Vriend of vijand? De rol van AI in het cybersecuritydomein

Vriend of vijand? De rol van AI in het cybersecuritydomein

De brede inzet van AI-technologie in verschillende aspecten van ons leven heeft onze productiviteit enorm verbeterd, maar het heeft ook nieuwe bedreigingen geïntroduceerd die onze veiligheid in dit digitale tijdperk in gevaar kunnen brengen.
  • Het aantal cyberaanvallen neemt toe
  • Het MOVEit-datalek
  • Kan AI onze bondgenoot worden in de strijd tegen cybercriminaliteit?
  • De AI Cyber Loop van Darktrace identificeert en stopt aanvallen zelfstandig

Kunstmatige intelligentie is een onderwerp waar we niet over uitgesproken raken, vooral sinds de lancering van generatieve AI. Generatieve AI-modellen als ChatGPT, DALL-E en Stable Diffusion hebben in hoog tempo de markt veroverd. Mensen zetten ze massaal in om teksten, afbeeldingen en video’s te creëren die nauwelijks meer van menselijk werk te onderscheiden zijn. Het duurde niet lang voordat deze technologie ook de werkvloer bereikte, waar het nu gebruikt wordt om workflows te optimaliseren en de productiviteit van medewerkers te verbeteren. Maar nu generatieve AI-technologie op allerlei vlakken steeds meer terrein wint, groeit ook de bezorgdheid over de mogelijke negatieve effecten op mensen en de samenleving.

Hoewel een groot deel van het debat over generatieve AI zich richt op de gevolgen voor onze banen, kan deze technologie een nog veel diepere impact op de samenleving hebben. Zo maken veel sectorexperts zich zorgen dat generatieve AI de komende jaren tot een enorme toename van het aantal cyberdreigingen zou kunnen leiden. Iedereen kan met deze technologie namelijk geavanceerde cyberaanvallen uitvoeren, ook mensen met weinig of zelfs helemaal geen programmeerervaring. Wat nog zorgwekkender is, is dat generatieve AI cybercriminelen kan helpen om compleet nieuwe aanvallen uit te voeren waar de huidige beveiligingsprotocollen niet tegen opgewassen zijn. En dit kan enorme schadelijke gevolgen hebben — niet alleen voor bedrijven maar ook voor individuen. De vraag is nu dus: Hoe kunnen we ons hier tegen wapenen?

“Cybercriminelen richten hun pijlen op de mens, die vaak de zwakste schakel is in de beveiligingsketen. Naarmate AI en analyticstechnologie zich verder ontwikkelen, vinden zij nieuwe inventieve manieren om niet alleen ons vertrouwen maar ook onze hebzucht en voorkeur voor nog meer gemak uit te buiten”.

Amy Larsen DeCarlo, hoofdanalist bij GlobalData

Het aantal cyberaanvallen neemt toe

Het is algemeen bekend dat hackers maar al te graag gebruikmaken van opkomende technologieën voor hun criminele activiteiten en het duurde dan ook niet lang voordat ook generatieve AI hun aandacht trok. Dankzij deze technologie, waarmee je content kunt creëren die nauwelijks van echt te onderscheiden is, kunnen cybercriminelen ons op steeds slimmere manieren misleiden en gevoelige informatie stelen. Dit zien we in de opmerkelijke stijging van het aantal social engineering-aanvallen, die in 2023 niet alleen in aantal maar ook in ernst toenamen, een trend die zich naar verwachting in 2024 zal voortzetten, aldus data- en analysebedrijf GlobalData. “Cybercriminelen richten hun pijlen op de mens, die vaak de zwakste schakel is in de beveiligingsketen”, zegt Amy Larsen DeCarlo, hoofdanalist bij GlobalData. Naarmate AI en analyticstechnologie zich verder ontwikkelen, vinden zij nieuwe inventieve manieren om niet alleen ons vertrouwen maar ook onze hebzucht en voorkeur voor nog meer gemak uit te buiten”.

Zo voorspelt ook het Google Cloud Cybersecurity Forecast 2024-rapport dat cybercriminelen in de toekomst steeds vaker gebruik zullen maken van generatieve AI en large language models (LLM’s) om cyberaanvallen uit te voeren, waaronder sms- en phishing-aanvallen. In het verleden kon je phishing vaak herkennen aan de spel- en grammaticafouten. Maar nu generatieve AI haast perfecte natuurlijke taal produceert, is het veel moeilijker om deze aanvallen te spotten. Met generatieve AI kun je bovendien makkelijk nepnieuws en levensechte deepfakes creëren, waardoor je het verschil tussen echt en nep steeds lastiger ziet. Hierdoor wordt ook het publieke vertrouwen — zelfs in echte nieuwsbronnen — steeds verder ondermijnd. Maar bedrijven krijgen niet alleen steeds vaker met externe bedreigingen te maken. Werknemers kunnen bijvoorbeeld per ongeluk bedrijfsgeheimen lekken als ze gevoelige data in een AI-model invoeren, waardoor hackers deze info met de juiste prompts makkelijk kunnen onderscheppen. Om dit te voorkomen, zullen bedrijven passende beveiligingsmaatregelen moeten treffen. Ook moeten ze hun werknemers voorlichten over het juiste gebruik van generatieve AI.

Het MOVEit-datalek

Het afgelopen jaar werden we overspoeld door cyberaanvallen. Daarbij viel vooral de MOVEit-databreach op, door zijn enorme impact en grote aantallen slachtoffers. Via een zogenaamde zero-day-kwetsbaarheid in deze populaire file sharingsoftware kon de ransomwaregroep Clop de gegevens van talloze bedrijven en zelfs verschillende overheidsinstanties stelen. Onder de slachtoffers bevonden zich grote namen als Shell, British Airways en het Amerikaanse ministerie van Energie. Hoewel de ontwikkelaar, Progress Software, snel een oplossing voor het beveiligingslek uitbracht, was de schade al enorm. Bovendien duurde het maanden voordat de ware omvang van de schade duidelijk werd en kwamen er elke week nieuwe slachtoffers bij.

Volgens een onderzoek van het antivirusbedrijf Emsisoft zijn tot nu toe 2.167 organisaties over de hele wereld door het datalek getroffen. Ongeveer 88 procent hiervan komt uit de VS en de overige 12 procent is afkomstig uit Duitsland, Groot-Brittannië en Canada. Bovendien schat Emsisoft dat bij de inbreuk persoonlijke gegevens van meer dan 62 miljoen personen ‘op straat’ zijn komen te liggen. Het is wel belangrijk om te vermelden dat de werkelijke cijfers veel hoger kunnen zijn en mogelijk in de honderden miljoenen lopen. “De kans is groot dat veel bedrijven en ook individuen nog niet weten dat ze slachtoffer zijn”, zegt Brett Callow, een dreigingsanalist bij Emsisoft. “De MOVEit-aanval is vooral van belang vanwege het aantal slachtoffers, wie die slachtoffers zijn, de gevoeligheid van de gegevens die zijn buitgemaakt en alle manieren waarop deze gegevens kunnen worden gebruikt”. De totale kosten van de inbreuk worden op ongeveer $11 miljard geschat. Nog het meest verontrustend aan het hele voorval is dat zelfs organisaties die de MOVEit-software niet rechtstreeks gebruikten, toch getroffen werden doordat een samenwerkingspartner of leverancier dat wel deed. Hierdoor konden aanvallers via een omweg toegang krijgen tot gegevens van andere bedrijven binnen hun netwerk.

“Aanvallers gebruiken steeds vaker AI en ML om geavanceerde aanvallen te ontwikkelen, maar AI kan ook worden gebruikt om deze aanvallen tegen te gaan. Deze wapenwedloop tussen AI-gestuurde defensie en AI-ondersteunde aanvallen zal innovatie in de cybersecuritysector stimuleren, waardoor er steeds geavanceerdere beveiligingsoplossingen op de markt komen”.

Brian Roche, Chief Product Officer bij Veracode

Kan AI onze bondgenoot worden in de strijd tegen cybercriminaliteit?

Het is duidelijk dat cybercriminelen met behulp van AI slimmer en effectiever te werk kunnen gaan. Maar wie zegt dat we dezelfde technologie niet kunnen gebruiken om ons te verdedigen? Veel experts zijn namelijk van mening dat AI ook een machtig wapen kan zijn in de strijd tégen cybercriminaliteit. “Cybercriminelen gebruiken steeds vaker AI en ML om geavanceerde aanvallen te ontwikkelen, maar AI kan ook worden gebruikt om deze aanvallen tegen te gaan. Deze wapenwedloop tussen AI-gestuurde defensie en AI-ondersteunde aanvallen zal innovatie in de cybersecuritysector stimuleren, waardoor er steeds geavanceerdere beveiligingsoplossingen op de markt komen”, zegt Brian Roche, Chief Product Officer bij Veracode. “Er worden grote stappen gemaakt in de AI-gestuurde beveiliging. Deze slimme systemen sporen nu al dreigingen op, bepalen welke urgent zijn en automatiseren de respons op incidenten. En dat is nog maar het begin. Naarmate deze systemen meer leren en doorontwikkelen, zullen ze zichzelf steeds sneller aan de nieuwste gevaren kunnen aanpassen, waardoor ze nog slimmer en effectiever worden. Hierdoor zal AI-gestuurde cyberdefensie aanvallen in de toekomst steeds proactiever kunnen herkennen en tegengaan, nog voordat ze schade aanrichten. In de snel veranderende wereld van cybersecurity is het voor organisaties dus cruciaal om AI en machine learning te omarmen om criminelen een stap voor te blijven”.

Uit een recent onderzoek van CyberRisk Alliance, waar 800 senior besluitvormers op het gebied van IT en cyberbeveiliging van verschillende Amerikaanse en Britse organisaties aan deelnamen, blijkt dat 22 procent van de organisaties het grootste deel van hun cybersecuritybudget al heeft besteed aan AI-gestuurde oplossingen. Ongeveer 64 procent zal deze oplossingen hoogstwaarschijnlijk binnen een jaar implementeren. Uit het rapport blijkt bovendien dat 61 procent van de deelnemers vindt dat AI cyberdreigingen beter kan herkennen dan mensen dat kunnen. Het grootste voordeel van AI, vindt 46 procent, is dat het responsacties kan automatiseren. Maar de overgrote meerderheid van de respondenten is van mening dat mensen waarschijnlijk een belangrijke rol in cybersecurity zullen blijven spelen, omdat ze veel dingen nog altijd beter kunnen dan machines, zoals het begrijpen en uitleggen van de context van bedreigingen. “Het is duidelijk dat kunstmatige intelligentie de detectie van en reactie op bedreigingen enorm zal verbeteren. Maar laten we niet vergeten dat technologie op zichzelf geen volledige bescherming biedt tegen hedendaagse cyberdreigingen”, zegt Dan Schiappa, chief product officer bij Arctic Wolf. “Naarmate cybercriminelen steeds geavanceerdere AI-technieken inzetten, wordt de menselijke inbreng alleen maar belangrijker. Mensen zijn onmisbaar voor het doorgronden van nieuwe aanvallen en het begrijpen van de context ervan binnen een bedrijf. Bovendien is hun kennis en expertise cruciaal voor het trainen van AI- en machine learning-modellen die de ruggengraat vormen van toekomstige cybersecurity-oplossingen”.

De AI Cyber Loop van Darktrace identificeert en stopt aanvallen zelfstandig

Het in Cambridge gevestigde cybersecuritybedrijf Darktrace heeft onlangs een nieuwe suite gelanceerd: Cyber AI Loop. Deze geavanceerde toolset kan potentiële aanvallen zelfstandig herkennen én stopzetten voordat ze problemen veroorzaken. De Cyber AI Loop bestaat uit vier afzonderlijke componenten — PREVENT, DETECT, RESPOND en HEAL — die samenwerken om zowel interne als externe gegevens tegen indringers te beschermen. De kern van elk onderdeel is de zelflerende AI van Darktrace, die op de achtergrond alles dat er in het bedrijfsnetwerk gebeurt monitort, waaronder gebruikersgedrag en apparaatactiviteit. Hierdoor krijgt het beter inzicht in wat voor dit specifieke bedrijf ‘normaal gedrag’ is en kan het potentiële bedreigingen daardoor beter identificeren.

Het proces van Darktrace bestaat uit vier stappen. Het begint met PREVENT AI, dat bedrijfsservers, netwerken en IP-adressen scant om alle bedrijfsassets in kaart te brengen. Daarna bootst het aanvallen op elke asset na om kwetsbaarheden op te sporen — zo ontdekt het aanvalsmethoden die gebruikt zouden kunnen worden om het bedrijfsnetwerk binnen te dringen. Elke ontdekking van Darktrace wordt naar de DETECT- en RESPOND-onderdelen van de AI Loop gestuurd, die deze informatie gebruiken om de beveiliging te verbeteren. In fase twee zet Darktrace DETECT in om verdachte activiteiten te spotten. Daarbij wordt gebruikgemaakt van methoden als afwijkingsdetectie, gedragsanalyse, dreigingsemulatie en het detecteren van nog onbekende bedreigingen. Zodra deze opgemerkt worden, wordt Darktrace RESPOND geactiveerd. Deze fase is cruciaal: de dreiging moet onschadelijk gemaakt worden door getroffen apparaten of netwerksegmenten snel te isoleren en verdere verspreiding te voorkomen. Vervolgens wordt alle data over de aanval verzameld en teruggevoerd naar eerdere stappen van de AI Loop, zodat het systeem ervan kan leren en toekomstige aanvallen beter kan afweren. De vierde en laatste fase is Darktrace HEAL, waarin het systeem getroffen assets, devices en netwerken naar hun originele, veilige staat herstelt. HEAL genereert bovendien een gedetailleerd rapport van het incident om alle belanghebbenden te informeren over wat er heeft plaatsgevonden. Een ander belangrijk kenmerk van het HEAL-component is dat bedrijven verschillende aanvallen op hun systemen kunnen simuleren. Zo kunnen ze werknemers voorbereiden en leren wat ze moeten doen als er daadwerkelijk een cyberaanval plaatsvindt.

Een laatste overweging

De baanbrekende technologische ontwikkelingen op het gebied van kunstmatige intelligentie brengen ook nieuwe risico’s met zich mee die onze veiligheid in dit digitale tijdperk in gevaar kunnen brengen. In de verkeerde handen wordt AI een machtig wapen dat voor complexe cyberaanvallen gebruikt kan worden. Aan de andere kant kan AI juist ook een positieve kracht zijn; een oplettende beschermer die onze digitale assets tegen zowel interne als externe bedreigingen beschermt en ervoor zorgt dat de continuïteit van onze bedrijfsactiviteiten geen gevaar loopt. Naarmate we ons steeds verder in het digitale tijdperk begeven, moeten we ons afvragen: hoe maken we slim gebruik van de voordelen van AI en beschermen we onszelf en onze assets tegelijkertijd tegen de nieuwe risico’s die ontstaan? We moeten het juiste evenwicht vinden tussen het omarmen van technologische vooruitgang en het aanscherpen van onze digitale veiligheid. Het antwoord op deze vraag bepaalt niet alleen onze toekomstige cybersecuritystrategieën, maar ook hoe we veilig blijven in een wereld waarin alles en iedereen steeds meer met elkaar verbonden is.