Het recente ‘Threat Landscape’-rapport van FortiGuard Labs geeft inzicht in de aard en oorsprong van bedreigingen, van evoluerende varianten tot destructieve aanvallen. Het ‘bedreigingslandschap’ blijft zich in hoog tempo ontwikkelen. In dit artikel wordt dieper ingegaan op de huidige bedreigingen en uitdagingen hierbij, in het bijzonder op de toepassing van machine learning (ML) en op artificiële intelligentie (AI)-gebaseerde beveiligingsoplossingen. Die technologieën zijn namelijk noodzakelijk geworden voor endpoints, clouds en netwerken om de snelle veranderingen in de bedreigingen beter te registreren en organisaties te helpen bij het herstellen en prioriteren van beveiligingsincidenten.
Organisaties transformeren hun systemen in hoog tempo en dat brengt nieuwe risico’s met zich mee. FortiGuard Labs ontdekte in het afgelopen half jaar een recordaantal zero-days. Daaruit blijkt dat beveiligingsteams waarschijnlijk onvoldoende zicht hebben op de langetermijnimpact die de nieuwe toepassingen van hun organisatie hebben op de verdediging daarvan. Toch zullen organisaties die toepassingen waarschijnlijk blijven gebruiken, ongeacht de potentiële beveiligingsrisico’s.
AI- en ML-bescherming tegen geavanceerde bedreigingen
Aangezien cyberaanvallen steeds sneller, geavanceerder en destructiever worden, wordt tijd een steeds belangrijkere factor van de verdediging. Onderzoeken tonen aan dat aanvallers gemiddeld al zes maanden aanwezig zijn in het netwerk voordat zij handelen of ontdekt worden. CISO’s moeten daarom hun IT-beveiligingsaanpak herevalueren en de focus verleggen van het voorkomen van toegang naar detectie. Het proces en de middelen voor identificatie, detectie, bescherming, reactie en herstel dienen afgestemd te worden op een continue impactanalyse en prioritering. Daarnaast moeten organisaties investeren in trainingsprogramma’s om expertise op te bouwen op het gebied van tools voor AI en ML, die bedreigingsinformatie kunnen uitpluizen, correleren en extraheren uit de massa gegevens die de huidige IT-beveiligingsoplossingen verzamelen. Dat soort training kan ook een goede motivatie zijn voor het personeel.
Het inzetten van automatisering voor IT-beveiliging is geen kwestie van alles of niets. Je kan geleidelijk mogelijkheden toevoegen, bijvoorbeeld door eerst what-if scenario’s te creëren in een analysetool en daar vervolgens geavanceerdere faciliteiten aan toe te voegen. Elke organisatie heeft baat bij het gebruik van oplossingen die gebruikmaken van modellen voor AI en ML waarmee men bekende en onbekende bedreigingen kan detecteren. Een organisatie kan zich echter vooral onderscheiden door het gebruik van AI voor snelle besluitvorming op het gebied van beveiliging. Met AI kunnen organisaties bovendien dynamische aanvalsscenario’s voor malwarecampagnes creëren, met name op het gebied van tactieken voor het ontwijken van de verdediging. AI biedt echter ook een effectieve manier om de tegenaanval in te zetten, door het patroon van deze aanvallen te leren. De organisatie moet hierbij in eerste instantie kijken naar oplossingen voor endpoints en sandboxing die zijn uitgerust met AI voor effectieve tegenmaatregelen.
SOC en EDR optimaliseren
AI en ML kunnen overal nuttig zijn, maar het is belangrijk om prioriteiten te stellen en te beginnen waar je het meeste voordeel kan behalen. Het rapport laat zien dat bijna 60% van de tactieken die hackers hanteren om het systeem van de organisatie binnen te dringen, gebruikmaakt van middelen die de verdediging ontwijken. Daarom is de inzet van AI het allereerst van belang voor endpointbeveiliging, zoals een op AI gebaseerd Endpoint Protection and Response (EDR)-systeem. EDR biedt een volledig inzicht in de activiteiten van het systeemproces en beschermt de plek waar de kans op menselijke fouten het grootst is.
Daarnaast draait het personeel bij organisaties die groot genoeg zijn om een SOC te hebben meestal op volle toeren. Die teams worden geplaagd door het zogenaamde alert fatigue: zij worden moe van alle meldingen van beveiligingsoplossingen. In dat geval kan geautomatiseerde assistentie ingeschakeld worden als een virtuele analist die helpt met triage, zodat de medewerkers gevrijwaard zijn van routinematige en alledaagse taken en zich kunnen richten op gebieden waar hun analytische vaardigheden worden ingezet op manieren waar machines niet aan kunnen tippen.
Uitdagingen bij AI en ML
Het grote probleem met AI en ML is hetzelfde probleem dat IT al sinds het begin achtervolgt: garbage in, garbage out. De tools zijn slechts zo goed als de datasets waarmee ze worden getraind. Idealiter wil je AI en ML dus trainen op basis van miljarden datapunten afkomstig van miljoenen apparaten over de hele wereld. Daarnaast is ook personeel met de juiste vaardigheden cruciaal, vooral omdat er een duidelijke trend is om uitleg te vragen over de output van AI-algoritmen. Bovendien moeten CISO’s ook hun organisatiesysteem in de gehele cyberaanvalsketen begrijpen en AI-oplossingen inzetten om deze bedreigingen te stoppen.
DRPS als aanvulling op proactieve strategieën voor cyberdefensie
Terwijl organisaties zich traditioneel naar binnen richten met betrekking tot hun beveiligingsaanpak en waargenomen risico, helpt digital risk protection service (DRPS) organisaties om externe risico’s van niet-traditionele bronnen zoals het diepe en dark web te begrijpen en te kwantificeren om ondergrondse en dreigende bedreigingen voor hun merk te beperken. De service kan vergeleken worden met een 360°-evaluatie op het werk, waarbij je een aantal collega’s vraagt om je sterke en zwakke punten en andere kwaliteiten te evalueren. DRPS bekijkt je omgeving vanuit het oogpunt van de aanvaller. Analisten van beveiligingsteams en bedreigingsonderzoekers kunnen hiermee bedrijfsmiddelen ontdekken die eigendom zijn van hun organisatie en die mogelijk onopgemerkt blijven. Het helpt hen ook om actieve campagnes op het dark web te identificeren en merkbescherming te bieden tegen dreigingsactoren die zich op hun medewerkers richten. Hoewel AI dus geen wondermiddel is, kan het de IT-beveiliging verbeteren door de vereiste flexibiliteit te bieden om te reageren op een steeds veranderend bedreigingslandschap.