De Toekomst van Cyberbeveiliging: AI, Automatisering en de Menselijke Factor

In het afgelopen decennium is, samen met de explosieve groei van de informatietechnologie, de donkere realiteit van cyberbeveiligingsbedreigingen ook dramatisch geëvolueerd. Cyberaanvallen, die vroeger voornamelijk werden gedreven door ondeugende hackers die op zoek waren naar faam of financieel gewin, zijn nu veel gesofisticeerder en gerichter geworden. Van door de staat gesponsorde spionage tot corporate en identiteitsdiefstal, de motieven achter cybercrime zijn steeds sinistere en gevaarlijker. Zelfs als financieel gewin nog steeds een belangrijke reden voor cybercrime is, is het overschaduwd door meer nefaste doelen, zoals het stelen van kritieke gegevens en activa. Cyberaanvallers maken op grote schaal gebruik van cutting-edge technologieën, waaronder kunstmatige intelligentie, om systemen te infiltreren en kwaadaardige activiteiten uit te voeren. In de VS heeft het Federal Bureau of Investigation (FBI) meer dan 800.000 cybercrime-gerelateerde klachten gemeld in 2022, met totale verliezen van meer dan $10 miljard, waarmee het totaal van 2021 van $6,9 miljard is overschreden, volgens het Internet Crime Complaint Center van het bureau.

Met de evoluerende bedreigingslandschap is het tijd voor organisaties om een multi-pronged aanpak van cyberbeveiliging te adopteren. De aanpak moet zich richten op hoe aanvallers toegang krijgen; voorkomen dat de eerste compromis optreedt; snel binnendringen detecteren; en snelle respons en herstel mogelijk maken. Het beschermen van digitale activa vereist het benutten van de kracht van AI en automatisering, terwijl ervoor wordt gezorgd dat gekwalificeerde menselijke analisten een integraal onderdeel blijven van de beveiligingspostuur.

Het beschermen van een organisatie vereist een multi-laagse strategie die rekening houdt met de diverse toegangspunten en aanvalsvector die door tegenstanders worden gebruikt. In het algemeen vallen deze onder vier hoofdcategorieën: 1) Web- en netwerkaanvallen; 2) Gebruikersgedrag en identiteit-gebaseerde aanvallen; 3) Entiteitsaanvallen die cloud- en hybride omgevingen richten; en 4) Malware, waaronder ransomware, geavanceerde persistente bedreigingen en andere kwaadaardige code.

Het Inzetten van AI en Automatisering

Het inzetten van AI- en machine learning-modellen (ML) die zijn afgestemd op elk van deze aanvalsklassen is cruciaal voor proactieve bedreigingsdetectie en -preventie. Voor web- en netwerkaanvallen moeten modellen bedreigingen zoals phishing, browser-exploitatie en Distributed Denial-of-Service (DDoS)-aanvallen in real-time identificeren. Gebruikers- en entiteitsgedragsanalyse met AI kan afwijkende activiteiten detecteren die op accountcompromis of misbruik van systeemresources en -gegevens duiden. Ten slotte kan AI-gedreven malware-analyse nieuwe stammen snel triëren, kwaadaardig gedrag identificeren en de impact van bestandsgebaseerde bedreigingen mitigeren. Door AI- en ML-modellen over dit spectrum van aanvalsoppervlakken te implementeren, kunnen organisaties hun vermogen om aanvallen autonoom te detecteren in de vroegste stadia aanzienlijk verbeteren voordat ze escaleren tot volledig uitgevoerde incidenten.

Zodra AI/ML-modellen potentiële bedreigingsactiviteit over verschillende aanvalsvector hebben geïdentificeerd, staan organisaties voor een andere belangrijke uitdaging – het begrijpen van de frequente waarschuwingen en het onderscheiden van kritieke incidenten van de ruis. Met zo veel datapunten en detecties gegenereerd, wordt het toepassen van een andere laag AI/ML om waarschuwingen te correleren en prioriteit te geven aan de meest ernstige waarschuwingen die verdere onderzoek en respons verdienen, cruciaal. Waarschuwingsmoeheid is een steeds kritieker wordend probleem dat moet worden opgelost.

AI kan een sleutelrol spelen in dit waarschuwings_triageproces door grote volumes aan beveiligingstelemetrie te verwerken en te analyseren, inzichten te combineren van meerdere detectiebronnen, waaronder bedreigingsinformatie, en alleen de hoogste geloofwaardigheidsincidenten voor respons te presenteren. Dit vermindert de belasting voor menselijke analisten, die anders overspoeld zouden worden met wijdverbreide valse positieven en lage geloofwaardigheidswaarschuwingen die onvoldoende context ontberen om de ernst en de volgende stappen te bepalen.

Hoewel dreigingsactoren actief AI hebben ingezet om aanvallen zoals DDoS, gerichte phishing en ransomware te laten plaatsvinden, is de defensieve kant achtergebleven in AI-adoptie. Dit verandert echter snel, aangezien beveiligingsleveranciers racen om geavanceerde AI/ML-modellen te ontwikkelen die deze AI-gepowered bedreigingen kunnen detecteren en blokkeren.

De toekomst voor defensieve AI ligt in het inzetten van gespecialiseerde kleine taalmodellen die zijn afgestemd op specifieke aanvalstypen en use cases, in plaats van te vertrouwen op grote, generatieve AI-modellen alleen. Grote taalmodellen laten meer belofte zien voor beveiligingsoperaties zoals het automatiseren van helpdeskfuncties, het ophalen van standaardbedrijfsprocedures en het ondersteunen van menselijke analisten. Het zware werk van precieze bedreigingsdetectie en -preventie zal het beste worden afgehandeld door de zeer gespecialiseerde kleine AI/ML-modellen.

De Rol van Menselijke Deskundigheid

Het is cruciaal om AI/ML te gebruiken in combinatie met procesautomatisering om snelle herstel en beperking van geverifieerde bedreigingen mogelijk te maken. Op dit moment, voorzien van hoge vertrouwenswaardigheidsincidenten, kunnen AI-systemen geautomatiseerde playbook-responsen starten die zijn afgestemd op elk specifiek aanvalstype – het blokkeren van kwaadaardige IPs [internetprotocol], het isoleren van gehackte hosts, het afdwingen van adaptieve beleidsregels en meer. Menselijke deskundigheid blijft echter essentieel, het valideren van AI-uitvoer, het toepassen van kritisch denken en het toezicht houden op autonome responsacties om ervoor te zorgen dat beveiliging zonder bedrijfsverstoring plaatsvindt.

Een genuanceerd begrip is wat mensen aan tafel brengen. Bovendien vereist het analyseren van nieuwe en complexe malware-bedreigingen creativiteit en probleemoplossende vaardigheden die buiten het bereik van machines kunnen liggen.

Menselijke deskundigheid is essentieel in verschillende sleutelgebieden:

• Validatie en Contextualisatie: AI-systemen, ondanks hun geavanceerde mogelijkheden, kunnen soms valse positieven genereren of gegevens verkeerd interpreteren. Menselijke analisten zijn nodig om AI-uitvoer te valideren en de noodzakelijke context te bieden die AI mogelijk over het hoofd ziet. Dit zorgt ervoor dat responsen passend en evenredig zijn met de daadwerkelijke bedreiging.
• Complexe Bedreigingsonderzoek: Sommige bedreigingen zijn te complex voor AI om alleen aan te pakken. Menselijke experts kunnen dieper ingaan op deze incidenten, hun ervaring en intuïtie gebruiken om verborgen aspecten van de bedreiging te ontdekken die AI mogelijk mist. Deze menselijke inzichten zijn cruciaal voor het begrijpen van de volledige omvang van gesofisticeerde aanvallen en het ontwikkelen van effectieve tegenmaatregelen.
• Strategische Besluitvorming: Terwijl AI routineuze taken en gegevensverwerking kan afhandelen, vereisen strategische beslissingen over de algehele beveiligingspostuur en langetermijnverdedigingsstrategieën menselijke oordeel. Experts kunnen AI-gegenereerde inzichten interpreteren om geïnformeerde beslissingen te nemen over middelenallocatie, beleidswijzigingen en strategische initiatieven.
• Continue Verbetering: Menselijke analisten dragen bij aan de continue verbetering van AI-systemen door feedback en trainingsgegevens te bieden. Hun inzichten helpen AI-algoritmen te verfijnen, waardoor ze nauwkeuriger en effectiever worden om te gaan met opkomende bedreigingen.

Geoptimaliseerd Menselijke-Machine Samenwerking

Onderliggend aan deze overgang is de noodzaak aan AI-systemen die kunnen leren van historische gegevens (supervised learning) en zich continu kunnen aanpassen om nieuwe aanvallen te detecteren via ongezien/reinforcement learning-benaderingen. Het combineren van deze methoden zal cruciaal zijn om voorop te blijven lopen bij de evoluerende AI-mogelijkheden van aanvallers.

Al met al zal AI cruciaal zijn voor verdedigers om hun detectie- en responsmogelijkheden te schalen. Menselijke deskundigheid moet nauw geïntegreerd blijven om complexe bedreigingen te onderzoeken, AI-systeemuitvoer te controleren en strategische defensieve strategieën te leiden. Een geoptimaliseerd menselijke-machine samenwerkingmodel is ideaal voor de toekomst.

Naarmate enorme volumes aan beveiligingsgegevens in de loop van de tijd accumuleren, kunnen organisaties AI-analyse toepassen op deze schat aan telemetrie om inzichten te verkrijgen voor proactief bedreigingsjagen en het verharden van verdedigingen. Continue leren van eerdere incidenten stelt organisaties in staat om predictief model te maken van nieuwe aanvals patronen. Naarmate AI-mogelijkheden evolueren, zal de rol van kleine en gespecialiseerde taalmodellen die zijn afgestemd op specifieke beveiligingsuse cases groeien. Deze modellen kunnen helpen om ‘waarschuwingsmoeheid’ verder te verminderen door precies te triëren de meest essentiële waarschuwingen voor menselijke analyse. Autonome respons, aangedreven door AI, kan ook worden uitgebreid om meer Tier 1-beveiligingstaken af te handelen.

Menselijke oordeel en kritisch denken zullen echter onmisbaar blijven, vooral voor incidenten met hoge ernst. Ongetwijfeld is de toekomst er een van geoptimaliseerde menselijke-machine samenwerking, waarbij AI omgaat met volumineuze gegevensverwerking en routineuze taken, waardoor menselijke experts zich kunnen concentreren op het onderzoeken van complexe bedreigingen en hoge niveau beveiligingsstrategie.