Welk AI-model biedt de beste bescherming tegen moderne cyberaanvallen?
In het verleden gebruikten cybercriminelen bekende technieken en tools om met één aanval verschillende slachtoffers aan te vallen. Nieuwe technieken en ontwikkelingen in offensieve kunstmatige intelligentie (AI) maken het eenvoudiger voor aanvallers om op grote schaal aanvallen te creëren die zich richten op één slachtoffer; uniek en volledig op maat gemaakt voor het specifieke slachtoffer en zijn omgeving. Sommige AI-darkweb tools beweren aangepaste malware te kunnen genereren. Cyberaanvallen worden zo steeds geavanceerder en moeilijker te verdedigen. Het staat buiten kijf dat organisaties niet meer om AI heen kunnen om zich te wapenen tegen dit soort aanvallen. Wel is het belangrijk om onderscheid te maken tussen verschillende AI-modellen om te begrijpen welke vorm van AI de beste bescherming biedt.
Tekst: Pieter Jansen, SVP Cyber Innovation van Darktrace
Supervised machine learning om al bekende aanvallen te stoppen
Een van de meest gebruikte vormen van AI in beveiliging zijn tegenwoordig de supervised machine learning-modellen die zijn getraind op bekende aanvalsgegevens en gedrag van aanvallers. Supervised machine learning wordt gedefinieerd door het gebruik van gelabelde datasets om algoritmen te trainen, gegevens te classificeren of resultaten nauwkeurig te voorspellen. Deze modellen worden vaak gebruikt in Extended Detection and Response (XDR) oplossingen. Ze worden getraind op enorme hoeveelheden gestructureerde, gelabelde aanvalsgegevens en informatie over dreigingen en ze presteren zeer goed in het stoppen van die bekende aanvallen. Dit maakt ze een goed uitgangspunt voor elke beveiligings-stack. Deze modellen kunnen echter tekortschieten wanneer ze iets tegenkomen dat ze nog niet eerder hebben gezien. Als het model niet getraind is op een specifiek patroon, kan het dit gemakkelijk missen. Bovendien kunnen gemengde goedaardige of legitieme gegevens (syslog, netwerkverkeer, etc.) grote problemen veroorzaken in de effectiviteit en nauwkeurigheid van de prestaties van deze AI. En net als bij de meeste AI is testen en valideren cruciaal voor nauwkeurige resultaten.
Generatieve AI en LLM's om inzicht te bieden en belangrijke taken te automatiseren
Generatieve AI kan security-professionals helpen bij het op grote schaal contextueel inzicht geven van een bekende omgeving en belangrijke taken automatiseren, zoals het samenvatten of rapporteren van incidenten. Generatieve AI en veel LLM's worden getraind op miljarden parameters van statische gegevens die van het internet worden geschraapt. Dit maakt ze ideaal voor taken als het nabootsen van geavanceerde phishingaanvallen voor preventieve beveiliging of het creëren van eenvoudig te gebruiken query-mechanismen voor betere menselijke interactie.
Als generatieve AI echter niet op verantwoorde wijze wordt toegepast, kan het verwarring veroorzaken doordat het verwijst naar verzonnen gegevens, of door tegenstrijdige antwoorden te geven als gevolg van vooroordelen in de prompts (instructies die aan een AI worden gegeven) die door verschillende leden van het beveiligingsteam worden geschreven. Daarnaast zijn prompt-gebaseerde modellen onveilig door hun ontwerp. De risico's van het injecteren van prompts zijn bekende, veelvoorkomende aanvalsvectoren voor LLM's. Deze kwetsbaarheid is verwant aan of vergelijkbaar met SQL-injecties en blijkt zeer moeilijk te verdedigen.
Self-learning AI om te begrijpen wat normaal gedrag is en wat niet
Self-learning AI is een AI-aanpak met meerdere lagen die tientallen AI-technieken en honderden modellen omvat. Dit zijn onder meer meerdere machine learning-technieken, waaronder neurale netwerken, Bayesiaanse meta-classificatie-probabilistische modellen, verschillende clusteringstechnieken en grootschalige computationele reguleringstechnieken, samen met supervised-modellen om in real time een organisatie van binnenuit te leren kennen. AI wordt gebruikt om te begrijpen wat normaal is voor een organisatie, apparaat, account, gebruiker en/of cluster, en om afwijkend gedrag, patronen en activiteiten te identificeren. En om in real time te reageren om misbruik, verkeerde configuraties, incidenten of afwijkingen te beperken. Deze AI is getraind op de real time gegevens van elk bedrijf, waardoor het normaal gedrag kan begrijpen en daardoor het abnormale kan identificeren, inclusief nieuwe dreigingen zoals zero days, insider-dreigingen, nation state-aanvallen, cloud- en SaaS-gebaseerde aanvallen en zelfs aanvallen die door generative AI mogelijk worden, waaronder geavanceerde, geschaalde phishing-campagnes.
Welke AI biedt een organisatie de beste bescherming?
Om zich te beschermen moeten organisaties hun beveiliging aanpassen om het hoofd te kunnen bieden aan moderne dreigingen. Ze moeten vertrouwen op de juiste AI voor het juiste probleem. In de praktijk betekent dit dat een perimeter-gebaseerde aanpak die vertrouwt op regels en handtekeningen onvoldoende is. Dit heeft als reden dat activiteiten alleen tegen worden gehouden als het een incident associeert met iets kwaadaardigs dat het eerder heeft gezien. Zelfs als AI wordt gebruikt om deze aanpak te automatiseren, blijft het fundamenteel in het verleden steken, kijkt het terug naar eerder herkende dreigingen en moet het altijd een inhaalslag maken.
Daarentegen leren zelflerende AI-benaderingen wat 'normaal' is door continu elk apparaat, elke gebruiker en de miljoenen interacties tussen hen te analyseren. Zodra het 'zichzelf' kent, kan het subtiele afwijkingen van 'zichzelf' samenvoegen en de punten van een cyberaanval met elkaar verbinden. Op deze manier kan de AI zich aanpassen en meebewegen met de bedreigingen, en onbekende en nieuwe aanvallen herkennen.
Wil je meer lezen over hoe self-learning AI jouw organisatie kan beschermen? Kijk op darktrace.com.
Dit is een artikel uit Baaz 1.2024. Lees hem nu digitaal: Baaz 1.2024!
Lees meer
