AI bestrijden met AI in het moderne bedreigingslandschap

Het is niet bepaald nieuws om te zeggen dat AI de cybersecurity-industrie dramatisch heeft veranderd. Zowel aanvallers als verdedigers gebruiken artificiële intelligentie om hun capaciteiten te verbeteren, waarbij elk probeert om een stap voor te blijven op de ander. Dit kat-en-muisspel is niets nieuws – aanvallers proberen al decennialang om beveiligingsteams te slim af te zijn – maar de opkomst van artificiële intelligentie heeft een fris (en vaak onvoorspelbaar) element aan de dynamiek toegevoegd. Aanvallers over de hele wereld wrijven zich in de handen bij de gedachte om deze nieuwe technologie te gebruiken om innovatieve, nog nooit eerder gezien aanvalsmethoden te ontwikkelen.

Tenminste, dat is de perceptie. Maar de realiteit is een beetje anders. Terwijl het waar is dat aanvallers AI steeds vaker gebruiken, gebruiken ze het meestal om de omvang en complexiteit van hun aanvallen te vergroten, waarbij ze hun benadering van bestaande tactieken verfijnen in plaats van nieuwe grond te breken. Het denken hierachter is duidelijk: waarom zou je de tijd en moeite nemen om de aanvalsmethoden van morgen te ontwikkelen als verdedigers al moeite hebben om die van vandaag tegen te houden? Gelukkig gebruiken moderne beveiligingsteams AI-mogelijkheden van hun eigen – veel waarvan helpen om malware, phishingpogingen en andere veelvoorkomende aanvalstactieken sneller en nauwkeuriger te detecteren. Naarmate de “AI-wapenwedloop” tussen aanvallers en verdedigers voortduurt, zal het steeds belangrijker worden voor beveiligingsteams om te begrijpen hoe tegenstanders de technologie daadwerkelijk inzetten – en ervoor te zorgen dat hun eigen inspanningen op de juiste plaats zijn gericht.

Hoe aanvallers AI gebruiken

Het idee van een semi-autonome AI die systematisch door de verdediging van een organisatie heen breekt, is een eng idee, maar (voor nu) blijft het stevig in het domein van William Gibson-romans en andere sciencefictionverhalen. Het is waar dat AI in de afgelopen jaren met een verbazingwekkend tempo is geavanceerd, maar we zijn nog ver verwijderd van de soort artificiële algemene intelligentie (AGI) die menselijke denkpatronen en gedragingen perfect kan nabootsen. Dat wil niet zeggen dat de AI van vandaag niet indrukwekkend is – het is dat zeker. Maar generatieve AI-hulpmiddelen en grote taalmodellen (LLM’s) zijn het meest effectief in het synthetiseren van informatie uit bestaand materiaal en het genereren van kleine, iteratieve veranderingen. Het kan niets helemaal nieuws creëren – maar twijfel niet, de mogelijkheid om te synthetiseren en te itereren is enorm nuttig.

In de praktijk betekent dit dat in plaats van nieuwe aanvalsmethoden te ontwikkelen, tegenstanders hun huidige methoden kunnen verbeteren. Met AI kan een aanvaller mogelijk miljoenen phishing-e-mails sturen, in plaats van duizenden. Ze kunnen ook een LLM gebruiken om een overtuigender bericht te creëren, waardoor meer ontvangers in de val trappen en op een kwaadaardige link klikken of een bestand met malware downloaden. Tactieken zoals phishing zijn effectief een kwestie van aantallen: de overgrote meerderheid van de mensen zal niet voor een phishing-e-mail trappen, maar als miljoenen mensen het ontvangen, kan zelfs een succespercentage van 1% resulteren in duizenden nieuwe slachtoffers. Als LLM’s dat succespercentage van 1% kunnen verhogen tot 2% of meer, kunnen oplichters de effectiviteit van hun aanvallen effectief verdubbelen met weinig tot geen moeite. Hetzelfde geldt voor malware: als kleine aanpassingen aan malwarecode het effectief kunnen camoufleren voor detectiehulpmiddelen, kunnen aanvallers veel meer mijlen uit een individueel malwareprogramma halen voordat ze moeten overstappen op iets nieuws.

Het andere element dat hier een rol speelt, is snelheid. Omdat AI-aanvallen niet onderhevig zijn aan menselijke beperkingen, kunnen ze vaak een hele aanvalsequentie op een veel snellere snelheid uitvoeren dan een menselijke operator. Dat betekent dat een aanvaller mogelijk een netwerk kan binnendringen en de kroonjuwelen van het slachtoffer – de meest gevoelige of waardevolle gegevens – kan bereiken voordat het beveiligingsteam zelfs maar een waarschuwing ontvangt, laat staan reageert. Als aanvallers sneller kunnen bewegen, hoeven ze niet zo voorzichtig te zijn – wat betekent dat ze lawaaierige, meer disruptieve activiteiten kunnen uitvoeren zonder te worden gestopt. Ze doen niet noodzakelijkerwijs iets nieuws, maar door hun aanvallen sneller uit te voeren, kunnen ze netwerkverdedigingen op een potentieel spelveranderende manier voorbijstreven.

Dit is de sleutel tot het begrijpen van hoe aanvallers AI gebruiken. Sociaal-engineeringsfraudes en malwareprogramma’s zijn al succesvolle aanvalsvectoren – maar nu kunnen tegenstanders ze nog effectiever maken, sneller inzetten en op een nog grotere schaal opereren. In plaats van tientallen pogingen per dag te weerstaan, kunnen organisaties mogelijk honderden, duizenden of zelfs tienduizenden snelle aanvallen te verduren krijgen. En als ze geen oplossingen of processen hebben om die aanvallen snel te detecteren, te identificeren welke een echt, tastbaar gevaar vormen, en effectief te remediëren, laten ze zich gevaarlijk bloot aan aanvallers. In plaats van te wonderen hoe aanvallers AI in de toekomst zouden kunnen gebruiken, zouden organisaties AI-oplossingen van hun eigen moeten inzetten met als doel bestaande aanvalsmethoden op een grotere schaal aan te pakken.

AI in het voordeel van beveiligingsteams draaien

Beveiligingsexperts op elk niveau van zowel bedrijven als overheden zoeken naar manieren om AI voor defensieve doeleinden in te zetten. In augustus maakte het Amerikaanse Defense Advanced Research Projects Agency (DARPA) de finalisten bekend van zijn recente AI Cyber Challenge (AIxCC), die prijzen uitreikt aan beveiligingsonderzoeksteams die werken aan het trainen van LLM’s om code-gebaseerde kwetsbaarheden te identificeren en te repareren. De uitdaging wordt ondersteund door grote AI-aanbieders, waaronder Google, Microsoft en OpenAI, die technische en financiële steun bieden voor deze inspanningen om AI-gebaseerde beveiliging te versterken. Natuurlijk is DARPA slechts een voorbeeld – je kunt bijna niet in Silicon Valley zijn zonder een dozijn startup-oprichters tegen te komen die je willen vertellen over hun geavanceerde nieuwe AI-gebaseerde beveiligingsoplossingen. Laat staan dat het vinden van nieuwe manieren om AI voor defensieve doeleinden in te zetten een hoge prioriteit heeft voor organisaties van alle soorten en maten.

Maar net als aanvallers vinden beveiligingsteams vaak de meeste successen wanneer ze AI gebruiken om hun bestaande capaciteiten te versterken. Met aanvallen die plaatsvinden op een ooit toenemende schaal, worden beveiligingsteams vaak dun gespreid – zowel in termen van tijd als middelen – waardoor het moeilijk is om elke beveiligingswaarschuwing die opduikt adequaat te identificeren, te onderzoeken en te remediëren. Er is gewoon niet de tijd. AI-oplossingen spelen een belangrijke rol bij het verlichten van deze uitdaging door geautomatiseerde detectie- en responsmogelijkheden te bieden. Als er één ding is waar AI goed in is, is het het identificeren van patronen – en dat betekent dat AI-hulpmiddelen erg goed zijn in het herkennen van abnormaal gedrag, vooral als dat gedrag overeenkomt met bekende aanvalspatronen. Omdat AI enorme hoeveelheden gegevens veel sneller kan bekijken dan mensen, stelt dit beveiligingsteams in staat om hun operaties op een aanzienlijke manier op te schalen. In veel gevallen kunnen deze oplossingen zelfs basismogelijkheden voor remediatie automatiseren, waardoor lage aanvallen zonder menselijke tussenkomst kunnen worden geneutraliseerd. Ze kunnen ook worden gebruikt om het proces van beveiligingsvalidatie te automatiseren, door voortdurend te porren en te prikken in netwerkverdedigingen om ervoor te zorgen dat ze naar behoren functioneren.

Het is ook belangrijk om op te merken dat AI beveiligingsteams niet alleen in staat stelt om potentiële aanvalactiviteiten sneller te identificeren – het verbetert ook aanzienlijk hun nauwkeurigheid. In plaats van vals alarm te slaan, kunnen beveiligingsteams er zeker van zijn dat wanneer een AI-oplossing hen waarschuwt voor een potentiële aanval, deze de moeite waard is om onmiddellijk aandacht aan te besteden. Dit is een element van AI dat niet vaak genoeg wordt besproken – terwijl veel van de discussie draait om AI die “mensen vervangt” en hun banen overneemt, is de realiteit dat AI-oplossingen mensen in staat stellen om hun banen beter en efficiënter te doen, en ook de burn-out die voortkomt uit het uitvoeren van saaie en repetitieve taken te verlichten. Verre van een negatief effect op menselijke operators te hebben, behandelen AI-oplossingen veel van de “busywork” die geassocieerd wordt met beveiligingsposities, waardoor mensen zich kunnen concentreren op interessantere en belangrijkere taken. Op een moment waarop burn-out op een hoogtepunt staat en veel bedrijven moeite hebben om nieuw beveiligingstalent aan te trekken, kan het verbeteren van de kwaliteit van leven en de tevredenheid op het werk een enorme positieve impact hebben.

Daar ligt het echte voordeel voor beveiligingsteams. Niet alleen kunnen AI-oplossingen helpen om hun operaties op te schalen om bestaande aanvalsmethoden effectief te bestrijden – ze kunnen beveiligingsprofessionals ook gelukkiger en meer tevreden stellen in hun rollen. Dat is een zeldzame win-winsituatie voor iedereen die betrokken is, en het moet helpen om bedrijven vandaag te laten erkennen dat het tijd is om te investeren in AI-gebaseerde beveiligingsoplossingen.

De AI-wapenwedloop is pas begonnen

De race om AI-oplossingen te adopteren is gaande, waarbij zowel aanvallers als verdedigers verschillende manieren vinden om de technologie voor hun eigen voordeel te gebruiken. Terwijl aanvallers AI gebruiken om de snelheid, omvang en complexiteit van hun aanvallen te vergroten, zullen beveiligingsteams moeten terugvechten met vuur, door AI-hulpmiddelen te gebruiken om de snelheid en nauwkeurigheid van hun detectie- en remediatiemogelijkheden te verbeteren. Gelukkig bieden AI-oplossingen kritieke informatie aan beveiligingsteams, waardoor ze hun eigen oplossingen beter kunnen testen en evalueren, en ook tijd en middelen vrijmaken voor meer mission-critische taken. Maak geen vergissing, de AI-wapenwedloop is pas begonnen – maar het feit dat beveiligingsprofessionals AI al gebruiken om een stap voor te blijven op aanvallers, is een heel goed teken.