Binnen cybersecurity is snelheid de belangrijkste factor: dreigingen moeten zo snel mogelijk worden afgewend of bij voorkeur natuurlijk worden voorkomen. Daarbij telt iedere seconde. Nieuwe ontwikkelingen in kunstmatige intelligentie bieden daarin veel waarde: ze helpen securityprofessionals sneller en effectiever te werken. Maar AI brengt ook zijn eigen securityrisico’s met zich mee.
Nieuwe mogelijkheden én risico’s
Wereldwijd vinden wekelijks zo’n 1.636 cyberaanvallen per organisatie plaats, meldde Check Point Research in juli dit jaar. Vooral organisaties in de zorg, het onderwijs en overheidsdiensten blijken gewilde doelwitten, maar ook de maakindustrie krijgt vaak met aanvallen te maken. 29 procent van alle publiekelijk bekende ransomware-slachtoffers zit in die branche.
Om dergelijke uitdagingen het hoofd te bieden, is goede cybersecurity van groot belang. AI speelt daar sinds jaar en dag een belangrijke rol in. Denk aan machine learning-systemen die afwijkend gedrag detecteren, opties om encryptieprocessen te verbeteren en de mogelijkheid om trends op securitygebied te analyseren.
Ondanks die tools is security tijdrovend werk. Een incident onderzoeken of triage plegen, neemt al snel uren in beslag, weet Adriana Corona, productdirecteur voor AI/ML bij beveiligingsbedrijf SentinelOne. Niet gek dus dat 67 procent van de 4500 security-alerts die dagelijks worden gegenereerd, niet worden onderzocht. Maar nu AI snel grote stappen maakt, wordt hier veel winst in behaald.
Phishing, triage en prioritisering
Een goed voorbeeld is Chained Detections van SentinelOne. Bij deze aanpak wordt niet alleen afwijkend gedrag gedetecteerd, maar wordt er ook automatisch context toegevoegd en triage – oftewel, risicobeoordeling – uitgevoerd. Op basis daarvan kan een menselijke security-werknemer snel zien wat er aan de hand is en hoe ernstig dat is, zodat kan worden besloten of en welke actie moet worden ondernomen. AI zou in theorie zelfs advies kunnen geven over welke stappen moeten worden gezet om de dreiging af te wenden.
Ook wordt er gewerkt aan systemen die menselijke fouten onderscheppen, die vaak aan de basis van een security-incident liggen. Iemand klikt per ongeluk op een phishinglink, configureert een cloudsysteem verkeerd of iemand trapt in een babbeltruc van een cybercrimineel. ‘Nieuwe AI-technieken kunnen je helpen om je daartegen te beschermen’, aldus Corona. ‘Die technieken kunnen bijvoorbeeld detecteren waar je over e-mailt of wat voor afbeeldingen je verstuurt. Op die manier kun je zaken onderscheppen voor dat er een fout wordt gemaakt.’
Verder kan AI tegenwoordig helpen om de volgorde te bepalen waarin patches worden geïnstalleerd. Het kan voor professionals immers lastig zijn om te bepalen welke van de talloze patches die dagelijks verschijnen, moeten worden geïnstalleerd, of dat ook zonder verdere problemen kan en welke dan als eerste moet. AI kan zien welke systemen iemand heeft, of daar updates voor zijn en wat potentiële aanvalsroutes zijn. Op basis daarvan kan prioriteit worden gegeven aan de patches.
Generatieve AI
In november 2022 maakte AI plots een enorme stap: generatieve AI, of genAI, werd voor iedereen inzetbaar. Eerst via ChatGPT, inmiddels via vele systemen. Dat kan ook in security vele mogelijkheden bieden, zegt Corona. ‘Mensen vergeten weleens dat securityprofessionals ook andere dingen doen, zoals communiceren met collega’s. Veel van hun tijd gaat zitten in het opstellen van rapporten over hun onderzoeken of het delen van kennis met iemand die actie moet ondernemen.’
Maar vaak is er sprake van een kenniskloof tussen security en de rest van de business, wat onderlinge communicatie lastig kan maken. ‘Ik denk dat tools als GenAI heel goed zijn om dat op te pakken. Die tools kunnen informatie op zo’n manier genereren en synthetiseren dat het ook begrijpelijk is voor mensen die geen diepgaande securitykennis hebben.’ Bovendien wordt zo opnieuw tijd bespaard: rapporten hoeven niet meer handmatig worden opgesteld.
AI zorgt voor eigen risico’s
AI en security blijkt echter een tweesnijdend zwaard. Hoewel het securityprofessionals kan helpen om hun werk beter uit te voeren, zorgt het ook voor nieuwe security-uitdagingen. Niet alleen moeten AI-modellen en -systemen zelf veilig worden gemaakt, maar Corona ziet vooral onbedoelde datalekken als risico.
Makers van taalmodellen als ChatGPT gebruiken de input van gebruikers bijvoorbeeld om het model verder te trainen. De data wordt dus opgenomen in het systeem en kan mogelijk omhoog komen als een ander daarom vraagt. ‘Iemand kan met goede bedoelingen private bedrijfsinformatie delen om daar een rapport van te maken, waarna die data publiek domein worden. Dat kun je niet meer terugdraaien.’
Link magazine oktober/november 2024. Thema: Data delen in de keten, cybersecurity en beveiliging. Vraag exemplaar op: mireille.vanginkel@linkmagazine.nl
Het gebruik van generatieve AI verbieden, ziet Corona echter niet als oplossing. ‘Als een werknemer genoeg motivatie heeft, gebruikt diegene het wel op zijn eigen apparaten. Ik denk dat het onmogelijk is om de groeiende adoptie van dit soort tools tegen te houden. Dus je moet een manier vinden om ermee om te gaan.’ Bijvoorbeeld door zelf een systeem aan te bevelen waarvan duidelijk is dat data altijd in-house blijft en niet wordt ingezet voor verdere training van het model.
Daarnaast geldt dat criminelen weten dat voor AI data nodig is – zonder data kan een AI-model immers niets. Het komt daardoor vaak voor dat criminelen dergelijke modellen aanvallen, in de hoop data te kunnen stelen. AI is dus ook zelf een doelwit geworden van cybercrime.
AI en security: hoe doe je het goed?
Hoe ga je als bedrijf dan veilig om met AI en security? Allereerst blijft het belangrijk om security-basisprincipes te hanteren. Denk aan de inzet van tweestapsverificatie, zorgen dat werknemers op de hoogte zijn van phishing- en social engineering-risico’s, en dat netwerken, systemen en ook AI-tools – zelfs als die voor securitydoeleinden worden ingezet – constant worden gemonitord, zodat dreigingen snel worden gedetecteerd en afgeslagen.
Beveiligingsbedrijven als IBM raden verder aan om risicomanagementpraktijken in te zetten om gevoelige data die in AI-processen worden gebruikt, goed te beschermen. Verder wordt geadviseerd om AI-processen zo transparant mogelijk te maken door algoritmes en databronnen te documenteren, zodat altijd duidelijk is wat waar gebeurt en waarom.
Logischerwijs is een belangrijk advies ook om AI-beveiligingstools in te zetten om de security binnen een bedrijf zo optimaal mogelijk te maken. Het maakt beveiligingssystemen effectiever, laat securityprofessionals sneller werken en kan bijdragen aan goede communicatie tussen de security-werknemers en de rest van de business.
AI om cybercrime te verslaan?
Hoe goed AI-systemen ook worden, het is belangrijk om wel te blijven realiseren dat het waarschijnlijk niet genoeg is om cybercriminelen gegarandeerd buiten de deur te houden. Waar cybersecurity zijn tools verbeterd, doet cybercrime dat ook. Het blijft een kat-en-muisspel. ‘Ik denk niet dat er ooit een dag komt waarop die uitdaging niet meer bestaat’, beaamt Corona. ‘Beide kanten blijven altijd alles gebruiken dat ze kunnen om meer te bewerkstelligen. Maar ik denk wel dat we de criminelen een stap voor kunnen blijven, door te zorgen dat we AI-tools veilig gebruiken.’
