Thought leaders

Hoe Frontier AI-modellen de cyberrisico’s fundamenteel vormgeven

mm
Gepubliceerd op

Cyberbeveiliging is altijd geëvolueerd samen met grote verschuivingen in technologie. Cloudadoptie, SaaS-uitbreiding en gedistribueerde werkkrachten hebben allemaal de snelheid en connectiviteit verhoogd, terwijl ze de kansruimte voor aanvallers hebben uitgebreid. Frontier AI vertegenwoordigt het volgende inflectiepunt. Modellen zoals Anthropic’s Mythos, OpenAI’s Daybreak en de laatste generatie van grote schaalredeneringssystemen tonen al aan dat ze code kunnen analyseren, kwetsbaarheden kunnen identificeren en exploitatiepaden kunnen simuleren met een niveau van diepte en snelheid dat eerder niet mogelijk was.

Frontier AI kan het beste worden begrepen als de volgende evolutie van tools die softwarebedrijven al decennialang gebruiken, en niet als een disruptie die het model doorbreekt. Het zal cyberbeveiliging niet elimineren en het zal aanvallers geen onoverwinnelijke voorsprong geven. In de praktijk komen de meeste inbreuken nog steeds neer op basisgaten in de uitvoering. Arctic Wolf-onderzoekers vonden dat 76 procent van de compromissen betrokken waren bij slechts 10 bekende kwetsbaarheden, die allemaal patches hadden voordat ze werden geëxploiteerd. De uitdaging is niet een gebrek aan capaciteit, maar een falen om snel en consistent te handelen, en dat is precies waar frontier AI kan helpen.

Mythos, bijvoorbeeld, heeft laten zien hoe snel een model kan bewegen van kwetsbaarheidsdetectie naar exploitatieontwikkeling en redenering over complexe systemen en het ontdekken van niet-evidente aanvalspaden. Deze capaciteiten veranderen wat mogelijk is in de softwarelevenscyclus, maar de meeste echte incidenten beginnen en eindigen niet met één kwetsbaarheid. Ze ontstaan uit hoe systemen zijn geconfigureerd, hoe identiteiten worden beheerd en hoe signalen worden geïnterpreteerd in live-omgevingen.

De aanvalscyclus comprimeren

Wat frontier AI het meest verandert, is het tempo van cyberoperaties. Zowel aanvallers als verdedigers hebben nu toegang tot tools die aanzienlijk sneller kunnen werken dan ooit tevoren. Voor tegenstanders verkorten modellen zoals Mythos en Daybreak, of zelfs open-sourcemodellen, de tijd die nodig is tussen exploitontdekking en -ontwikkeling. Taken die eerder speciale expertise en dagen van inspanning vereisten, kunnen nu op grote schaal in minuten worden uitgevoerd. Voor verdedigers kunnen dezelfde systemen het onderzoek versnellen, signalen correleren over grote datasets en besluitvorming ondersteunen in real-time. Het netto-effect is niet een eenvoudig voordeel voor de ene of de andere partij. Het is een compressie van tijd over de hele aanvalscyclus.

In deze omgeving wordt triage nog kritieker. De mogelijkheid om snel te bepalen wat belangrijk is en wat niet, is de basis van effectieve beveiligingsoperaties. Frontier-modellen kunnen helpen door patronen naar boven te brengen, gerelateerde activiteit te clusteren en hypothesen voor te stellen, maar ze elimineren niet de noodzaak van een mens in de lus. Ze leren niet van of observeren ze actieve beveiligingsoperaties van ondernemingen, noch kennen ze de context van elke unieke beveiligingsomgeving of -gegevens van de klant.

Zonder die basis kan de output van zelfs het meest capabele model meer lawaai introduceren dan duidelijkheid.

Deze onderscheid is belangrijk omdat het een bredere misvatting benadrukt. Er is een neiging om elk nieuw frontier-model te zien als een stap naar volledig autonome cyberbeveiliging. In werkelijkheid is er een verschil tussen hoe capabel en krachtig een model is en hoe effectief het is in het daadwerkelijk verbeteren van de cyberweerbaarheid van een organisatie. Dit komt doordat consistent presteren in een live ondernemingsomgeving het vermogen vereist om betrouwbaar te werken over onvolledige gegevens, snel veranderende omstandigheden en concurrerende prioriteiten, en frontier AI-modellen zijn daar nog niet voor gebouwd — nog niet.

Het ondernemingsgat: capaciteiten versus context

Context is waar dit gat het meest zichtbaar wordt. Frontier-modellen zijn getraind voor algemene redenering, maar cyberrisico’s zijn zeer specifiek voor elke organisatie. Een kwetsbaarheid die door een model wordt geïdentificeerd, kan kritiek zijn in één omgeving en verwaarloosbaar in een andere. Die bepaling hangt af van factoren zoals blootstelling, identiteits-toegang, gevoeligheid van gegevens en bestaande controles. Modellen kunnen mogelijkheden identificeren, maar het begrijpen van welke mogelijkheden werkelijk risico vertegenwoordigen, vereist continue zichtbaarheid in de omgeving en een begrip van hoe deze zich over tijd gedraagt.

De verspreiding van lawaai

Naarmate deze modellen capabeler worden, neemt het volume van potentiële bevindingen toe. Mythos, Daybreak of andere modellen identificeren niet alleen één probleem. Ze kunnen meerdere potentiële exploitatiepaden, variaties en randgevallen genereren. Dit creëert een nieuwe uitdaging. Meer inzicht leidt niet automatisch tot betere resultaten. Zonder sterke validatie en prioritering lopen organisaties het risico om overweldigd te worden door het aantal mogelijkheden. Accuratesse wordt de bepalende metric, niet in het identificeren van elke theoretische kwestie of kwetsbaarheid, maar in het bepalen van welke kwesties het meest belangrijk zijn en welke actie moet worden ondernomen.

Samenkoppeling van kwetsbaarheden over meerdere stappen

Frontier AI verandert ook de manier waarop aanvallen worden geconstrueerd. Traditionele aanvallen richtten zich vaak op één domein, zoals het exploiteren van een softwarekwetsbaarheid of het compromitteren van een gebruikersreferentie. Frontier AI-modellen maken het mogelijk om meer gecoördineerde benaderingen te koppelen, door zwakheden te koppelen over applicaties, identiteitssystemen, cloudconfiguraties en gebruikersgedrag. Deze meerdere stappen in de aanvalspaden zijn niet nieuw, maar AI verlaagt de drempel voor het creëren en uitvoeren ervan. Dit weerspiegelt de realiteit van moderne ondernemingen, waar het aanvalsoppervlak meerdere verbonden lagen omvat, maar het verhoogt zowel de snelheid als de omvang waarop deze lagen kunnen worden geëxploiteerd.

AI-governance en de menselijke laag

Frontier-modellen introduceren ook nieuwe categorieën van risico’s. Systemen die afhankelijk zijn van AI moeten omgaan met kwesties zoals prompt-injectie, onbedoelde gegevensblootstelling en modelmanipulatie. Governance wordt dan een kritische component van het adopteren van deze technologieën. Organisaties moeten definiëren hoe modellen worden gebruikt, welke gegevens ze toegang hebben en hoe hun output wordt geverifieerd voordat ze AI adopteren over hun hele interne omgeving.

Ondanks deze vooruitgang blijft de rol van menselijke expertise centraal. Frontier-modellen excelleren in het genereren en evalueren van mogelijkheden, maar ze vervangen geen oordeel. Beslissingen over bedrijfsimpact, aanvaardbaar risico en responsstrategie vereisen een begrip van context dat verder gaat dan technische indicatoren. Ervaren beveiligingsexperts bieden die laag van interpretatie, waardoor AI-gedreven inzichten worden vertaald in passende acties. De meest effectieve aanpak is niet om mensen te vervangen door AI, maar om machine-snelheid te combineren met menselijk oordeel op een manier die consistent en betrouwbaar resulteert.

Fundamentele aspecten zijn belangrijker dan ooit

Het is ook belangrijk om te erkennen dat frontier AI de noodzaak voor sterke beveiligingsfundamenten niet elimineert. Identiteitsbeheer, patchen, segmentatie en gebruikersbewustzijn blijven kritieke controles. In veel gevallen worden deze fundamenten belangrijker naarmate de capaciteiten van aanvallers verbeteren. Modellen zoals Mythos en Daybreak kunnen snellere detectie van complexe kwetsbaarheden mogelijk maken, maar veel inbreuken beginnen nog steeds met basisgaten zoals zwakke referenties of ongepatchte systemen. Bijvoorbeeld, het 2026 Arctic Wolf Threat Report vond dat 85% van de Business Email Compromise fraude-incidenten werden herleid tot e-mailphishing, een stijging van 11% ten opzichte van 2025.

Organisaties die deze gebieden verwaarlozen ten gunste van geavanceerdere capaciteiten, zijn onwaarschijnlijk om significante verbeteringen in hun risicopostuur te zien.

Cyberrisico’s worden niet geëlimineerd. Ze worden herschapen. Ze worden dynamischer, meer verbonden en gevoeliger voor tijd. Organisaties die slagen in deze omgeving zullen niet zijn die de laatste modellen adopteren, maar die ze integreren in een samenhangend operationeel kader. Dat omvat het behouden van zichtbaarheid over de hele omgeving, beslissingen gronden in een duidelijk begrip van tegenstander-gedrag en processen bouwen die consistent inzicht vertalen in actie.

Frontier AI breidt uit wat mogelijk is in cyberbeveiliging. Het verhoogt het plafond voor zowel aanvallers als verdedigers. Maar de bepalende uitdaging blijft hetzelfde. Uitvoering in echte omgevingen, onder echte beperkingen, met echte gevolgen. Dat is waar cyberrisico’s uiteindelijk worden beheerd, en waar de impact van deze technologieën zal worden beslist.

mm

Dan Schiappa is President, Technologie Services bij Arctic Wolf. In deze rol is Dan verantwoordelijk voor het stimuleren van innovatie binnen product, engineering, beveiligingsdiensten, allianties en bedrijfsontwikkelingsteams om de vraag naar beveiligingsoperaties te helpen vervullen via de groeiende klantenbasis van Arctic Wolf. Voordat hij bij Arctic Wolf kwam, was Dan Schiappa CPO bij Sophos.

Voordien was Dan Senior Vice President en General Manager van de Identity en Data Protection Group bij RSA, de Security Division van EMC. Hij heeft ook verschillende GM-posities gehad bij Microsoft Corporation, waaronder Windows-beveiliging, Microsoft Passport/Live ID en Mobiele Diensten. Voordat hij bij Microsoft kwam, was Dan CEO van Vingage Corporation.