Kunstmatige intelligentie en machine learning voegen nieuwe mogelijkheden toe aan beveiligingsmaatregelen. Aan de andere kant: het biedt ook voordelen voor hackers. In hoeverre moeten we blij zijn met ai op slagveld van de security?
Ai staat nog in de kinderschoenen, maar het potentieel van geautomatiseerde aanvallen is nu al revolutionair te noemen. Ai-gebaseerde malware wordt snel een risico van serieuze omvang. Bedrijven moeten daarop voorsorteren. Ai-malware is in te zetten om aanvallen snel groter te laten worden. Zogeheten polymorphic malware past zichzelf continu aan om niet herkend te worden.
TrickBot heeft zichzelf bijvoorbeeld ontwikkeld van een bank-trojan tot eentje die zich nu richt op creditcardbedrijven en vermogensbeheerders. Zodra deze bot een netwerk binnenkomt, infecteert hij automatisch systemen met kwaadaardige code. Door de continue verandering is hij lastig te traceren of tegen te gaan. Zijn sterke infrastructuur met command and control (c&c)-servers op gehackte routers, unieke c&c-ip-adressen en regelmatige updates vergroten dit probleem.
Verspreiding
Het is aannemelijk dat we een toename zien van ai-gestuurde phishing mails, spam en false flags. We zien bij TrickBot al dat spam-mail en phishing gebruikt worden om binnen te komen. Bedrijven moeten medewerkers dus (blijven) trainen om nep-mails te ontdekken, bijlagen niet zomaar te openen of op links te klikken. Huidige web application firewalls helpen bij het detecteren en tegengaan van bank-trojans, maar bedrijven moeten ze wel up-to-date houden om de ai-aangestuurde dreigingen bij te houden.
Interessant is ook dat ai is in te zetten om de aanwezigheid van malware in een netwerk te verhullen en verschillende aanvalstechnieken te combineren om de aanpak met de meeste impact te vinden. Hackers zullen ai inzetten om beveiligingsalgoritmen te omzeilen; het is dus cruciaal om daar een oplossing voor te vinden.
Sterke en zwakke punten
Omdat ai op zoveel plekken opduikt, kan het lastig zijn te bepalen waar security-systemen het best tot hun recht komen, en waar security-teams zich op moeten focussen.
Organisaties moeten zichzelf een paar vragen stellen: wat zijn de sterke en zwakke punten van de it-infrastructuur, wie is er in het security-team verantwoordelijk voor de verdediging, welke middelen zijn er om beter om te gaan met ai-gebaseerde dreigingen, en welke gedragingen (van medewerkers en de industrie als geheel) beïnvloeden de verdediging? Grote vragen, maar het geeft richting aan de juiste aanpak en het juiste gebruik van ai.
Het is van belang een preventie-, detectie- en response-strategie te hebben. Door ai goed te gebruiken, krijg je inzicht in nieuwe risico’s, aanvalspogingen en succesvolle inbraken. Het kan abnormale gebeurtenissen in een netwerk sneller detecteren en kenbaar maken dan welke specialist dan ook. Bedrijven kunnen het leven van hackers ook lastiger maken door kwetsbare applicaties te isoleren. Het is een handige manier om risico’s te verkleinen en malware af te stoppen door ze afgeschermd te houden. Door de sterke toename van applicaties en het bedrijfsbrede gebruik moet de beveiliging ervan altijd een prioriteit zijn voor it-managers om infrastructuren veilig te houden.
De businesscase voor ai in security is sterk, en de operationele efficiency van automatisering wordt met de dag helderder. Toch moeten we er niet blindelings op vertrouwen. Het is niet de oplossing voor alles, en security-teams moeten altijd een prominente rol houden. Sommige menselijke kennis en interactie met applicatie-services blijft bestaan. ai wordt nu door beide kampen omarmd; het is een krachtig wapen, in zowel de aanval als de verdediging.