Aanpakken AI-cyberdreiging vraagt om samenwerking tussen mens en technologie

Huidige large language models (LLMs) beschikken over indrukwekkende programmeervaardigheden, maar ze hebben nog beperkingen. Sommige organisaties denken dat aanvallers met LLM’s bijvoorbeeld nieuwe technieken of strategieën voor initiële toegang hebben kunnen maken, maar vooralsnog zien we hier nog geen doorbraken in. Desondanks ontwikkelt AI zich in een ongekend hoog tempo. In slechts een paar jaar tijd hebben we grote vooruitgang gezien in het genereren van tekst, audio, afbeeldingen en video.

De grote vraag is: wanneer zal AI een grote verschuiving veroorzaken in de manier waarop cybercriminelen aanvallen uitvoeren? Het antwoord is dat dit nu al gebeurt. AI heeft het makkelijker gemaakt om code te schrijven, malware te ontwikkelen, overtuigende phishingconstructies op te zetten en aanvallen te automatiseren. Hoewel het beperkte vermogen van AI om logisch te redeneren er tot nu toe nog niet heeft geleid tot nieuwe aanvalsmethoden, hebben aanvallers bestaande soorten aanvallen kunnen optimaliseren – ze zijn nu geavanceerder, beter schaalbaar en sneller uit te rollen. Security teams moeten daarom proactief blijven en begrijpen hoe ze zelf AI kunnen gebruiken om cybersecurity te versterken, de kans is – gezien het tempo van ontwikkelingen op het gebied van AI – immers groot dat we binnenkort geavanceerde redeneervaardigheden zien.

Schadelijke vormen van AI: chatbots, phishing en deepfakes

Social engineering-aanvallen zijn voor aanvallers een goedkope en effectieve manier om cybersecuritymaatregelen te omzeilen, nieuwe AI-tools – generatieve AI in het bijzonder – maken het makkelijker om effectievere aanvallen uit te voeren.

Chatbots

Op 30 november 2022 lanceerde OpenAI ChatGPT en maakte het grote publiek kennis met de mogelijkheden van geavanceerde chatbots. De meest geavanceerde chatbots trainen hun modellen met behulp van een methode genaamd ‘reinforcement learning from human feedback’ (RLHF). Dit

houdt in dat een chatbot leert van menselijke feedback om zijn gedrag aan te passen en beter te reageren op wensen van gebruikers. Hierdoor kunnen de chatbots menselijke conversaties beter nabootsen en geven ze nauwkeurigere, relevantere antwoorden. Daarnaast kunnen chatbots een breed scala aan taken uitvoeren zoals het schrijven of debuggen van code – het was daarom slechts een kwestie van tijd voordat mensen chatbots voor schadelijke doeleinden gingen gebruiken. Onderzoekers ontdekten bijvoorbeeld in juni 2023 dat de ChatGPT API kon worden gebruikt om polymorfe (of muterende) malware te maken. Dit is schadelijke software die van uiterlijk kan veranderen om detectie door security systemen, zoals endpoint detection en response (EDR) tools, te voorkomen.

Phishing

Voor de nieuwste phishing methodes worden AI-modellen gebruikt die zeer nauwkeurige en realistische berichten genereren, waarmee de kans groter is dat mensen worden misleid. Deze verbeterde social engineering-aanvallen kunnen leiden tot ransomware of BEC-aanvallen (Business Email Compromise), die nu al voor veel schade zorgen.

Hoewel BEC-aanvallen zich normaal gesproken richten op financiële instellingen en medewerkers binnen een organisatie die directe toegang hebben tot financiële middelen, richten aanvallers zich met behulp van AI steeds vaker en effectiever op de maakindustrie, educatieve- en andere sectoren. Aanvallers kunnen met generatieve AI de meest herkenbare signalen van een BEC-aanval verhullen door bijvoorbeeld de spel- en grammaticafouten uit e-mails te halen. AI wordt echter niet alleen ingezet om spel- en grammaticafouten te verbeteren, onderzoekers hebben chatbots bijvoorbeeld met succes gemanipuleerd om zich voor te doen als een Microsoft-medewerker via een techniek die bekend staat als indirecte promptinjectie. Hiermee kunnen phishingmails worden gegenereerd die afkomstig lijken te zijn van een legitieme interne gebruiker.

Deepfakes en Vishing

Generatieve AI maakt het ook eenvoudiger om overtuigende deepfakes te creëren, waarmee phishingaanvallen nog effectiever worden. Voice phishing (of vishing) vormt een groeiende dreiging dankzij AI. Aanvallers doen zich voor als medewerkers en richten zich op callcenters, helpdesks en andere afdelingen die op afstand communiceren en toegang kunnen verlenen — bijvoorbeeld via processen voor wachtwoordherstel of -reset. Zelfs live videofeeds worden gemanipuleerd om aanvallers eruit te laten zien en klinken als legitieme medewerkers. Moderne deepfake tools hebben slechts een paar foto’s nodig, die eenvoudig te vinden zijn op LinkedIn of op een openbaar social media account.

Zonder een goede manier om op afstand iemands identiteit te controleren, bijvoorbeeld met fysieke hardware keys, blijven mensen die hulp op afstand bieden een makkelijk doelwit voor cybercriminelen die AI gebruiken.

Schadelijke AI in de toekomst

Dankzij de vooruitgang op het gebied van AI, met name in LLM’s, worden modellen steeds beter in het begrijpen van complexe onderwerpen zoals wiskunde en snappen steeds beter hoe data stromen door applicaties. Dankzij deze ontwikkelingen worden AI-modellen steeds beter in het identificeren van niet alleen bestaande, maar ook nieuwe beveiligingslekken. Zowel pentesters als cybercriminelen vertrouwen daarom steeds meer op LLM’s om kwetsbaarheden te vinden – dit is echter een tweesnijdend zwaard. Aan de ene kant kan het organisaties helpen om veiligere code te schrijven en cybersecurity te versterken, maar aan de andere kant kunnen aanvallers het ook gebruiken om eenvoudiger en sneller kwetsbaarheden te vinden om te misbruiken.

Veilig blijven voor AI cyberaanvallen

Hoewel we meer AI-ondersteunde cyberaanvallen kunnen verwachten in de toekomst, kunnen organisaties stappen nemen om zich te verdedigen – vaak met behulp van tools en processen die ze al hebben. Voor een robuuste cybersecurity strategie moeten organisaties een strategische samenwerking ontwikkelen tussen mens en AI. Hierbij kan een organisatie gebruikmaken van de voordelen van AI, bijvoorbeeld bij het detecteren van dreigingen, gecombineerd met de expertise van cybersecurityprofessionals om incidenten goed te verwerken. Voor een goede cybersecurity strategie is echter meer nodig – het opbouwen van een organisatie-brede securitycultuur is essentieel.

Organisaties kunnen daarnaast technologieën gebruiken, zoals multi-factor authentication (MFA), e-mail- en identiteitscontroles, netwerksegmentatie en het afdwingen van 'least privilege', om zichzelf goed voor te bereiden op cyberdreigingen. Bovendien wordt organisaties aangeraden om regelmatig kwetsbaarheidsaudits en pentests te doen om bestaande en nieuwe zwakke plekken te identificeren en te verhelpen. Om de alsmaar evoluerende dreigingen voor te blijven, zorgt 24/7 monitoring van de hele omgeving – eventueel door een securitypartner – voor snellere detectie van en respons op potentiële aanvallen.

Door: Dan Schiappa (foto), Chief Product & Services Officer bij Arctic Wolf