Themas
Cyber resilience draait niet alleen om preventie, maar ook om real-time detectie, snel en adequaat reageren op incidenten én kunnen herstellen naar de oorspronkelijke staat. Artificial intelligence (AI) wordt daarbij steeds belangrijker. We leggen uit hoe deze groeiende rol eruitziet, welke voordelen AI binnen cyber resilience heeft, hoe het NIST-framework als leidraad kan dienen en waarom je continu moet evalueren en verbeteren.
De opkomst van AI in cyber resilience
Vroeger was het beveiligen van je landschap, simpel gesteld, lekker overzichtelijk. Al je IT-middelen zaten als het ware in een kasteel, met daaromheen de firewall als slotgracht, waarbij VPN-tunnels dienstdeden als goed beveiligde toegangspoorten. Door de grootschalige transitie naar de cloud heb je tegenwoordig juist talloze wegen naar binnen en naar buiten.
Het traditionele cybersecurityconcept, dat hoofdzakelijk focust op preventie, wordt in het securitydomein niet langer als de beste manier van beveiligen gezien. Het heeft plaatsgemaakt voor cyber resilience. De gedachte daarachter: de kans is levensgroot dat je vroeg of laat te maken krijgt met een cyberincident, dus moet je erop voorbereid zijn.
Omdat je een incident niet altijd kunt voorkomen, moet je veerkrachtig (resilient) zijn. Dat wil zeggen dat je incidenten real-time detecteert (detect), adequaat reageert op concrete aanvallen om de impact te minimaliseren (respond) én dat je in staat bent om de oude toestand van je IT-landschap te herstellen (recover). Naast detect, respond en recover komen ook de pijlers assess en prevent in veel definities van cyber resilience voor. Assess betekent het (constant) onderzoeken van je landschap, prevent slaat op het – al dan niet proactief – voorkomen van cyberincidenten, onder meer via security awareness.
Opkomst AI in cyber resilience: de voordelen
Cybercriminelen zetten AI in om hun aanvallen te raffineren, maar AI is ook een krachtige enabler voor security. Sterker nog: cyber resilience was zonder AI niet mogelijk geweest. De IT-landschappen van organisaties zijn te omvangrijk en complex en de datavolumes te groot om te kunnen beschermen zonder AI (en automatiseringen).
AI levert binnen cyber resilience onder andere de volgende voordelen op:
- Betere monitoring netwerkverkeer
- Detectie van real-time dreigingen
- Versterken preventieve maatregelen
- Automatiseren van responsprocessen
- Sneller en nauwkeuriger reageren
- Efficiënter grote datavolumes verwerken en analyseren.
#1 Netwerkverkeer monitoren en dreigingen detecteren
AI speelt allereerst een cruciale rol in cyber resilience door je netwerkverkeer 24/7 te monitoren. Het kan, in tegenstelling tot menselijke analisten, enorme volumes netwerkverkeer razendsnel en (nagenoeg) feilloos analyseren.
Met AI kunnen afwijkende patronen worden opgespoord. Dat zijn afwijkingen van de normale patronen binnen het netwerkverkeer, de systeemactiviteiten of het gedrag van gebruikers. Deze afwijkingen kunnen duiden op bijvoorbeeld malware-infecties, DDoS-aanvallen of hackpogingen.
Dankzij onder meer machine learning en gedragsanalyse kan AI ook geavanceerde aanvallen herkennen. Met deep learning-gebaseerde technologieën zoals Extended Detection & Response (XDR) kun je zelfs kwetsbaarheden detecteren die nog niet publiekelijk bekend zijn, die we ook wel zero day-kwetsbaarheden noemen. Het zelflerende vermogen van AI-algoritmes zorgt er bovendien voor dat je security-systeem altijd up-to-date is op het vlak van cyberdreigingen.
#2 Versterken van preventieve maatregelen
AI kan een krachtige bijdrage leveren aan preventie. Het optimaliseert onder meer voortdurend beveiligingsconfiguraties door regels te onderzoeken en aan te passen aan nieuwe dreigingen en ontwikkelingen, bijvoorbeeld voor je firewall. Artificial intelligence is natuurlijk ook de basis voor sterke encryptie.
Ook maakt het slimmer toegangsbeheer mogelijk. Op basis van analyses van het gedrag van gebruikers kan het AI-securitysysteem de risico’s beoordelen en de toegang van gebruikers automatisch aanpassen. Ook kan het vormgeven aan het least privilege-principe; door gebruikers alleen de toegangsrechten te geven die zij écht nodig hebben gezien hun taken en verantwoordelijkheden.
#3 Automatiseren van responsprocessen
Snelle respons op incidenten is cruciaal om de schade te minimaliseren. Een AI-systeem kan razendsnel en in veel gevallen zelfs volledig geautomatiseerd reageren op cyberdreigingen. Denk aan geïnfecteerde endpoints isoleren en de juiste mensen informeren. Daarnaast helpt AI bij het prioriteren van incidenten op basis van hun ernst, zodat de grootste gevaren als eerst worden opgepakt.
Plus: AI-systemen maken minder fouten dan mensen. Ze reageren consistent en nauwkeurig op incidenten, zonder dat ze last hebben van vermoeidheid of stress. En leveren daardoor betrouwbaardere en efficiëntere responsen op cyberdreigingen.
Aandachtpunten van de groeiende rol van AI in cyber resilience
Helaas kleven er ook wat nadelen aan de groeiende rol van kunstmatige intelligentie binnen AI. We noemen een paar veelvoorkomende uitdagingen.
Kwaliteit en volume van trainingsdata
De effectiviteit van AI-modellen hangt sterk af van de kwaliteit en hoeveelheid van de trainingsdata. Modellen kunnen verkeerde lessen trekken wanneer de gegevens niet representatief zijn, fouten bevatten of bevooroordeeld zijn. Een voorbeeld van een vooroordeel (ook wel bekend als bias): de data bevat voornamelijk activiteiten van een bepaalde leeftijdsgroep, waardoor afwijkingen in andere leeftijdsgroepen worden gemist.
Gebreken binnen de trainingsdata kunnen leiden tot false positives, waarbij veilige activiteiten als dreigingen worden gezien. Maar ook – en dat is veel erger – tot false negatives, waarbij echte gevaren onopgemerkt blijven.
Complexiteit en expertise
Het implementeren, configureren, gebruiken en beheren van AI-systemen vereist een hoog niveau van expertise. Dit vormt een uitdaging, aangezien er een groot tekort is aan securityprofessionals. Zonder voldoende kennis in huis is het lastig om AI-systemen effectief in te zetten, te onderhouden en door te ontwikkelen.
Evoluerende dreigingen vergen continue evaluatie
Het dreigingslandschap verandert voortdurend. Bijvoorbeeld door de snelle evolutie van technologieën, de opkomst van nieuwe aanvalsmethoden, de groeiende professionaliteit van hackers en het gebruik van kunstmatige intelligentie door aanvallers. AI stelt hen bijvoorbeeld in staat aanvallen te automatiseren, waardoor ze snel en eenvoudig op grote schaal naar kwetsbaarheden kunnen zoeken. Daarnaast wordt AI gebruikt voor het ontwikkelen van malware die zichzelf autonoom wijzigt, wat lastig te detecteren is door traditionele antivirussoftware.
Omdat het dreigingslandschap continu evolueert, moet je als organisatie je securitystrategie, je plannen (incidentresponsplan, disaster recovery-plan, etc.) én je concrete securitymaatregelen – inclusief je security awareness-programma – voortdurend evalueren en aanpassen.
Cyber resilience voor proactieve beveiliging
Apparaten, securitytechnologieën, dreigingen: het verandert allemaal razendsnel. Security die alleen is gericht op preventie biedt onvoldoende bescherming. Een proactieve aanpak is nodig. Je moet constant voorbereid zijn (ook op het ergste), snel kunnen reageren én meebewegen met alle ontwikkelingen.
In feite moet je altijd een stap vooruit denken en handelen. Dit geef je vorm door bijvoorbeeld netwerkactiviteiten te monitoren op afwijkingen en door beveiligingsprotocollen continu te evalueren en updaten.
Met een proactieve aanpak verklein je de kans op incidenten flink. Plus: je detecteert dreigingen voordat ze schade aanrichten én levert razendsnel adequate responsen op incidenten, waarmee je de impact van cyberaanvallen beperkt.
NIST-framework als leidraad voor cyber resilience
Het Cybersecurity Framework (CSF) van het Amerikaanse National Institute of Standards and Technology (NIST) bevat richtlijnen en best practices voor het identificeren van risico’s, het beschermen van kritieke infrastructuur en data, het detecteren van dreigingen, het reageren op gedetecteerde dreigingen en het herstellen van de normale bedrijfsvoering na een incident.
Het CSF omvat alle aspecten die je nodig hebt om cyber resilient te worden. Het framework geldt wereldwijd als dé leidraad voor security en cyber resilience. Ook IT creation neemt het CSF als uitgangspunt.
Hulp nodig?
Wil je cyber resilient worden (of blijven) en kun je assistentie gebruiken? Neem dan contact op met IT creation. We kunnen helpen via losse diensten, maar ook door een totaalpakket aan te bieden.
Geschreven door:
