Het goede nieuws over AI in cybersecurity is dat dezelfde technologie die aanvallers een voorsprong geeft, ook voor de verdediging werkt. Het slechte nieuws is dat we er een stuk slechter in zijn om dat voor elkaar te krijgen. Aanvallers hoeven maar één keer gelijk te hebben. Verdedigers moeten altijd gelijk hebben. En nu hebben beide kanten een machinegeweer, maar de verdedigers mogen er alleen mee schieten als ze zeker weten dat het doel een vijand is.
Anomaliedetectie: het vinden van de naald in een naaldenstapel
Een gemiddeld Security Operations Center verwerkt zo'n tienduizend alerts per dag. Per dag. Het merendeel daarvan is onschuldig — een medewerker die inlogt vanaf een onbekend IP omdat hij op vakantie is, een server die een backup draait op een ongebruikelijk tijdstip, een applicatie die meer geheugen gebruikt dan normaal. Ergens in die berg ruis zit mogelijk de ene alert die betekent dat er een aanvaller in je netwerk zit.
Dit is waar machine learning uitblinkt. Niet in het vervangen van de SOC-analist, maar in het voorsorteren. Een goed getraind model leert wat "normaal" is voor je omgeving en markeert afwijkingen. Niet de afwijkingen die er verdacht uitzien — dat kunnen regelgebaseerde systemen ook — maar afwijkingen die statistisch onwaarschijnlijk zijn. Subtiele combinaties die een mens niet zou opvallen: een login op een normaal tijdstip, vanaf een normaal apparaat, maar met een patroon van bestandstoegang dat net iets anders is dan de afgelopen zes maanden.
User and Entity Behavior Analytics (UEBA)
UEBA-systemen bouwen een profiel op van hoe elke gebruiker en elk systeem zich normaal gedraagt, en slaan alarm bij afwijkingen. Het is alsof je een buurvrouw hebt die alles onthoudt. "Die auto staat hier normaal niet." "Het licht gaat nooit aan om drie uur 's nachts." "De postbode kwam vandaag twee keer." Vervelend als buurvrouw, briljant als beveiligingssysteem.
Geautomatiseerde respons (SOAR)
Security Orchestration, Automation and Response — SOAR — is de logische volgende stap. Als een AI-systeem een bedreiging detecteert, waarom zou een mens dan handmatig moeten ingrijpen? Blokkeer het IP-adres. Isoleer het endpoint. Reset de credentials. Maak een ticket aan. Informeer het team. Dat kan allemaal binnen seconden, zonder dat iemand een knop hoeft in te drukken.
De angst is natuurlijk: wat als het systeem het fout heeft? Wat als het een legitieme gebruiker blokkeert? En dat is een terechte angst. Maar de realiteit is dat de gemiddelde menselijke reactietijd op een beveiligingsincident uren bedraagt. Soms dagen. De vraag is niet of automatische respons perfect is. De vraag is of het beter is dan een analist die het alert om 16:47 op vrijdag pas maandagochtend ziet.
AI voor threat hunting
Threat hunting — het proactief zoeken naar aanvallers in je netwerk — is traditioneel werk voor zeer ervaren analisten. Het vereist intuïtie, ervaring en het vermogen om patronen te zien die anderen missen. AI vervangt die analisten niet, maar geeft ze superkrachten. Het kan enorme hoeveelheden logdata doorzoeken, correlaties leggen die te complex zijn voor menselijke analyse, en hypotheses testen met een snelheid die geen team van analisten kan evenaren.
Denk aan het zo: een threat hunter zonder AI is een detective met een vergrootglas. Een threat hunter mét AI is een detective met een vergrootglas, een compleet forensisch lab, en een assistent die het gehele politiearchief uit het hoofd kent.
De valkuilen
- Garbage in, garbage out. Een AI-model dat getraind is op slechte data, produceert slechte resultaten. Als je logdata incompleet is, mist je model aanvallen.
- Alert fatigue 2.0. Slecht afgestelde AI-systemen produceren net zoveel valse positieven als de regelgebaseerde systemen die ze moesten vervangen.
- Adversarial attacks. Aanvallers die weten dat je AI-detectie gebruikt, passen hun gedrag aan om binnen het "normale" profiel te blijven.
- De black-box-uitdaging. Als je AI-systeem alarm slaat, moet je kunnen uitleggen waarom. Aan je CISO, aan de auditor, aan de rechter.
AI in de verdediging is geen wondermiddel. Het is een vermenigvuldiger. Het maakt goede teams beter en slechte processen sneller slecht. De organisaties die er het meest van profiteren, zijn niet de organisaties met de duurste tools, maar de organisaties die eerst hun basis op orde hebben.