Introductie AI & cybersecurity
Op vrijdag 25 oktober 2024 vond de rondetafel van Cisco, TNO en Universiteit Twente plaats. BeveiligingsWereld was erbij. In 4 delen zal ik ingaan op wat er besproken werd. Vandaag deel 1.
(Door Ted Walraven)
Tijdens de rondetafel werd besproken hoe AI een cruciale rol speelt in moderne cybersecurityoplossingen en hoe deze technologie, in combinatie met grote hoeveelheden data, steeds belangrijker wordt voor organisaties. AI en data zijn de fundamentele bouwstenen geworden voor het verbeteren van security-systemen.
De noodzaak voor AI in cybersecurity wordt verder versterkt door uitdagingen zoals het tekort aan talent en de toename van regelgeving en compliance-eisen. AI kan bijdragen aan efficiëntie door junior analisten sneller naar een senior niveau te tillen en door complexe taken te automatiseren. Tegelijkertijd brengt het gebruik van AI nieuwe vraagstukken met zich mee, zoals dataprivacy en data sovereignty, met name omdat data de basis vormt van AI-gebaseerde oplossingen.
In de context van cloud native security is er ook een verschuiving zichtbaar naar flexibele infrastructuren die gebruik maken van microservices en AI-workloads. De recente ontwikkelingen rondom AI zijn vergelijkbaar met eerdere technologische transities, zoals de komst van het internet en mobiele telefonie. Vandaag de dag is de adoptie van AI echter exponentieel sneller en steeds vaker zien we de overgang van generative AI naar agents, waarbij AI-agents samenwerken om taken uit te voeren en nieuwe identiteiten binnen organisaties te creëren.
Tijdens de rondetafel werd aan de hand van vier topics besproken in hoeverre AI zowel kansen als risico's kan creëren binnen cybersecurity. Deze dubbele rol vereist dat organisaties niet alleen op AI vertrouwen voor verdediging, maar ook AI inzetten om hun eigen kwetsbaarheden en de integriteit van AI-modellen te bewaken.
Topic 1: Kan Machine Learning cybercriminelen slim af zijn?
In deze discussie werd het potentieel van machine learning (ML) en AI voor cyberbeveiliging verkend. De focus ligt op hoe deze technologieën defensieve voordelen kunnen bieden in het voorspellen, identificeren en neutraliseren van cyberdreigingen. Hier zijn de belangrijkste punten:
Voorspellend vermogen en data-analyse
AI en ML hebben grote voordelen voor de defensieve kant in cybersecurity doordat beveiligingsteams toegang hebben tot enorme hoeveelheden data die gebruikt kunnen worden om modellen te trainen. Door patronen en dreigingen uit historische data te herkennen, kunnen dreigingen proactief worden voorspeld. Zo maken securityteams gebruik van frameworks zoals MITRE ATT&CK, waarin technieken, tactieken en procedures (TTP's) van aanvallers worden vastgelegd. Deze data kan helpen om zelfs onbekende aanvallen te detecteren door patronen te herkennen die lijken op eerdere dreigingen.
Detectie van versleutelde aanvallen
Een voorbeeld dat werd besproken is hoe machine learning kan worden toegepast om dreigingen in versleuteld netwerkverkeer te herkennen zonder de versleuteling zelf te doorbreken. Door afwijkende gedragingen, zoals de verkeerspatronen van aanvallen, te detecteren, kan een AI-model bijvoorbeeld afwijkingen identificeren in het verkeer, zoals verschillen in normale zoekopdrachten en kwaadaardig verkeer. Dit biedt waardevolle inzichten zonder dat het versleutelde verkeer hoeft te worden geopend.
Gebruik van generative AI voor toekomstige dreigingen
In het onderzoek met generative AI kunnen nieuwe aanvalspaden worden geïdentificeerd die nog niet zijn waargenomen. Door bijvoorbeeld naar de code en mutatiestructuren van bestaande virussen te kijken, kan AI nieuwe aanvallen voorspellen. Dit is belangrijk omdat nieuwe virussen vaak mutaties zijn van oudere dreigingen. Door op deze manier patronen te leren, kan AI anticiperen op toekomstige varianten, wat zorgt voor een proactieve benadering van virusdetectie.
Monitoring van activiteiten en gedragspatronen
Machine learning kan ook worden gebruikt om het gedrag van potentiële aanvallers vroegtijdig te detecteren. Vaak zijn aanvallers al dagen of weken actief binnen systemen voordat ze daadwerkelijk toeslaan. Gedurende deze tijd laten ze een spoor van kleine gedragingen achter, zoals netwerkactiviteiten die niet in lijn zijn met normaal gebruik. Het identificeren van deze subtiele patronen kan helpen om vroegtijdig te waarschuwen voor een aanval. Dit proces kan door AI ondersteund worden en kan helpen om de "attack surface" – de kwetsbare delen van een systeem – proactief te verkleinen.
Gebruik van AI voor beveiligingsconfiguraties
AI biedt ook mogelijkheden om configuratiefouten in beveiligingssystemen te minimaliseren. Door AI toe te passen op de configuratie van beveiligingstools, kan men security intents instellen, waarbij AI ervoor zorgt dat de configuratie consistent en correct blijft. Dit vermindert het aantal menselijke fouten en verhoogt het algemene beveiligingsniveau. AI kan bijvoorbeeld configuraties automatisch aanpassen en versterken volgens beveiligingsrichtlijnen, waardoor een robuustere omgeving ontstaat.
Proactieve blokkade van kwaadaardige domeinen
Een concreet voorbeeld van proactieve AI-toepassing is de monitoring van domeinnamen die door ransomware-aanvallers worden gebruikt. Aanvallers maken vaak tijdelijke domeinen aan die slechts een korte periode actief zijn. Door de patronen van deze domeinen te analyseren en reverse engineering toe te passen, kan AI voorspellen welke domeinen aanvallers in de toekomst waarschijnlijk gaan gebruiken, zodat deze domeinen proactief kunnen worden geblokkeerd.
Uitdagingen voor defensieve AI
Hoewel AI en machine learning de defensieve zijde in cybersecurity significant versterken, blijven er uitdagingen. Zo blijft het moeilijk om een balans te vinden in het aantal meldingen die door AI worden gegenereerd. Overmatig veel meldingen kunnen analisten overweldigen, wat de effectiviteit van een Security Operations Center (SOC) kan verlagen. Een oplossing hiervoor is een meer selectieve aanpak, waarbij alleen meldingen met een hogere waarschijnlijkheid van dreiging worden doorgegeven.
Conclusie
In het algemeen bieden AI en machine learning dus krachtige nieuwe mogelijkheden om cyberdreigingen niet alleen te detecteren, maar ook te voorspellen en proactief tegen te gaan. Deze technologieën dragen bij aan een robuustere verdediging tegen geavanceerde en snel evoluerende cyberdreigingen.