Zal AI het dreigingslandschap snel onherroepelijk veranderen? Dat niet meteen, maar de technologie speelt wel een cruciale rol voor organisaties die het hoofd willen bieden aan de aanzwellende tsunami aan klassieke bedreigingen. Het is aan AI om ervoor te zorgen dat de arme IT-specialist niet verzuipt.
“De manier waarop we tien jaar aan een stuk beveiliging hebben geïmplementeerd, is niet langer houdbaar.” Dat stelt Patrick Commers, evangelist bij Fortinet in België, vast. “Er is een spanningsveld ontstaan tussen de bedreigingen en de bescherming, met dank aan nieuwe technologieën en snelle digitale transformatie. Samengevat is het aanvalsoppervlak veel groter. Er zijn veel meer entry points.”
Vals gevoel van veiligheid
Dat is intussen een gegeven, maar dat maakt het niet minder vervelend. Jarenlang was de norm voor beveiliging een best of breed-aanpak, waarbij bedrijven voor ieder probleem de meest geschikte oplossing kozen. Dat heeft voor een groot probleem gezorgd. Commers: “Vandaag heeft een organisatie al snel dertig tot veertig point solutions. Bedrijven pompen veel geld in bescherming maar kopen vooral een vals gevoel van veiligheid. Ze zien al hun oplossingen en denken dat ze beveiligd zijn.”
Vandaag werkt die aanpak niet meer. “Met al die verschillende oplossingen is het niet verwonderlijk dat het gemiddeld zo’n 221 dagen duurt voordat een organisatie doorheeft dat ze gehackt is.” Volgens Commers genereren alle afzonderlijke oplossingen zoveel logs en alerts, verspreid over zoveel dashboards, dat je van een redelijk mens niet kan verwachten dat die alles kan opvolgen. Je kan je niet beschermen tegen een bedreiging die je niet ziet. Een alternatief dringt zich op.
Lemmingen
“Een SIEM is volgens velen de magische oplossing”, weet Commers. SIEM, kort voor Security Information and Event Management, is een oplossing die alle data gegenereerd door de (afzonderlijke) point solutions samenvoegt. “Dat kan werken bij grote en mature organisaties met een goed bemande SOC”, denkt Commers, “maar voor kleinere organisaties is het dashboard van de SIEM als een kerstboom die begint te flikkeren. Als de ramen open konden, sprong het IT-team dat ermee geconfronteerd wordt als lemmingen uit het raam.”
Als de ramen open konden, sprong het IT-team als lemmingen uit het raam.
Patrick Commers, Evangelist Fortinet België
Volgens Commers is een SIEM voor al te veel organisaties niets meer dan een extra point solution voor de stapel en dan ook weggesmeten geld. “Het is de bedoeling om tot actionable security te komen”, weet hij. “Dat kan alleen wanneer IT-teams niet meer manueel naar alles moeten kijken.” Zo komen we uiteindelijk bij AI terecht.
Gartner en mesh
Commers neemt eerst nog een stap terug en wijst naar een eerder rapport van Gartner. Daarin prijst Gartner een alternatieve manier van beveiligen aan: weg met de point solutions, hoera voor de zogenaamde mesh architecture. Volgens die filosofie kies je als bedrijf niet voor best of breed, maar voor een vendor die zoveel mogelijk geïnterconnecteerde oplossingen heeft die je belangrijk vindt. Die oplossingen kan je dan als geheel implementeren.
Hij zegt het niet met zoveel woorden, maar we vermoeden dat Commers net als het gros van zijn collega’s bij Fortinet een ingekaderde kopie van het rapport in de slaapkamer bewaart. Het inzicht van Gartner is immers een echo van wat Fortinet al jaren zelf aan de man brengt als zijn Fortinet Security Fabric.
AI uit noodzaak
Zo’n mesh-architectuur legt de fundering voor de integratie van AI. Kunstmatige intelligentie werkt volgens Commers op twee niveaus. Het eerste staat bovenaan. Hij wijst naar Fortinet zelf en meer specifiek Fortiguard: de bedreigingsdetectie-tak van de beveiligingsspecialist.
Commers: “Fortiguard telt zo’n 500 onderzoekers, maar moet 100 miljard events per dag analyseren, patronen herkennen en samples onderzoeken. Zelfs 500 experts kunnen dat niet. Tien jaar geleden heeft Fortiguard daarom voor eigen gebruik een AI-platform gecreëerd.” Dat platform gebruikt machine learning en een geavanceerd neuraal netwerk om binnenkomende data te verwerken. Het systeem neemt zelf beslissingen om zo accurate uitkomsten te genereren.
Een decennium aan data
De AI van Fortinet teert op meer dan een decennium aan informatie afkomstig van eigen bronnen, samenwerking met concullega’s via de Cybersecurity Coalition en goede relaties met onder andere Interpol en de NAVO. “De output van een AI-systeem is maar zo goed als de input toelaat”, benadrukt Commers.
Het resultaat is een algoritme dat snel nieuwe malware kan herkennen, ook wanneer die vermomd is en er nog geen handtekening voor bestaat. Binnen de 24 uur en soms zelfs in enkele uren kan Fortiguard met dank aan de AI een beveiligingsupdate naar de gehele install base wereldwijd uitrollen met daarin een nieuw ontdekte dreiging. Daarbij worden sandboxes, IPS, firewall en meer meteen op de hoogte gebracht van het nieuwe risico.
AI in de doos
Omgekeerd zit er vandaag ook AI in toestellen zelf. Zo zijn algoritmes getraind op het neurale netwerk van Fortiguard in staat om op het niveau van het bedrijf een bedreiging te herkennen en via de mesh-architectuur meteen andere beveiligingstoestellen te waarschuwen met een impromptu gegenereerde handtekening.
AI speelt volgens Commers een essentiële rol in detectie en respons, gewoon omdat het voor een doorsnee mens niet mogelijk is om de tsunami aan waarschuwingen en logs tijdig te interpreteren. “En vandaag bestaat security voornamelijk uit een grotendeels geautomatiseerde detectie en respons”, zegt Commers, waarmee hij de rol van de bescherming niet wil minimaliseren.
AI bij de slechteriken
AI is dus handig om de dreigingen van vandaag te stoppen, en staat los van de eventuele aanvallen van morgen. Over speciale AI-gegenereerde dreigingen laat Commers momenteel geen slaap. “Cybercriminelen kijken wel naar AI, maar vooral om te ontdekken hoe ze die van de beveiligingsspecialisten kunnen verschalken.” Dat past in het klassieke kat- en muisspel waar beveiligers en aanvallers schijnbaar eeuwig in verwikkeld zullen blijven.
Voor AI-gedreven aanvallen is Commers niet meteen bang. “Een AI-platform vereist kennis, expertise, geld en een heleboel kwalitatieve data. Waarom zou een hacker zich het leven moeilijk maken en zo’n platform bouwen? Er zijn nog oneindig veel ongepatchte systemen en al evenveel oelewappers die op iedere link klikken die in hun mailbox terechtkomt. Het is helemaal niet moeilijk om binnen te raken op een netwerk.”
AI lost de problemen van vandaag op
“We moeten mensen niet bang maken met denkbeeldige futuristische bedreigingen”, besluit Commers. “Dan worden ze moedeloos. Bewustmaking is wel belangrijk. Wat zijn de trends? Hoe kan je het risico reduceren? Een platform waarbij alles met elkaar praat en AI een deel van de werklast overneemt, is daar vandaag wel essentieel.”
AI binnen cyberbeveiliging moet je dus niet zien als een futuristisch wapen om al even futuristische dreigingen tegen te gaan. De technologie is broodnodig voor bedrijven die het hoofd willen bieden aan de relatief klassieke maar buitengewoon talrijke bedreigingen van vandaag. Wie dat manueel wil doen met de hulp van point solutions, wordt gek en heeft gemiddeld meer dan een half jaar nodig om te ontdekken dat er een aanvaller door de firewall is gebroken.