AI: de beslissende factor in security

Het is het ultieme horrorscenario voor de CISO en waarschijnlijk ook voor CEO. De organisatie is slachtoffer geworden van een succesvolle cyberaanval. Helaas wordt dit scenario met de dag realistischer voor steeds meer organisaties. Dergelijke aanvallen vormen echter niet alleen een bedreiging voor de veiligheid van gegevens. Beveiligingsincidenten - en dan vooral degenen die openbaar worden - zijn een feest voor de media. Zij geven al snel iemand de schuld zonder de exacte achtergrond van een aanval te kennen. Voor je het weet is niet alleen het IT-systeem kapot, maar ook de reputatie van de organisatie.

Het achterhalen van het verloop van een aanval is van groot belang voor zowel het voorkomen van nieuwe aanvallen, als het ophelderen van een incident en het herstel van systemen. Hiervoor moeten een aantal vragen worden beantwoord. Hoe is de succesvolle aanval tot stand gekomen? Wie is de schuldige? Hoe kunnen de effecten van de aanval worden verholpen? Vaak blijven deze vragen onbeantwoord omdat het moeilijk is de antwoorden uit de stortvloed aan bedrijfsgegevens te filteren. Deze data kan zowel kwaadaardige activiteiten als gewenste systeemactiviteiten bevatten. Om de enorme hoeveelheid incidentdata snel en efficiënt te analyseren is naast ervaren analisten nog iets anders nodig: de AI (artificial intelligence)-factor.

Na een aanval: het begint met de endpoint

Het onderzoek naar een incident begint altijd bij het toegangspunt waarlangs cybercriminelen het systeem zijn binnengedrongen. De analyse van de ingewikkelde acties die tijdens de aanval zijn uitgevoerd, begint daarom vaak bij de endpoints van een organisatie. Endpoints zijn alle apparaten waar datacommunicatie begint of eindigt. Van werkstations en laptops, servers, virtuele- of zelfs cloud-systemen tot slimme koelkasten. Dit zijn allemaal endpoints die mogelijk als toegangspunt kunnen dienen. 

Maar hoe komt een succesvolle cyberaanval tot stand? Een medewerker heeft mogelijk een website bezocht die er normaal uitzag, maar door hackers is opgezet om bezoekers van de website te infecteren met malware. Of misschien heeft een gebruiker een met malware geïnfecteerde PDF-bijlage geopend die ontvangen is via mail. De mogelijkheden en creativiteit zijn bijna onbeperkt wanneer hackers een endpoint in beslag willen nemen en willen gebruiken als toegangspoort tot het bedrijfsnetwerk.

Moderne beveiliging tegen moderne bedreigingen

De afgelopen jaren hebben we veel meer inzicht gekregen in cyberaanvallen dan mogelijk was in de tijd dat er werd vertrouwd op beveiligingsmechanismen zoals Endpoint Protection Platforms (EPPs). Deze legacy-oplossingen waren afhankelijk van virus-signatures en volledig nutteloos tegen op geheugen gebaseerde malware, laterale beweging, bestandsloze malware of zero-day-aanvallen. Om effectief te beschermen tegen moderne dreigingen, zijn dergelijke legacy-oplossingen niet langer afdoende. Er zijn moderne cyberbeveiligingsoplossingen nodig.

Helaas bestaat er niet zoiets als een allesomvattende IT-beveiliging. Cybersecurity zal altijd een wapenwedloop zijn tussen aanvallers en verdedigers. In dit opzicht is AI een ongelooflijk krachtige tool waarmee leveranciers software kunnen ontwikkelen die niet alleen beveiligingsprofessionals helpt, maar in veel gevallen onafhankelijk het werk doet van een malware-analyst.

Een mens heeft jarenlange ervaring en training nodig om de vaardigheden en intuïtie te ontwikkelen om malware te detecteren. Tegenwoordig kunnen machine learning en een grote hoeveelheid data worden gebruikt om een programma te trainen om dezelfde taken binnen enkele uren uit te voeren. De kloof tussen mens en machine wordt kleiner en AI-modellen zijn op veel gebieden sneller dan mensen. Geautomatiseerde programma’s hebben vaak slechts enkele seconden nodig om taken uit te voeren, zoals gegevensanalyse, die een menselijke analist uren of zelfs dagen zou kosten.

Real-time context en vermindering werklast

Traditionele EDR-oplossingen zoeken naar een geïsoleerde activiteit en proberen deze vervolgens te koppelen aan een andere. Daarna wordt keer op keer, in een langdurig en meestal handmatig proces, vaak tevergeefs geprobeerd om een nauwkeurig totaalbeeld van het incident op te bouwen. Dit is niet het geval met een AI-gebaseerde oplossing. Alle puzzelstukjes worden automatisch en in realtime in elkaar gezet en beoordeeld om een snelle reactie te activeren, zonder menselijke tussenkomst.

Door middel van AI doet de machine het meeste werk op het gebied van cyberbeveiliging. Figuurlijk gesproken betekent dit dat er op elk systeem een analist in virtuele vorm is, een digitale SOC-analist op elke endpoint. Elk proces wordt gevolgd, in context geplaatst en geëvalueerd. Verdachte acties worden in realtime geïdentificeerd en de nodige reacties worden automatisch geïnitieerd. Als de menselijke analist toch wil of moet ingrijpen, maakt de oplossing het zoeken naar mogelijke signalen of voortekenen van dreigingen eenvoudig door het volledige verhaal te tonen vanaf één enkele Indicator of Compromise (IoC) en dit direct beschikbaar te stellen voor verdere analyse.

Een continue, geautomatiseerde en coherente weergave van alle datapunten (contextualisering) in één actie-thread is de sleutel tot geautomatiseerde verdediging tegen moderne bedreigingen. Een voorbeeld hiervan is SentinelOne’s ActiveEDR, een AI-gebaseerde geautomatiseerde analyse van systeem- en procesgedrag. Organisaties kunnen dit inzetten om te volgen wat er op elk apparaat gebeurt en het automatisch in context plaatsen. Hierdoor verdwijnt de noodzaak om te vertrouwen op de langzame en foutgevoelige menselijke factor. Ook kan het huidige tekort aan beveiligingsexperts op de markt worden opgevangen. Het stelt beschikbare beveiligingsmanagers daarnaast in staat zich te concentreren op wat belangrijk is en incidenten direct en naadloos te volgen om te zien wat er achter de mogelijk verdachte activiteit zit.