Cyberaanvallen gericht op bedrijfsnetwerken winnen aan slimheid en gevaar. In grote lijnen zijn er twee type aanvallen: gerichte advanced persistent threat (apt)-aanvallen, waar personen achter schuilgaan, en geautomatiseerde opportunistische pogingen om bedrijfsnetwerken binnen te dringen. Wie zich wil beschermen tegen deze steeds vaker voorkomende aanvallen heeft zowel menselijke securityexperts als artificiële intelligentie (ai) nodig.
Voor it-managers is het detecteren van sporen van malware binnen een bedrijfsnetwerk bijna niet te doen; vindt maar eens een speld in een (hooi)berg aan data. Ai is in het signaleren van realtime- afwijkingen in het dataverkeer niet te verslaan. Maar menselijke logica en oordeelsvermogen blijven onmisbaar voor de beveiliging tegen complexe cyberaanvallen. Echte kracht zit in de combinatie.
Zes combinaties
- Artificiële en menselijke intelligentie vullen elkaar aan
Een ai-oplossing die met machine learning (ml) wordt geoptimaliseerd en actuele dreigingsinformatie ontvangt, kan grote hoeveelheden data snel en foutloos analyseren. Securityexperts kunnen op basis van de resultaten patronen in het dataverkeer interpreteren en de respons aansturen met procedures volgens protocol. Een securityanalist weet als geen ander de weg in de organisatie en dier it-omgeving, Daarom zijn zij ook de aangewezen trainers voor een ai-oplossing. Securityexperts helpen met het definiëren van normale, bonafide patronen in het dataverkeer, bijvoorbeeld door het taggen van bedrijfskritische systemen. Ze hebben ook kennis die niet meteen in het netwerkverkeer terug te zien is. Ze weten welke apparaten wel met het bedrijfsnetwerk zijn verbonden maar niet centraal worden beheerd. Verder zijn ze op de hoogte als hun organisatie een nieuwe vestiging opzet. Dit verklaart toegangsverzoeken vanaf ongebruikelijke ip-adressen. En ze weten het als hun organisatie nieuwe technologieën, applicaties en systemen implementeert.
- Informatie in context plaatsen
Ai-oplossingen volgen een statistische aanpak. Voor de detectie en preventie van cyberdreigingen moeten ze onderlinge verbanden kennen die verder gaan dan individuele data. De mens en zijn oordeelsvermogen zijn daarom nog altijd cruciaal. Concrete kennis van de organisatie is nuttig als een externe it-dienstverlener plotseling dingen doet binnen een subnetwerk waar die niets te zoeken heeft. Dit hoeft niet te leiden tot opvallende patronen in het netwerkverkeer, maar kan wijzen op kwade bedoelingen en is reden voor onderzoek.
- Anticiperen op volgende stap van hackers
Complexe apt’s blijven mensenwerk. Achter phishing-aanvallen op prominente personen binnen organisaties schuilen vaak geen spambots, maar social engineering-experts. Zij proberen met een kwaadaardige bijlage of link in een gerichte e-mail toegang tot het bedrijfsnetwerk te krijgen. Een ai-oplossing zal in dat geval detecteren dat een menselijke aanvaller het bedrijfsnetwerk probeert binnen te dringen. De specifieke werkwijze van de hacker is niet alleen met statistische indicatoren te bepalen. Een ervaren securityanalist kan zich in de hacker verplaatsen en de volgende stap inschatten.
- Inzicht in motieven van cybercriminelen
De beveiligingsstrategie van een organisatie moet rekening houden met de beweegredenen van cybercriminelen. Niet elke aanvaller wil data stelen of versleutelen om losgeld te eisen. Hackers kunnen diverse doelen hebben: it-resources misbruiken voor het minen van bitcoins, sabotage om politieke of persoonlijke redenen of pure baldadigheid. Cybersecurity houdt dus niet op bij databescherming of het dichten van gaten in de informatiebeveiliging. Een toekomstbestendige aanpak vereist ook psychologisch inzicht.
- Prioriteit gestuurde beveiliging in plaats van geautomatiseerde processen
Securityexperts brengen alle cyberrisico’s voor hun organisatie in kaart en geven daar prioriteiten aan. Keuzes zijn hierbij gebaseerd op de context. Is er sprake van makkelijk reproduceerbare data met weinig of geen zakelijke waarde, of gaat het om de kroonjuwelen? Een ai-oplossing kan vragen over de relevantie van data en bedrijfsprocessen voor zakelijke succes niet zelfstandig beantwoorden. Er zijn dus experts nodig om passende beveiligingsmechanismen te identificeren.
Securityexperts hebben bovendien oog voor branche-specifieke aanvallen. Als hackers webwinkel X met malware aanvallen, is het niet uitgesloten dat ze het ook bij concurrent Y en Z proberen. Een ai-oplossing met een focus op het interne netwerk herkent dit risico mogelijk pas als het te laat is.
- Beveiliging aansturen en nevenschade vermijden
Ai-oplossingen zijn heel goed in het herkennen van cyberdreigingen en kunnen automatisch tegenmaatregelen nemen. Helaas kunnen deze maatregelen schadelijke bijwerkingen hebben voor zakelijke en it-processen. De beveiliging is in sommige gevallen complex. Menselijke experts kunnen rekening houden met de gevolgen van tegenmaatregelen en onnodige nevenschade vermijden, zoals het uitschakelen van een iot-systeem dat de toegangscontrole regelt of it-systemen in de gezondheidszorg.
Securityexperts hebben ook een belangrijke adviserende rol bij de nazorg van beveiligingsincidenten. Aan de hand van een mirror van het complete netwerk kunnen zij een forensische analyse doen om na te gaan wat er is gebeurd en vergelijkbare aanvallen te vermijden.
Onmisbaar
Ai speelt een prominentere rol in cybersecurity, maar securityexperts blijven onmisbaar; Detection & response is goed. Managed dectection & response, waarbij experts beveiligingsmeldingen interpreteren, supervisie en ondersteuning bieden tijdens crisissituaties, en adviseren over een toekomstbestendige bescherming, is beter.
