zoeken naar een naald in de hooiberg is het vergroten van de hooiberg, dus meer tools en meer data binnenhalen en dus meer mensen nodig hebben om te bepalen of de activiteit verdacht is of niet. Dat is alleen geen houdbare oplossing.’
Dweilen met de kraan open
‘In het Engels zeggen ze: they’re drinking from the firehose. Dat is niet te doen. Ze lopen continu achter de feiten aan. Daarom is het verloop in de markt ook groot. Maar met kunstmatige intelligentie worden ze meer in hun kracht gezet, doordat ze geholpen worden bij het in kaart brengen van een verdachte activiteit en hulpmiddelen aangereikt krijgen om vervolgens een dreiging te lijf te gaan.’
Het is dus zeker niet zo dat securityprofessionals volledig worden vervangen door robots. In tegendeel: ‘Securityspecialisten zijn moeilijk te vinden en te behouden, maar door ze vooral strategisch in te zetten en complexere zaken te laten oplossen, hoeven ze niet te dweilen met de kraan open. En: mocht een nieuw virus op het nieuws komen, dan kunnen ze binnen luttele seconden bepalen of hun werkgever risico loopt of niet.’
AI in cybersecurity
Kunstmatige intelligentie in cybersecurity is dus een vloek én een zegen. Maar als het bewustzijn eenmaal groeit dat AI niet alleen de professionals ondersteunt, maar juist ook laagdrempelig is, levert het de inzichten die nodig zijn om de slechteriken eruit te vissen en het bedrijf veilig te houden. ‘Het is vooral triest als weer een organisatie in het nieuws komt vanwege een ransomware-aanval: het is simpelweg niet nodig om hiervoor kwetsbaar te zijn.’