AI in cybersecurity: bondgenoot én bedreiging in de digitale wapenwedloop

In de cyber­we­reld is AI een tech­no­logie met twee kanten: het kan gebruikt worden door aanval­lers én door verde­di­gers. AI-tools helpen aanval­lers om snel kwets­baar­heden te iden­ti­fi­ceren en te misbruiken. Cyber­cri­mi­nelen kunnen daarnaast hun aanvallen opti­ma­li­seren met AI-tools. Cyber­se­cu­ri­ty­pro­fes­si­o­nals gebruiken AI daar­en­tegen om processen te auto­ma­ti­seren, analyses uit te voeren en drei­gingen in een vroeg stadium op te sporen en te verhelpen. Orga­ni­sa­ties die geen gebruiken maken van geavan­ceerde tech­no­lo­gieën zoals AI, lopen het risico achterop te raken in de digitale wapenwedloop.

In de afgelopen jaren is de ontwik­ke­ling van AI in een stroom­ver­snel­ling gekomen en diep door­drongen in het bedrijfs­leven en in onze samen­le­ving. Wat we ons echter niet altijd beseffen, is dat AI al tien­tallen jaren wordt gebruikt in cyber­se­cu­rity, aanvan­ke­lijk om afwij­kende acti­vi­teiten te detec­teren. Toch is de tech­no­logie nu onmisbaar geworden in veel sectoren en in ons dagelijks leven omdat het processen kan auto­ma­ti­seren en opti­ma­li­seren en doordat het enorme hoeveel­heden data snel kan analy­seren. Eén ding is echter nog steeds hetzelfde als in de begintijd van AI in de jaren 80: het kan nog steeds niet func­ti­o­neren zonder mense­lijke tussen­komst – althans, nog niet. Dit betekent dat de inzet van AI afhan­ke­lijk is van mense­lijke intentie. En die mense­lijke intentie is helaas niet altijd ‘goed’.

Partners in crime: hoe AI aanvallers helpt

De ontwik­ke­ling van Large Language Models (LLM’s) en gene­ra­tieve AI gaat snel en de tech­no­lo­gieën worden al op grote schaal gebruikt, ook bij cyber­aan­vallen. AI maakt het voor aanval­lers makke­lijker om malware te ontwik­kelen, phishing-e-mails op te stellen en aanvallen te auto­ma­ti­seren. Als gevolg daarvan zijn de snelheid, het bereik en de verfij­ning van aanvallen aanzien­lijk toege­nomen. We hebben inmiddels het punt bereikt waarop phishing-e-mails en soort­ge­lijke social engi­nee­ring-tactieken niet langer eenvoudig te herkennen zijn.

Een paar jaar geleden waren phishing-e-mails vaak te herkennen doordat berichten volstonden met onhandige formu­le­ringen en spel­fouten. Bovendien werden er onge­loof­waar­dige verhalen gebruikt om ontvan­gers te misleiden en hen ertoe te verleiden op links te klikken of geld over te maken. Tegen­woordig is het herkennen van phishing-e-mails een stuk lastiger door het gebruik van AI. Daarmee kunnen cyber­cri­mi­nelen foutloze, geper­so­na­li­seerde berichten en over­tui­gende phishing-e-mails opstellen. E‑mails kunnen nu afkomstig lijken van een legitiem persoon – zoals je baas – die je vraagt om een bijlage te bekijken, bank­ge­ge­vens te wijzigen of trans­ac­ties uit te voeren. Bovendien kunnen aanval­lers nu zelfs audio en video van leiding­ge­venden of andere auto­ri­teiten genereren – een bekend voorbeeld hiervan is de deepfake van Ali Niknam, de topman van Bunq. De dreiging van audio­vi­suele mislei­dingen nemen toe. Slechts een paar foto’s zijn nu voldoende om realis­ti­sche deepfakes voor video­ge­sprekken te maken, compleet met geïmi­teerde stemmen en gezichten, of om mislei­dende beelden van politici te creëren om verwar­ring te zaaien en de publieke perceptie te manipuleren.

Een zorg­wek­kend recent voorbeeld betreft het vermeende gebruik van deepfakes van MarcoRubioviaSignal. Een aanvaller creëerde tekst- en audio­be­richten waarbij de Ameri­kaanse minister van Buiten­landse Zaken werd geïmi­teerd en nam contact op met hoog­ge­plaatste Ameri­kaanse politici en ministers van Buiten­landse Zaken van andere landen. Dit incident illu­streert hoe cyber­cri­mi­nelen en politiek gemo­ti­veerde actoren deepfakes kunnen gebruiken om de reputatie van politici te schaden, desin­for­matie te verspreiden en samen­le­vingen te desta­bi­li­seren. Het is daarom belang­rijk om snel en betrouw­baar de authen­ti­ci­teit van berichten te kunnen verifiëren.

Een intelligent schild: AI in cybersecurity

AI is echter niet alleen een nuttige tech­no­logie voor aanval­lers; ook verde­di­gers kunnen – en moeten – zich wapenen met intel­li­gente algo­ritmen. Cyber­se­cu­ri­ty­pro­fes­si­o­nals kunnen AI bijvoor­beeld gebruiken om deepfakes te herkennen doordat de tech­no­logie de verschillen tussen echte en valse iden­ti­teiten kan leren, incon­sis­ten­ties in beeld- en video­con­tent kan iden­ti­fi­ceren – zoals glitches in gezichten – en andere afwij­kingen in audio en video kan analyseren.

AI heeft echter nog meer voordelen op het gebied van cyber­se­cu­rity. Machine Learning en LLM’s helpen secu­ri­ty­teams door security-operaties te verbe­teren, bijvoor­beeld door afwijkend gedrag te detec­teren of drei­gingen te analy­seren. Een simpel voorbeeld: als een marke­ting­me­de­werker ineens toegang krijgt tot finan­ciële gegevens die niet van belang zijn voor zijn werk­zaam­heden, wordt er een waar­schu­wing gegeven. Om dit soort afwijkend gedrag effectief te kunnen detec­teren, moet AI voort­du­rend worden getraind met actuele data van mede­wer­kers inclusief hun rollen.

In het geval van een security-incident kan AI ook helpen door aanbe­ve­lingen te doen op basis van eerdere inci­denten en reacties. Deze aanbe­ve­lingen werken op dezelfde manier als bijvoor­beeld productsug­ges­ties van Bol​.com of Amazon, maar dan voor cyber­se­cu­ri­ty­maat­re­gelen: “Secu­ri­ty­ma­na­gers die op soort­ge­lijke inci­denten hebben moeten reageren, hebben de volgende maat­re­gelen genomen.” Hiermee kunnen IT-teams die slechts over beperkte cyber­se­cu­ri­ty­ex­per­tise beschikken toch adequaat reageren bij een incident.

Andere toepas­singen voor AI zijn onder meer phishing- en malware-detectie, risk assess­ment en gebrui­kers­be­heer. Vooral vulne­ra­bi­lity mana­ge­ment heeft baat bij innovatie op het gebied van AI, want AI kan bijvoor­beeld snel kwets­baar­heden detec­teren, risico’s nauw­keurig inschatten en auto­ma­tisch prio­ri­teiten stellen. Dit wordt steeds belang­rijker aangezien het aantal bekende kwets­baar­heden explosief is gestegen van ongeveer 6.500 in 2015 tot meer dan 40.000 in 2024. Een ander voordeel van AI in cyber­se­cu­rity is betere inter­actie tussen mens en machine. LLM’s maken het mogelijk om in natuur­lijke taal te commu­ni­ceren met systemen in plaats van via complexe commando’s. Hiermee kunnen secu­ri­ty­teams intu­ï­tiever commu­ni­ceren met IT-systemen – erg belang­rijk voor teams zonder diep­gaande kennis over cybersecurity.

AI in SOC

In het Security Opera­tions Center (SOC) – het centrum voor secu­ri­ty­mo­ni­to­ring en ‑analyse – biedt AI nog meer moge­lijk­heden. Secu­ri­ty­a­na­listen kunnen met behulp van AI rapporten in heldere taal genereren  over drei­gingen, op basis van foren­si­sche infor­matie die aan inci­denten zijn gekoppeld. AI kan daarnaast waar­schu­wingen groeperen en cate­go­ri­seren, waardoor incident response wordt gestroomlijnd.

Data bescherming – pas op voor collega ChatGPT

Ondanks al deze voordelen moeten mede­wer­kers voor­zichtig zijn bij het gebruik van LLM’s. Alle infor­matie die in een vrij beschik­bare LLM, zoals ChatGPT, wordt ingevoerd, wordt toege­voegd aan de trai­nings­da­ta­base van dat AI-model. Dit betekent dat, zoals bij alle webser­vices, geüploade gegevens op een of andere manier worden gebruikt. In het geval van LLM wordt de inge­voerde infor­matie bijvoor­beeld beschik­baar gesteld aan andere gebrui­kers. Vertrou­we­lijke data mogen daarom nooit naar een openbare LLM worden geko­pi­eerd. Hier geldt: als het gratis is, betaal je met je gegevens. Beheer­ders die hun volledige confi­gu­ratie op ChatGPT zetten om onder­steu­ning te krijgen bij het oplossen van IT-problemen, zullen vroeg of laat ook de rekening hiervoor gepre­sen­teerd krijgen.

Mensen blijven nodig

AI heeft zowel bij aanval als verde­di­ging altijd menselijk toezicht nodig. Slimme algo­ritmen kunnen processen opti­ma­li­seren, analyses maken, ‘alert fatigue’ vermin­deren en acties voor­stellen, maar de uitein­de­lijke beslis­sing blijft bij mense­lijke experts.

Synergie tussen mens en machine cruciaal voor effectieve cybersecurity

De cyber­se­cu­rity-industrie wordt op dit moment al uitge­daagd door aanval­lers die AI-tech­no­lo­gieën gebruiken om bekende kwets­baar­heden te detec­teren en te misbruiken. In de toekomst zal dit nog complexer worden: de volgende generatie AI-tools voor het detec­teren van kwets­baar­heden zal volledig nieuwe aanvals­vec­toren kunnen ontdekken middels verbe­terde rede­neer­vaar­dig­heden – om nog maar te zwijgen over de voort­du­rende ontwik­ke­ling in deepfakes. Het goede nieuws is echter dat alles wat vandaag en morgen wordt gebruikt door aanval­lers, ook gebruikt kan worden door cyber­se­cu­ri­ty­teams. Steeds meer bedrijven schakelen over op AI-geba­seerde secu­ri­ty­op­los­singen – voor data-analyse, detectie van drei­gingen of geau­to­ma­ti­seerde incident response. Uit onderzoek naar de samen­wer­king tussen mens en AI blijkt dat 64% van de onder­zochte IT-beslis­sers gelooft in het poten­tieel van AI om cyber­se­cu­rity te verbe­teren. Daarnaast beschouwt 45% AI als de centrale pijler van hun cybersecuritystrategie.

De toekomst van succes­volle cyber­ver­de­di­ging ligt in de stra­te­gi­sche samen­wer­king tussen mens en machine. Wie beide op een slimme manier combi­neert, zal niet alleen drei­gingen effec­tiever kunnen detec­teren en afweren, maar is ook beter voor­be­reid op de cyberrisico’s en aanvallen die we in de toekomst gaan zien.