DTACT: Groeiende behoefte aan geïntegreerde security-oplossingen

“De uitdagingen waar onze klanten mee te maken hebben, kunnen op verschillende niveaus worden bekeken”, zegt Sander Swinkels (foto), CEO van DTACT. “Op macroniveau hebben maken zij zich natuurlijk zorgen over de grote geopolitieke spanningen. Ze vragen zich af wat dit betekent voor hun IT-systemen, vooral voor hun kritieke infrastructuur.”

“Ze hebben behoefte aan een holistisch beeld van wat er wereldwijd gebeurt, hoe dit hun directe omgeving en netwerken beïnvloedt, en hoe ze dit kunnen vertalen naar concrete actieplannen, of ze nu een overheids- of private partij zijn.”

Risico’s herkennen

Een opvallende trend is volgens hem hoe snel het publiek en de media risico’s nu herkennen. “Dit voedt de groeiende bewustwording rondom risico’s, en klanten vragen zich steeds meer af hoe ze deze risico’s kunnen mitigeren.” Daarnaast is er een uitdaging met betrekking tot de vele afzonderlijke beveiligingssystemen die klanten gebruiken, zoals endpoint protectie, netwerkbeveiliging en logbestanden.

“Hoewel deze systemen op zichzelf waardevol zijn, opereren ze vaak geïsoleerd van elkaar en genereren ze een grote hoeveelheid meldingen, waarvan veel vals-positieven zijn. Dit leidt tot een toenemende vermoeidheid bij klanten, vooral gezien de schaarste aan gekwalificeerd personeel. De vraag naar een geïntegreerde benadering, waarbij correlaties tussen verschillende systemen worden geïdentificeerd, wordt steeds groter.”

Automatisering

Daarom speelt automatisering een belangrijke rol. “In plaats van alleen te reageren op individuele waarschuwingen, zoeken klanten naar oplossingen die verschillende alerts en data kunnen clusteren, zodat een analist niet steeds handmatig hoeft te reageren. Dit maakt het mogelijk om met behulp van AI de juiste verbanden te zien en direct volledige casussen te presenteren die aandacht behoeven, waardoor het proces efficiënter wordt. Wereldwijd, niet alleen in Nederland maar ook bijvoorbeeld in Amerika, zien we dat deze aanpak steeds meer terrein wint.”

Die trend richting AI en automatisering wordt volgens hem wel iets te snel als oplossing gezien om processen te vereenvoudigen en te verbeteren. “Er zijn wel enkele problemen verbonden aan AI, zoals de discussie over het verantwoord gebruik ervan en waar het naartoe leidt. Daarnaast geldt nog steeds het principe garbage in, garbage out. Als de input niet deugt, kan AI geen waardevolle output leveren.”

Hallucinatie

Hij legt uit: “Wanneer AI wordt toegepast op geabstraheerde of gefilterde data binnen een netwerk, kan het risico op ‘hallucinatie’ ontstaan, wat betekent dat AI conclusies trekt of patronen ziet die niet echt zijn, simpelweg omdat de data te ver verwijderd is van de ruwe bron. Dit probleem kan leiden tot minder accurate resultaten en onbetrouwbare beslissingen.”

Een tweede punt van aandacht is de balans tussen geautomatiseerde workflows en de noodzaak van menselijke tussenkomst, de zogenaamde human in the loop. “Traditionele systemen zoals SIEM (Security Information and Event Management) hebben vaak rigide workflows die automatisch reageren op bepaalde gebeurtenissen, zoals een inlogpoging vanuit een vreemd land. Dit leidt soms tot ongewenste resultaten, omdat er geen rekening wordt gehouden met de context, zoals iemand die voor een conferentie in het buitenland is. In dergelijke gevallen moet de gebruiker zelf actie ondernemen om dit recht te zetten, wat niet altijd efficiënt is.”

Evenwicht vinden

AI biedt echter de mogelijkheid om contextueel te leren en te begrijpen wanneer een actie al dan niet legitiem is, door bijvoorbeeld extra informatie te verzamelen of zelf te analyseren of een regel moet worden toegepast. “De uitdaging voor klanten is het vinden van de juiste balans tussen volledige autonomie en menselijke tussenkomst. Te veel automatisering kan leiden tot fouten, maar te weinig automatisering kan inefficiënt zijn. De kunst is om een evenwicht te vinden waarbij AI en automatisering hun werk doen, maar de mens ingrijpt op kritieke momenten.”

Het werken met ruwe data, in plaats van afgeleide of geabstraheerde gegevens, is dus essentieel om betrouwbare en verantwoordelijke beslissingen te kunnen nemen. “Bij traditionele benaderingen, waar data wordt geëxtraheerd, getransformeerd en opgeslagen in verschillende formaten, ontstaan vaak problemen met dataduplicatie en verlies van informatie. Dit maakt het moeilijk om verantwoording af te leggen over de gemaakte keuzes en over de privacyaspecten die ermee gemoeid zijn.”

Ruwe data principe

De strategische keuze die DTACT daarom heeft gemaakt, is werken met het ‘ruwe data principe’, waarbij de oorspronkelijke data in zijn pure vorm behouden blijft en alleen de rekenkracht wordt gebruikt om verschillende formaten te interpreteren en te verwerken. “Dit voorkomt dat data moet worden gedupliceerd of getransformeerd, waardoor je altijd kunt terugkeren naar de bron en volledige forensische traceerbaarheid kunt garanderen. Hierdoor kun je altijd verantwoording afleggen over de beslissingen die zijn genomen, omdat je de ruwe data kunt analyseren, in plaats van een abstractie daarvan.”

Een concreet voorbeeld daarvan is een organisatie die bezig was met het opstellen van een soort ‘cyberweerbericht’, waarbij machine learning en regressiemodellen werden gebruikt om toekomstige bedreigingen in kaart te brengen. “Traditioneel gezien duurde dit proces maanden, vooral vanwege de noodzaak om data te extraheren, te transformeren en in verschillende systemen te laden, waarbij telkens opnieuw de gemeenschappelijke taal tussen verschillende databronnen moest worden bepaald. Hierdoor kon het tot zes à zeven maanden duren voordat een eenvoudig model operationeel was.”

Strategisch voordeel

“Onze aanpak, waarbij wordt uitgegaan van ruwe data met een virtuele datalaag zonder dat alles fysiek moet worden verplaatst of getransformeerd, heeft dat proces aanzienlijk versneld. Waar het voorheen maanden duurde, kan nu binnen enkele uren een model worden opgezet en getest. Dit is een enorm strategisch voordeel, vooral voor organisaties die snel moeten kunnen reageren op nieuwe dreigingen en trends. Het feit dat je direct terug kunt gaan naar de ruwe data zorgt er bovendien voor dat je veel beter kunt verantwoorden hoe de modellen werken en waar de beslissingen op zijn gebaseerd.”

Deze visie ligt ten grondslag aan de ambitie voor de toekomst van DTACT. “We streven ernaar om niet alleen agnostisch te zijn op technisch vlak, maar ook om dataproblemen in meerdere industrieën te kunnen aanpakken. Op dit moment ligt de focus op cyber security, nationale veiligheid en defensie, wat logisch is gezien onze ervaring en expertise, maar onze ambitie is om deze aanpak uit te breiden naar andere sectoren, zoals de zorg, farmacie of automotive, samen mèt onze partners.”

Door: Marco van der Hoeven