Het digitale tijdperk, met cloud, mobility en ‘always connected’ devices, stelt hoge eisen aan de traditionele aanpak van cybersecurity. De georganiseerde cybercriminelen gebruiken in toenemende mate machine learning en artificial intelligence waardoor de aanvallen elke minuut van vorm, grootte en kleur kunnen veranderen. Steeds meer leveranciers van securitysystemen zien geen andere mogelijkheid dan tegen deze aanvallen ook AI in te zetten. En dat is precies wat SentinelOne Endpoint Protection doet. Sterker nog: het legt de cybersecurity zelfs geheel in handen van autonome machines.

Topbestuurders vrezen – terecht – cybercriminaliteit; reden waarom het onderwerp op vrijwel alle board-agenda’s staat. Er worden CISO’s aangesteld die niet meer aan een CIO maar rechtstreeks aan de board rapporteren. Een belangrijke verandering, constateert Nicholas Warner, chief operations officer bij securityleverancier SentinelOne. “Maar pure noodzaak. Want aan de gebruikerskant is niet snel genoeg geïnnoveerd, vaak door interne, politiek ontstane silo’s. En de klanten eisen steeds snellere dienstverlening en nog meer functionaliteit.

Aan de andere kant hebben digital enterprises te maken met agile werken, clouddiensten en rechtstreekse verbindingen met internet. In dat spanningsveld is geen plaats meer voor de klassieke aanpak van cybersecurity.”

Volgens hem heeft de rapid development cycle security ironisch genoeg gedegradeerd tot een afterthought. “Security als poortwachter aan het eind van de weg. Dat kan anno nu echt niet meer. Wij zien cybersecurity als iets wat om alles heen zit, er bovenop ligt.”

Netwerk-aware

Volgens Warner, die al meer dan achttien jaar actief is in cybersecurity (onder meer bij McAfee), zijn de grote leveranciers al jaren geleden opgehouden met fundamentele vernieuwing. “Innovatie komt alleen van startups”, zo stelt hij.

Toegegeven, SentinelOne pakt cybersecurity anders aan: het beschermt niet alleen de traditionele desk- en laptops maar ook cloudservers, cloud-workloads en on-premise servers. Hier wordt ook mobiele security aan toegevoegd. Warner: “Het systeem focust niet op het device waarop de agent geïnstalleerd is, maar ziet alle gedrag, connecties en apparaten eromheen. Je zou kunnen zeggen dat het een soort sensornetwerk vormt dat alles in het netwerk ziet – ook de onbeschermde devices.”

DNA-sample

Cybercriminelen genereren steeds nieuwe aanvalstechnieken met machines – en dus ook met de snelheid daarvan. Daar zijn menselijke analisten niet tegen opgewassen. Alleen andere machines die gebruikmaken van AI en machine learning (ML) bieden daartegen soelaas, aldus Warner.

Hoe ziet dat er in de praktijk dan uit? “Ons systeem inspecteert een bestand al voordat het daadwerkelijk draait”, legt hij uit. “Dat gebeurt niet aan de hand van een door mensen opgestelde checklist of hash. De machine maakt als het ware een DNA-sample van het bestand, en vergelijkt die met een database. Zo bepaalt zij of de file goed of slecht is.”

Een ander belangrijke functie is behaviour analysis. “Door ons ontwikkelde algoritmes zien dat een bepaald systeem of onderdeel ervan minder goed begint te functioneren. En dat kan heel geleidelijk gaan, gedurende uren, dagen of maanden”, zegt Warner. “De ‘bad guys’ kunnen daar niet omheen werken: ze moeten immers bepaalde stappen zetten om bij de gewenste data te komen om die te stelen of te gijzelen. ML en AI volgen ze op de voet – beter dan een mens zou kunnen.”

Autonoom

SentinelOne werkt autonoom, dat wil zeggen dat het op eigen initiatief besmette machines offline kan halen. Het gaat nog verder: de software constateert de kleinste verandering in een device of netwerk. “Het systeem hoeft dus niet te wachten tot de aanval daadwerkelijk plaatsvindt om in te grijpen, en kan eventuele schade of besmettingen ongedaan maken terwijl de laptop gewoon in gebruik is. De eigenaar merkt niet eens dat er een aanval op zijn laptop is gedaan.

Dat rekent af met het slechte imago van security, dat het alles langzamer maakt en altijd in de weg zit. Deze aanpak verstoort de dagelijkse gang van zaken niet en reduceert het risico voor bedrijven tegelijkertijd. En,” zo benadrukt Warner, “bedrijven kunnen meer risico nemen; ze hoeven niet alle laptops volledig dichtgetimmerd aan de gebruikers te geven.”

Ambities

Het is maar de vraag in hoeverre bestuurders bereid zijn hun cybersecurity geheel in handen te geven van machines. Dat herbergt toch een zeker risico – elk systeem is zo goed als de bouwer ervan. Maar de belangstelling voor autonome, op AI en ML gebaseerde securitysystemen is echt groot, brengt Warner daar tegenin. Hij verwijst naar de ruim 2.500 enterprise-klanten van zijn bedrijf, waaronder drie uit de Fortune Top 10.

En na een recente investeringsronde die 120 miljoen dollar opleverde, zijn de internationale ambities en verwachtingen van SentinelOne groot. Warner verwacht binnen de komende achttien maanden 40 procent van de omzet buiten de VS te kunnen behalen. De tijd zal leren of de aanpak van zijn bedrijf in de rest van de wereld op enthousiasme kan rekenen. Dat er een rol voor AI in cybersecurity is weggelegd, is een no brainer. Maar of de mens zo rigoureus buitenspel moet worden gezet als SentinelOne voorstaat… De afweging tussen voor- en nadelen is niet eenvoudig.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Als hoofdredacteur was hij van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen, onlines en congressen. Vanaf 2001 was hij communicatieadviseur en hoofdredacteur van diverse media bij Ten Hagen & Stam en Sdu Uitgevers. Sinds 2008 is hij actief bij ICT Media (bladen, online, onderzoeken en events) en tevens eigenaar van Contact Media, producent van content voor de IT-sector.

REAGEREN

Plaats je reactie
Je naam