Witold Kepinski - 23 augustus 2024

Hoe AI beveiligingsteams kan helpen hun organisatie te beschermen

De meningen zijn verdeeld over artificial intelligence (AI), met name over generatieve AI. Sommige mensen zijn enthousiast en optimistisch over het transformatieve potentieel ervan. Anderen ervaren angst en onzekerheid over de nieuwe risico’s die het introduceert. Uit onderzoek in opdracht van Darktrace blijkt dat 83% van de ondervraagde IT-beveiligingsteams in Nederland denkt dat AI-aangedreven cyberaanvallen nu al een significante impact hebben op hun organisatie. Max Heinemeyer van Darktrace gaat in deze blog nader op in.

Hoe AI beveiligingsteams kan helpen hun organisatie te beschermen image

Maar liefst 74% denkt dat ze op dit moment niet voorbereid zijn om zich te verdedigen tegen deze aanvallen. Ze maken zich zorgen over de groeiende hoeveelheid en geavanceerdheid van malware die zich richt op bekende kwetsbaarheden en over de toegenomen blootstelling van gevoelige of bedrijfseigen informatie door het gebruik van generatieve AI-tools. AI, cybercrime-as-a-service en automatisering vergroten de snelheid, geavanceerdheid en doeltreffendheid van cyberaanvallen.

De invloed van AI op pogingen tot phishing

Phishing is nog steeds een van de meest voorkomende aanvalsvormen. Uit een van onze onderzoeken blijkt dat het aantal ‘nieuwe social engineering-aanvallen’ in de eerste twee maanden van 2023 met 135% is toegenomen, wat overeenkomt met de periode van brede adoptie van ChatGPT. Deze phishingaanvallen vertoonden een sterke taalkundige afwijking – semantisch en syntactisch – in vergelijking met andere phishingmails. Dit suggereert dat generatieve AI cybercriminelen de mogelijkheid biedt om snel en op grote schaal geavanceerde en gerichte aanvallen uit te voeren. Een jaar later zien we dat deze trend zich heeft voortgezet. Klanten van Darktrace ontvingen alleen al in december 2023 ongeveer 2.867.000 phishing e-mails, een stijging van 14% ten opzichte van een paar maanden eerder in september. Tussen september en december 2023 nam het aantal phishingaanvallen dat gebruikmaakte van nieuwe social engineering-technieken gemiddeld met 35% toe in het klantenbestand van Darktrace.

Deze observaties komen overeen met trends die anderen in de sector hebben waargenomen. Microsoft en OpenAI hebben bijvoorbeeld dit voorjaar een onderzoek gepubliceerd over dreigingsactoren die tactieken, technieken en procedures (TTP’s) hebben uitgebreid met Large Language Models (LLM’s). Dit omvat bijvoorbeeld het gebruik van LLM’s om social engineering-aanvallen op te stellen en te genereren of om te helpen bij kwetsbaarheidsonderzoek.

De opkomst van cybercrime-as-a-Service

De groeiende cyberuitdagingen kunnen niet alleen worden toegeschreven aan AI. Ook de opkomst van cybercrime-as-a-Service verandert de dynamiek. Uit het Darktrace 2023 End of Year Threat-rapport blijkt dat cybercrime-as-a-Service dominant blijft in het dreigingslandschap, waarbij malware-as-a-Service (MaaS)- en ransomware-as-a-Service (RaaS)-tools het meest gebruikt worden door aanvallers. Het as-a-Service-ecosysteem kan aanvallers van alles bieden; van kant-en-klare malware tot templates voor phishingmails, betalingsverwerkingssystemen en zelfs hulplijnen, zodat kwaadwillenden met beperkte technische kennis aanvallen kunnen uitvoeren.

AI maakt onbedoelde insider threats mogelijk

De nieuwe risico’s waar organisaties mee te maken hebben, komen echter niet alleen van buitenaf. Doordat ze generatieve AI-tools gebruiken, is er ook kans op onbedoelde dreigingen van binnenuit. Werknemers die generatieve AI-tools gebruiken, hebben eenvoudiger toegang tot meer organisatiegegevens dan ooit tevoren. Zelfs de meest goedwillende werknemer kan via deze tools onbedoeld lekken of toegang krijgen tot vertrouwelijke, gevoelige gegevens. In de tweede helft van 2023 gebruikte ongeveer de helft van de werknemers van onze klanten generatieve AI-diensten. Aangezien dit blijft toenemen, hebben organisaties beleidsregels nodig om de use cases voor generatieve AI-tools te begeleiden, maar ook sterke data governance en de mogelijkheid om deze beleidsregels af te dwingen om risico’s te minimaliseren.

Het is onvermijdelijk dat AI de risico’s en dreigingen voor organisaties zal vergroten. Maar hoewel generatieve AI zaken als nieuwe social engineering kan verergeren en nieuwe soorten onbedoelde dreigingen van binnenuit kan creëren, biedt AI ook een sterke verdediging.

Stap over op een proactieve cyberbeveiligingsaanpak

Van oudsher wachten organisaties tot incidenten zich voordoen en vertrouwen ze op bekende aanvalsgegevens voor het opsporen van en reageren op dreigingen, waardoor het bijna onmogelijk is om nieuwe dreigingen te identificeren. De traditionele security stack bevat ook veel point solutions, die vaak niet in staat zijn om verschillende incidenten te correleren en zo een compleet beeld te creëren van een georkestreerde aanval. Zelfs door tools toe te voegen die gebeurtenissen vanuit de hele organisatie kunnen samenvoegen, reageren organisaties reactief als ze dreigingen opsporen en erop reageren.

Dit moet anders. Organisaties moeten proactief interne en externe kwetsbaarheden identificeren, hiaten in het beveiligingsbeleid en beveiligingsprocessen opsporen voordat een aanval plaatsvindt, silo’s doorbreken om alle dreigingen (bekend en onbekend) tijdens een aanval te onderzoeken en zorgen dat de menselijke analist zich kan bezighouden met incidentvalidatie en herstel na een aanval. Ook hier kan AI bij helpen. Het kan silo’s binnen het SOC doorbreken en een meer proactieve benadering bieden om verdedigers te helpen. Het biedt een rijkere context wanneer het wordt gevoed met informatie uit meerdere systemen, datasets en tools binnen de stack en kan een diepgaand, realtime inzicht in het gedrag binnen een organisatie opbouwen, wat mensen alleen niet kunnen.

Lessen van AI in het SOC

Wanneer de juiste AI op verantwoorde wijze wordt toegepast op de juiste cyberbeveiligingsuitdaging, is de impact op zowel het menselijke beveiligingsteam als de organisatie groot. AI biedt snelheid en schaal voor de meest tijdrovende, foutgevoelige en psychologisch vermoeiende onderdelen van cyberbeveiliging, zodat mensen zich kunnen focussen op het werk dat echt waarde toevoegt en dat alleen zij kunnen doen. AI helpt medewerkers bijvoorbeeld al goed met Incident respons en continue monitoring.

Een effectieve samenwerking tussen mens en AI is essentieel voor een proactieve cyberbeveiligingsaanpak en kan directe invloed hebben op het werkleven van medewerkers. Het kan burnouts verminderen, datagedreven besluitvorming stimuleren en de afhankelijkheid van moeilijk te vinden, gespecialiseerd talent verminderen. Het belangrijkste is dat AI ervoor zorgt dat teamleden zich kunnen richten op zinvollere taken, zoals initiatieven op het gebied van compliance, gebruikerseducatie en het opsporen van geavanceerde dreigingen.

De ontwikkelingen rondom AI gaan razendsnel. Aanvallers zullen deze ontwikkelingen in de gaten houden en het waar mogelijk in hun voordeel gebruiken. Maar AI heeft ook al bewezen dat het een aanwinst is voor verdedigers. Daarnaast helpt een proactieve benadering van cyberbeveiliging organisaties hun readiness te vergroten. Door prioriteit te geven aan cyberbeveiliging, stimuleren organisaties hun innovatie en vooruitgang.

Door: Max Heinemeyer, Darktrace

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW