“Niet bang zijn. Bang zijn verpest een hoop”, aldus Paul van Vliet in het tv-programma De Verwondering, dat opnieuw werd uitgezonden in verband met zijn recente overlijden. “Angst in alles, angst in werk, bang om stappen te zetten, bang om de liefde op te breken of aan te gaan, bang om te emigreren, bang om de waarheid te zeggen. Mensen zijn bang voor elkaar en ze zijn bang voor zichzelf.”
Ontwikkelingen in cybersecurity door betere wet- en regelgeving, dreigingsinformatie, processen en technologie volgen elkaar in rap tempo op en organisaties zijn daardoor beter – en sneller – in staat aanvallen te detecteren. Toch lijken we hier het afgelopen jaar juist banger voor te zijn geworden, door toegenomen cyberspionage, disruptieve en destructieve cyberaanvallen en ‘information operations’ voor het verzamelen van tactische informatie en het verspreiden van desinformatie.
In San Francisco vond onlangs de RSA-conferentie 2023 plaats. Het is ’s werelds grootste cybersecurity-conferentie, waar prominenten uit het vakgebied vertellen over de laatste en te verwachten ontwikkelingen op het gebied van cybersecurity. Begrijpelijkerwijs was een hot item dit jaar: Artificial Intelligence (AI). Enkele sprekers begonnen hun betoog zelfs met een door ChatGPT geschreven script of een introductie middels een deep fake-video.
De innovaties die ChatGPT en andere AI-toepassingen brengen, zijn niet te stoppen, dus we kunnen ze maar beter omarmen, zo denken velen. Er wordt geschat dat ChatGPT – amper drie maanden na go-live – begin dit jaar 100 miljoen maandelijkse actieve gebruikers heeft bereikt, waarmee het de snelst groeiende applicatie in de geschiedenis is. Ter vergelijking: TikTok had negen maanden nodig om 100 miljoen gebruikers te bereiken en Instagram deed er meer dan twee jaar over.
Logisch dat er bedenkingen zijn bij deze ontwikkelingen. Maar moeten we bang zijn? Vrijwel elke innovatie heeft een negatieve kant. Denk aan banenverlies, sociale ongelijkheid, klimaatverandering of inbreuk op de privacy van mensen. Toen het internet voor het eerst populair werd, waren er mensen die er bang voor waren. Dit had vooral te maken met onbekendheid: het internet was nieuw en veel mensen wisten niet wat ze ervan konden verwachten. Ze waren bang voor de onbekende aspecten ervan en de mogelijke gevaren die het met zich meebracht.
Hoewel de zorgen begrijpelijk waren, heeft het internet in de loop der jaren zijn waarde bewezen als een waardevol middel voor communicatie, informatie-uitwisseling en samenwerking. Mensen hebben geleerd hoe ze zichzelf en hun persoonlijke informatie online kunnen beschermen en er zijn wetten en regelgevingen opgesteld om misbruik te voorkomen.
Ook tijdens de ontwikkeling en toepassing van AI-producten zal een storming & normingfase plaatsvinden, waarin meningsverschillen over de juiste toepassing kunnen ontstaan. “De ‘Godfather van A.I.’ verlaat Google en waarschuwt voor gevaar”, aldus de kop van The New York Times. “Gedurende een halve eeuw heeft Geoffrey Hinton de technologie gekoesterd die aan de basis staat van chatbots zoals ChatGPT. Nu maakt hij zich zorgen dat het ernstige schade zal veroorzaken.” Samen met talloze wetenschappers pleit Hinton nu voor regelgeving op het gebied van AI.
De Europese Commissie werkt momenteel aan de AI-wetgeving, het eerste soort wetgeving voor kunstmatige intelligentie door een belangrijke regelgever. Net als de Algemene Verordening Gegevensbescherming (AVG) van de EU in 2018, heeft de AI-wetgeving het potentieel om een wereldwijde standaard te vestigen voor het bepalen van de mate waarin AI een positieve of negatieve impact heeft op het leven van mensen. Het ontwikkelen van een gemeenschappelijke visie en gedeelde waarden en normen, zal leiden tot een meer gecontroleerde toepassing van AI.
Helaas zien we dat kwaadwillenden (hackers) ook AI-toepassingen hebben ontdekt in dit vroege stadium van innovatie. Tijdens de RSA-conferentie vertelde Kevin Mandia (CEO van Mandiant) dat het aantal zero-day-aanvallen in de afgelopen paar jaren sterk is toegenomen. “Tussen 1998 en 2019 vonden er gemiddeld tien zero-day-aanvallen per jaar plaats. In 2020 zagen we meer dan een verdubbeling, en in 2021 vonden er zelfs 81 aanvallen plaats, in 2022 55”, zo vertelde hij. Wat is er aan de hand?
Een opvallend feit is dat naast zero-day-aanvallen op de dominant aanwezige platformen van Microsoft, Apple en Google, er steeds meer zero-day-aanvallen plaatsvinden in een andere categorie: netwerk security – waaronder firewall- en VPN-apparaten. Natiestaten hebben een leidende positie waar het gaat om het uitbuiten van kwetsbaarheden op de perimeter (buitengrenzen) van netwerken van organisaties. In het geval van CVE-2022-41328 (een gerapporteerde kwetsbaarheid in netwerkbeveiligingsapparatuur) concludeerde men dat de aanvallen zeer gericht waren, met enig bewijs dat de dreigingsactoren de voorkeur gaven aan overheidsnetwerken. Dit is ook door Kevin Mandia vastgesteld: “De aanvallers hebben zeer geavanceerde technieken toegepast die onder andere zijn gebruikt voor het reverse-engineering van delen van het besturingssysteem.” Wellicht met behulp van AI, is de heersende gedachte.
“Kwetsbaarheden in netwerksecurity-apparatuur vormen een serieus risico. Aanvallers krijgen toegang tot een organisatie via de beveiligingslaag van een netwerk, en daar is geen Endpoint Detection & Response (EDR)-dienst aanwezig”, aldus Mandia. “Ze hebben code geschreven op plaatsen waar we zelfs geen forensisch onderzoek konden doen, omdat het op het beschermde deel van een apparaat staat. Best een slimme plek om te zijn als aanvaller.”
Dit soort aanvallen is ontzettend moeilijk te detecteren, laat staan af te slaan. Dat is inderdaad een angstig idee. Echter, we kunnen net als bij andere dreigingen gericht actie ondernemen. Dit is dan ook precies de reden dat onze verbeteraanpak voor security operations begint met het vaststellen van de ‘normaal’. Zodra je inzicht hebt in normaal gedrag (lees: verkeer op je netwerk en in de cloud), kun je afwijkend gedrag (lees: dreigingen en aanvallen) detecteren.
Moeten we bang zijn voor AI in de context van cybersecurity? Het antwoord is nee. Sterker nog, het biedt ons zelfs de kans om zelf controle te nemen en AI te gebruiken om aanvallers effectiever en sneller op te sporen op basis van afwijkend gedrag in de overvloed aan security-events. Traditionele detectiemethoden, zoals op handtekeningen gebaseerde detectie of EDR-endpointdetectie, zijn niet langer voldoende.
Om de beveiliging toekomstbestendig te maken, is het belangrijk om aandacht te besteden aan de cloud, endpoints én het netwerk – en om daarbij AI in te zetten. Het gebruik van AI in security helpt onze analisten dreigingen sneller te identificeren te midden van een groot aantal mogelijke security-events. Maar vergeet niet om ook aandacht te besteden aan de veranderende processen, skillsets en governance-modellen. Wereldwijd zijn security professionals zich bewust van de noodzaak van deze aanpassing, zoals tijdens de RSA-conferentie 2023 is gebleken. Een geruststellende gedachte.
