Thought leaders
AI lost geen gebroken beveiligingsfundamenten
AI verscherpt zichtbaarheid, analyse en besluitvorming, maar de effectiviteit ervan wordt beperkt door de kwaliteit van de onderliggende omgeving
“Gebruikt het AI?” is de standaardvraag geworden in gesprekken over beveiligingsproducten, gesteld door beveiligingsleiders en herhaald in bijna elke vendorpitch.
Het probleem is dat het de verkeerde vraag is. Of een product AI gebruikt, betekent niet dat het de beveiligingspositie van een organisatie zal versterken. AI is geen universele oplossing voor alle beveiligingsproblemen. De waarde ervan hangt af van hoe het wordt toegepast, wat begint met het duidelijk definiëren van het probleem dat u wilt oplossen.
De betere vraag is: “Welke specifieke beveiligingslacune proberen we te dichten, en helpt deze AI-gebaseerde technologie om die lacune daadwerkelijk te dichten?”
Wat AI goed doet
AI levert waarde in beveiliging op drie belangrijke gebieden. Ten eerste vult het gegevenslacunes in. Beveiligingsteams halen gegevens uit tientallen bronnen, waaronder verouderde assetinventarissen, identiteitssystemen die niet alle toegangsrelaties vastleggen, en netwerkgegevens die bepaalde verkeer missen. AI kan context afleiden uit onvolledige datasets om een meer complete afbeelding van assets, identiteiten, connectiviteit en workloadgedrag te creëren.
AI verbetert ook analyse op grote schaal. Het signaal-ruisprobleem in beveiligingsoperaties is ernstig en verslechtert. AI kan gebeurtenissen correleren over meerdere gegevensbronnen, waarschuwingen naar boven brengen die aandacht verdienen en laagwaardig lawaai uit het zicht van de analist verwijderen. Dit is waar de meeste beveiligingsleveranciers hun AI-investeringen hebben gericht. SOC-teams besteden minder tijd aan het triëren van laagwaardige waarschuwingen en meer tijd aan activiteiten die menselijke oordeelsvorming vereisen.
Ten derde, zodra AI gegevens heeft verrijkt en signalen heeft geanalyseerd, kan het actie aansturen door aan te geven welk volgend stap nodig is, zoals welk beleidsverandering risico’s kan mitigeren, welke reactie past bij het gedragspatroon of waar een configuratie moet worden gewijzigd.
AI levert de meeste waarde wanneer het context, analyse en besluitvorming verbetert. Het versterkt sterke beveiligingspraktijken, maar kan geen compensatie bieden voor ontbrekende.
Waarom zwakke fundamenten nog steeds falen
AI wordt beperkt door de invoer die een organisatie het geeft. Deze invoer (bijv. telemetrie, architectuur, beleid, controle en bestaande tools) definieert de grenzen van wat AI kan doen. Verfijn deze invoer, en AI produceert scherpere resultaten. Verzwak ze, en de uitvoer degradeert.
Zonder context om een afwezigheid te identificeren, heeft AI geen manier om erover te rapporteren. Het zal niet van zichzelf een omgeving onderzoeken en aangeven wat ontbreekt. Het zal een beveiligingsteam niet vertellen dat het netwerk onvoldoende segmentatie heeft, dat toegangscontrole te permissief is of dat zichtbaarheidslacunes hele segmenten van de omgeving onbewaakt laten.
AI ontsnapt niet aan het oude principe van gegevenskwaliteit, “vuilnis naar buiten, vuilnis naar binnen”, het versterkt het. Zwakke telemetrie produceert zwakke analyse. Gebrekkige controles geven AI iets om in de verkeerde richting te optimaliseren. Onvolledige zichtbaarheid betekent dat beslissingen worden genomen op basis van een onvolledig beeld, en AI maakt die beslissingen sneller, niet nauwkeuriger. Snelheid is geen verbetering wanneer de onderliggende informatie onbetrouwbaar is.
Daarom is de kwaliteit van het fundament belangrijk voordat enige AI-mogelijkheid in het spel komt. Een sterk fundament omvat identiteit en toegangscontrole die betekenisvolle grenzen afdwingen, minste privilege over gebruikers, workloads, toepassingen, gegevens, microsegmentatie om laterale beweging te beperken en uitgebreide zichtbaarheid/observeerbaarheid over de omgeving. Het vereist ook betrouwbare telemetrie en een duidelijk begrip van hoe systemen met elkaar zijn verbonden en van elkaar afhankelijk zijn.
Niets van dit is nieuw. Dit zijn dezelfde disciplines die beveiligingsteams al jaren bespreken, van de overstap naar mobiel naar de overstap naar de cloud. Wat is veranderd, is de kosten van het negeren ervan. AI kan een sterk beveiligingsfundament versterken, maar kan het niet vervangen.
Agentic AI verandert de risicovergelijking
De verschuiving is niet van geen AI naar AI; het is van AI die assisteert naar AI die handelt. Traditionele AI analyseert gegevens, brengt inzichten naar boven en stelt de volgende stappen voor. Agentic AI voert uit over systemen, gegevens en workflows zonder te wachten op een menselijke beslissing.
Denk hier aan als volgt: het implementeren van 100 AI-agents over een nacht is effectief hetzelfde als het aannemen van 100 nieuwe medewerkers die nooit afmelden, op machinensnelheid werken en toegang hebben tot welke systemen hun machtigingen toestaan. Maar in tegenstelling tot menselijke medewerkers, pauzeren deze agents niet, stellen ze geen vragen en passen ze geen oordeel toe over wanneer die toegang moet worden gebruikt. Ze voeren continu uit, bewegen over systemen en raken meerdere toepassingen aan, precies zoals ze zijn toegestaan.
Dat is de kloof. Uw toegangsmodel gaat uit van menselijk gedrag (bijv. discrete acties, langzamer tempo en enigszins oordeel). AI-agents verwijderen die beperkingen. Dus, als machtigingen te breed (of onnauwkeurig) zijn, worden ze niet alleen ongebruikt gelaten of af en toe misbruikt; ze worden voortdurend uitgeoefend, op grote schaal, over elk systeem dat ze aanraken.
Het risico wordt versterkt wanneer een organisatie een agent hetzelfde toegangsprofiel geeft als een specifieke gebruiker, ze creëren een kloon, geen behulpzame proxy. Die kloon heeft dezelfde brede machtigingen als het origineel, draait continu en kan de organisatie blootstellen aan dezelfde risico’s, of het gedrag nu kwaadaardig is of alleen verkeerd geconfigureerd.
In de tijd van AI zijn identiteit, toegangscontrole, minste privilege, segmentatie en observeerbaarheid geen beste praktijken meer – ze zijn fundamentele beveiligingsvereisten. Een recente Cloud Security Alliance briefing die is ontwikkeld met SANS, het OWASP Gen AI Security Project en een gemeenschap van beoefenaars, versterkt het punt dat agentic AI deze fundamenten niet verouderd maakt. Het maakt ze ononderhandelbaar.
Wat AI-klaar beveiliging eruit ziet
Het behandelen van AI-klaarheid als een aankoopvraag en het focussen op welke AI-gebaseerde tools te implementeren, negeert het feit dat AI-klaarheid een architectuur-, governance- en controlekwestie is. De vraag is niet welke tools te kopen, maar of de omgeving AI veilig zal ondersteunen.
Begin met zichtbaarheid. Voordat u enige AI-mogelijkheid implementeert, hebben beveiligingsteams een duidelijk beeld nodig van wat er in de omgeving bestaat: assets, workloads, identiteiten, toepassingen, gegevens, AI-modellen, agents, en derdepartijverbindingen. Die inventaris is niets wat AI voor u kan opbouwen. Het is het startpunt dat AI nodig heeft om iets nuttigs te doen.
Van daaruit definieert u het probleem. Identificeer de controlekloof of het specifieke risico. Beslis welk resultaat moet worden verbeterd. Vraag dan of AI kan helpen om die kloof beter te dichten dan andere benaderingen. Organisaties die deze volgorde omkeren door te beginnen met een AI-hulpmiddel en vervolgens op zoek te gaan naar een probleem om het toe te passen, genereren vaak activiteit zonder de beveiliging te verbeteren.
Het toepassen van zero-trust-principes op AI-agents is waar dit operationeel wordt. De instinctieve reactie is vaak om te definiëren wat agents niet moeten doen, maar die lijst zal altijd onvolledig zijn. Een betrouwbaardere benadering is om prescriptief te zijn over wat elke agent kan doen, geef het alleen de toegang die een gedefinieerde taak vereist en dwing die limieten af over elke laag van de stack. Segmenteer de systemen die agents kunnen bereiken, zodat als een agent zich buiten zijn gedefinieerde grenzen gedraagt of een aanvaller het misbruikt, de schade beperkt blijft.
Ten slotte is een toename van activiteit geen succesmeting. AI zal de hoeveelheid acties die een beveiligingsteam uitvoert, verhogen, maar dat betekent niet dat het de beveiliging verbetert. Een dashboard dat veel activiteit presenteert, geeft geen signaal dat AI waarde levert.
Meet resultaten, zoals of waarschuwingsvolumes dalen op manieren die echte signalen weerspiegelen en of het risiconiveau sneller daalt in de gebieden die het meest tellen. Zorg ervoor dat beleidsaanbevelingen controles versterken, het beveiligingsteam in staat stellen om incidenten sneller te isoleren en SOC-analisten meer tijd te laten besteden aan werk dat menselijke oordeelsvorming vereist.
Het fundament komt eerst
AI is niet de basis van een sterke beveiligingspositie. Het is een vermenigvuldiger, en zoals elke vermenigvuldiger, hangt de waarde ervan volledig af van wat u het toepast.
Organisaties die een solide architectuur hebben opgebouwd met duidelijke zichtbaarheid, afgedwongen minste privilege, segmentatie en sterke identiteitscontrole, kunnen AI gebruiken om hun context te scherpen, analyse te versnellen en te handelen op basis van betere informatie. Diegenen die dat niet hebben gedaan, zullen ontdekken dat AI hen sneller in de verkeerde richting brengt, gebrekkige controles optimaliseert en inzichten naar boven brengt uit een onvolledig beeld.
De vraag die moet worden gesteld voordat enige AI-investering wordt gedaan, is dezelfde die elke beveiligingsbeslissing moet drijven: Wat is het probleem dat we proberen op te lossen? Als het antwoord duidelijk is en de architectuur om het te ondersteunen aanwezig is, kan AI de oplossing effectiever maken. Als het antwoord vaag is of het fundament zwak is, zal het toevoegen van AI dat niet veranderen. Het zal alleen de kloof moeilijker maken om te zien.
AI lost geen gebroken beveiligingsfundamenten op. Het maakt alleen de scheuren zichtbaarder.
