Blog De impact van AI op defensieve cyberbeveiliging

Een stukje geschiedenis

De integratie van machine learning (ML) in cyberbeveiliging begon jaren geleden met een eenvoudig maar ambitieus idee: het benutten van de kracht van algoritmen voor het identificeren van patronen in enorme datasets. Van oudsher leunde de detectie van bedreigingen sterk op technieken die op handtekeningen waren gebaseerd, in wezen digitale vingerafdrukken van bekende bedreigingen. Deze methoden waren effectief tegen bekende malware, maar hadden moeite met zero-day aanvallen en de steeds geraffineerdere tactieken van cybercriminelen. Deze kloof leidde tot interesse in het gebruik van ML om anomalieën te identificeren, patronen te herkennen die wijzen op kwaadaardig gedrag en uiteindelijk aanvallen te voorspellen voordat ze zich volledig kunnen ontvouwen.

Een van de eerste succesvolle toepassingen van ML in cyberbeveiliging was spamdetectie, gevolgd door anomalie gebaseerde inbraakdetectiesystemen (IDS). Zij leunden sterk op leren onder supervisie waarbij historische gegevens, zowel goedaardig als kwaadaardig werden doorgegeven aan algoritmen om ze te helpen onderscheid te maken tussen de twee. In de loop van de tijd werden ML-oplossingen complexer, met leren zonder toezicht en zelfs Reinforcement learning (RL) om zich aan te passen aan de veranderende aard van cyberbedreigingen.

Hoewel ML-gebaseerde benaderingen de detectiepercentages drastisch verbeterden en de werkdruk op beveiligingsteams verminderden, waren ze niet zonder uitdagingen. Valse positieven werden een belangrijk probleem, wat leidde tot “waarschuwingsmoeheid” onder beveiligingsanalisten. Bovendien begonnen aanvallers zich aan te passen en gebruik te maken van vijandige technieken om machine learning-modellen te misleiden. Desondanks heeft de evolutie van ML cyberbeveiliging getransformeerd en meer dynamische en adaptieve vormen van verdediging geïntroduceerd.

De huidige rol van grote taalmodellen in cyberbeveiliging

In de afgelopen jaren heeft de introductie van grote taalmodellen (LLM's) zoals GPT-4 de discussie rond AI in cyberbeveiliging doen verschuiven. Deze modellen blinken uit in taken als het synthetiseren van grote hoeveelheden informatie, het samenvatten van rapporten en het genereren van inhoud in natuurlijke taal. In de cyberbeveiligingssector worden LLM's gebruikt om informatie over bedreigingen te analyseren, samenvattingen te maken en te helpen bij documentatie. Allemaal taken waarbij enorme hoeveelheden gegevens moeten worden verwerkt en in een begrijpelijke vorm moeten worden gepresenteerd.

Ondanks hun sterke punten hebben LLM's “het gouden ei” nog niet gevonden in cyberbeveiliging. Hun waarde ligt vaak in het aanvullen van menselijke analisten in plaats van hen te vervangen. Ze kunnen de productiviteit verhogen door alledaagse taken te automatiseren, maar ze missen het diepgaande contextuele begrip en de besluitvaardigheid die nodig zijn voor incidentrespons of het opsporen van bedreigingen. LLM's kunnen nuttige assistenten zijn, maar ze hebben moeite om deze rol te overstijgen, waardoor hun impact in echte defensieve operaties beperkt is.

De realiteit van beveiligingscopiloten: Een oplossing voor een probleem?

Met de opkomst van AI in softwareontwikkeling ontstond het concept van een “copiloot voor beveiliging”. Een hulpmiddel dat bedoeld is om beveiligingsanalisten te helpen, net zoals coderingscopiloten ontwikkelaars helpen bij het schrijven van code. Het idee was dat een AI-gestuurde copiloot zou kunnen fungeren als een virtuele Security Operations Center (SOC) analist, die zou helpen bij het doorzoeken van waarschuwingen, het in context plaatsen van incidenten en zelfs het voorstellen van responsacties. Dit is echter grotendeels mislukt.

Het kernprobleem is dat security copilots hun belofte om SOC-operaties te transformeren nog niet hebben waargemaakt. Ze vervangen niet de expertise van een doorgewinterde analist en bieden ook geen effectieve oplossing voor de pijnpunten waar menselijke analisten vandaag de dag mee te maken hebben. In plaats van te dienen als een betrouwbare virtuele analist, zijn deze tools vaak een “oplossing op zoek naar een probleem” geworden. Het toevoegen van nog een laag technologie die analisten moeten begrijpen en beheren, zonder evenredige waarde te leveren. Bijvoorbeeld, Microsoft's Security Copilot, hoewel veelbelovend, heeft moeite om de rol van een ervaren SOC-analist effectief te vervangen, door vaak suggesties te geven die context missen of die extra menselijke tussenkomst vereisen om bruikbaar te zijn.

Een deel van de uitdaging is dat de aard van het werk op het gebied van cyberbeveiliging inherent complex en contextueel is. SOC-analisten werken in een omgeving onder hoge druk, waarin ze gefragmenteerde informatie samenvoegen, de bredere implicaties van een bedreiging begrijpen en beslissingen nemen die een genuanceerd begrip van de unieke context van de organisatie vereisen. De huidige AI-copilots kunnen helpen bij het beperken van opties of het samenvatten van gegevens, maar ze missen het situationele bewustzijn en het diepgaande begrip die nodig zijn om kritieke beveiligingsbeslissingen effectief te nemen.

De toekomst van Agentic AI in cyberbeveiliging

Terwijl de huidige implementaties moeite hebben om hun draai te vinden, ligt de toekomst van AI in cyberbeveiliging mogelijk in de ontwikkeling van Agent AI-systemen die proactief en autonoom acties kunnen ondernemen. Agent AI verwijst naar systemen die zelfstandig situaties kunnen beoordelen en beslissingen kunnen nemen zonder menselijke tussenkomst, waardoor een meer dynamische en adaptieve benadering van cyberbeveiliging mogelijk wordt. Agentic AI biedt een veelbelovende richting voor defensieve beveiliging doordat het AI-gestuurde entiteiten in staat stelt om systemen actief te verdedigen, op bedreigingen te jagen en zich aan te passen aan nieuwe bedreigingen zonder de constante behoefte aan menselijke sturing. Microsoft heeft grootse plannen op dit gebied voor de volgende fase van Security Co-pilot.

Agent AI zou de kloof tussen automatisering en autonomie in cyberbeveiliging kunnen overbruggen. In plaats van te wachten tot een analist gegevens interpreteert of opdrachten geeft, zou agentische AI zelf actie kunnen ondernemen: een aangetast endpoint isoleren, netwerkverkeer omleiden of zelfs honeypot technieken toepassen om aanvallers te misleiden. Dergelijke mogelijkheden zouden een grote sprong voorwaarts betekenen ten opzichte van de grotendeels passieve en ondersteunende rollen die AI momenteel speelt.

Vertrouwen op de machine

Organisaties zijn vaak traag met het adopteren van nieuwe beveiligingstechnologie die in staat is om zelf actie te ondernemen. Fout-positieven zijn altijd een risico en niemand wil een productiestoring veroorzaken of een senior executive verbieden zijn laptop te gebruiken op basis van een foutieve veronderstelling.

De aanvallers hebben deze handicap niet. Zij zullen AI tot het uiterste gebruiken om gegevens te stelen, storingen te veroorzaken en geld te verdienen. Deepfake telefoongesprekken, deepfake videogesprekken, hypergepersonaliseerde phishing e-mails bedreigingen nemen toe. Het is waarschijnlijk dat organisaties in 2025 te maken krijgen met het somberste bedreigingslandschap in de geschiedenis van cyberbeveiliging, gedreven door het kwaadwillige gebruik van AI. Volgens een rapport van Gartner zal de proliferatie van AI-gestuurde cyberaanvallen naar verwachting aanzienlijk toenemen tegen 2025, wat leidt tot een meer uitdagende omgeving voor verdedigers. De enige manier om dit tegen te gaan is deel te nemen aan de wapenwedloop door nieuwe AI-agenten te gebruiken om beslissingen te nemen.

Er zal natuurlijk nevenschade zijn, gebruikers zullen klagen en beveiligingsteams zullen de schuld krijgen, maar het is misschien eindelijk tijd om vuur met vuur te bestrijden en te vertrouwen op de toekomst van AI-controle. Ik denk dat het risico van AI-gestuurde beveiligingsdreigingen groter zal zijn dan het risico van door AI veroorzaakte uitval door fout-positieven in 2025. We zouden onze risicoberekeningen in de zeer nabije toekomst moeten gaan heroverwegen wanneer de technologie beschikbaar is.