(Blog) Cybersecurity is een fundamenteel aspect binnen de moderne bedrijfsvoering, waarbij een breed spectrum aan beveiligingsoplossingen essentieel is. Een geïntegreerde aanpak, gericht op preventie, detectie en response, bestaat idealiter uit verschillende lagen van beveiliging die elkaar versterken. AI-gebaseerde oplossingen zorgen ervoor dat security-experts de regie over hun security-omgeving kunnen versterken en daarmee ook de digitale weerbaarheid van hun organisaties.
In de strijd tegen cybercriminaliteit heb je als organisatie een volle toolbox met oplossingen en maatregelen tot je beschikking. Of het nu gaat om preventie, detectie of response, de mogelijkheden om de digitale weerbaarheid te versterken zijn er. Zo zijn we inmiddels goed bekend met de methodieken achter signature based, behaviour based en rule based security. Eenvoudig gezegd gaat het hierbij om verschillende manieren om onder andere afwijkend netwerkgedrag of gedrag van apparaten te detecteren.
Signature based detectie en security wordt gebruikt om bekende bedreigingen te identificeren door te zoeken naar exacte overeenkomsten met vooraf gedefinieerde patronen of handtekeningen. Deze benadering kan echter minder effectief zijn tegen nieuwe of aangepaste bedreigingen die niet overeenkomen met bestaande signatures. Denk daarbij aan malware zoals virussen, trojans of infostealers die rondgaan. We zien echter wel een belangrijke tekortkoming: onbekende dreigingen worden niet opgemerkt. Het is dus belangrijk die database tijdig te actualiseren, iets dat tegenwoordig over het algemeen automatisch gebeurt. Het biedt echter geen oplossing voor dreigingen als zero day kwetsbaarheden. Dit zijn zwakke plekken in de software die door hackers zijn opgemerkt, maar nog niet door de fabrikant of ontwikkelaar. Er zijn dus nog geen patches voor beschikbaar. Wil je de aanval kunnen detecteren dan zal je de Indicator Of Compromise (IOC) of de gebruikte methoden moeten weten. Een IOC is de benaming voor een set aan informatie die je kunt gebruiken om te kijken of iemand een aanval heeft uitgevoerd op één van je assets.
Tegen de lamp lopen
Gebruik je naast signature based security ook behaviour based security, dan wordt er ook gemonitord op het gedrag van applicaties en gebruikers. Ongeautoriseerde toegang, vreemd netwerkgedrag en onverklaarbaar hoog verbruik van rekencapaciteit zijn bijvoorbeeld tekenen van een cyberaanval. Deze ongeoorloofde activiteiten kunnen onder andere leiden tot het planten van malware, zoals ransomware of wijzen op het gebruik van een gecompromitteerd account. Voordeel van deze benadering is dat cyberaanvallers die erin zijn geslaagd hun digitale handtekening te verbloemen, toch tegen de lamp lopen. Een hiaat in deze aanpak is dat het erg veel inzet van security-analisten vergt, omdat iedere afwijking die gerapporteerd wordt geverifieerd moet worden. Het aantal false positives is dan ook hoger dan bij signature based security. Kortom, met deze twee linies in de cyberverdediging ben je er nog niet.
Geen concessie voor gebruiker
Een derde laag voorziet in security die is gestoeld op rule based detection. Dit is een methode om een cyberaanval te ontdekken, waarbij je als organisatie van tevoren bepaalt welke patronen of welk gedrag op een netwerk verdacht kunnen zijn. Daarna monitort het systeem op basis van deze patronen of dit gedrag. Deze aanpak biedt veel zekerheid en consistentie: je dwingt als organisatie als het ware af dat het securitybeleid wordt nageleefd. Dit is vooral van toepassing op gebruikers of apparaten die zich aanmelden en begeven op de netwerkomgeving. Bijvoorbeeld iemand die met een onbeveiligde wifi-verbinding van een hotel inlogt, wordt de toegang tot het bedrijfsnetwerk ontzegd. Toegang tot de belangrijke assets van een organisatie kan zo nauwgezet gemonitord worden. Nadeel van deze aanpak is dat er weinig flexibiliteit is. Een medewerker die bijvoorbeeld bij een klant in de VS op bezoek is, kan de toegang geweigerd worden omdat de vooraf gedefinieerde regels hier niet in voorzien. Dit wil je juist zien te voorkomen: security moet robuust zijn, maar mag de gebruikerservaring niet in de weg staan.
Slimme securitylaag
Waar je naar op zoek bent, is een securitylaag die zo slim is dat de security-omgeving continu leert van alle analyses die gedaan worden. Dan hebben we het over AI-based detectie. AI wordt al geruime tijd ingezet in beveiligingsoplossingen. Wat echter relatief nieuw is, is het gebruik van neurale netwerken – computermodellen die zijn geïnspireerd op de structuur en werking van het menselijk brein – en het toepassen van uitgebreide datasets voor training, waaronder Large Language Models (LLM). Deze ontwikkelingen hebben geleid tot aanzienlijke vooruitgang in de beveiligingsindustrie. In het kader van detectie heeft dit verschillende voordelen
- Geavanceerdere detectie van bedreigingen. Tot voor kort was er sprake van 78 procent false positives; dit is nu met AI en machine learning veel lager. Security-experts kunnen zich meer richten op daadwerkelijke bedreigingen.
- Automatisering van dagelijkse taken en de versnelling van de reactie op incidenten.
- Doorlopend leren, waardoor het systeem steeds intelligenter wordt.
- Je kunt met AI heel veel data met elkaar correleren en afwijkingen te signaleren. Hierdoor kan je ook de aanvallen van 'morgen' detecteren en hoef je niet alle detecties los te bekijken.
Ook AI based security heeft (nog) zijn tekortkomingen, met name dat de werking van de onderliggende modellen vaak niet transparant en inzichtelijk zijn en ook zelf leren. Bijvoorbeeld: waarom wordt er bij een bepaald gedrag geen trigger in gang gezet, terwijl dat wel zou moeten? Of waar komt de false positive vandaan? Dan moet je de parameters nagaan en algoritmes onder de loep leggen. Menselijk handelen blijft dus noodzakelijk om te onderzoeken wat er mis gaat bij false positives of bij bedreigingen die erdoor glippen, ondanks AI. De menselijke intuïtie, of het onderbuikgevoel is nog steeds uniek. Wees je er ook van bewust dat datasets die gebruikt worden om het systeem te trainen ruis kunnen bevatten.
Door verschillende methoden voor detectie te combineren, kun je de cyberbeveiliging van jouw organisatie optimaliseren met een gelaagde aanpak. Iedere afzonderlijke laag heeft zijn sterke punten, maar alleen gezamenlijk komt de ware kracht naar boven.
Daniël Jansen, Manager Managed Services bij Tesorion