Door kunstmatige intelligentie staan security operations centers (SOC’s) aan de vooravond van een revolutie. Het filteren van incidenten uit grote hoeveelheden securitydata wordt meer en meer het werk van slimme, zelflerende machines. Waar moeten CIO’s en CISO’s nu al rekening mee houden?

Rondom SOC’s hangt vaak een zweem van romantiek. Als ware crime scene investigators analyseren hackers ieder verdacht bestandje dat binnenkomt. Met de meest geavanceerde tools proberen ze de bad guys te slim af te zijn. In een dagelijkse race tegen de klok halen ze een fingerprint nog even snel door een database of simuleren wat er gebeurt als een gebruiker op een executable klikt.

Administreren en programmeren

Helaas zijn niet alle werkdagen van een SOC-analist even spannend. Het overgrote deel van de tijd gaat zitten in het administreren van de tickets die nodig zijn om alarmen volgens afspraak af te handelen. Zo’n alarm kan bijvoorbeeld betrekking hebben op een foutieve inlogpoging op een server. Als blijkt dat een geautoriseerde medewerker zijn wachtwoord was vergeten, kan het ticket direct weer worden gesloten. Niets aan de hand, case closed.

Ondertussen is het bijna onvermijdelijk dat belangrijkere zaken ontsnappen aan de aandacht van de SOC-analisten. Onder andere de endpoints, netwerkapparatuur en securitydevices zorgen dagelijks voor een continue stroom aan securitydata. Aan de SOC-analisten de taak om die databerg te analyseren en de incidenten eruit te filteren. Voor het menselijk brein is het echter bijna niet te doen om alle beschikbare datasets met elkaar te combineren en correleren.

Het gebruik van usecases maakt het werk van een SOC-analist iets efficiënter. Zo’n usecase beschrijft een situatie die afwijkt van het gangbare, die door middel van geprogrammeerde correlatieregels in gelogde gebeurtenissen moet worden geïdentificeerd. Van een afwijking kan bijvoorbeeld sprake zijn als een computer in het netwerk verbinding maakt met een IP-adres dat op een zwarte lijst staat. Doet die situatie zich voor, dan volgt er een melding die een SOC-analist moet opvolgen. Het valt echter niet mee om alle mogelijke scenario’s te bedenken en ook zo te programmeren dat er daadwerkelijk een alarm afgaat.

Securitymonitoring automatiseren

Het registreren van tickets en programmeren van usecases zijn niet direct werkzaamheden die de meeste waarde toevoegen en waar SOC-analisten gelukkig van worden. Het is tegen deze achtergrond dat de securityindustrie hoge verwachtingen heeft van kunstmatige intelligentie. Hiermee is in ieder geval het detecteren en analyseren van dreigingen te automatiseren, waardoor de securityprofessionals tijd overhouden voor het onderzoeken van de echt ingewikkelde zaken en te ‘hunten’ naar alles wat alsnog onder de radar is gebleven.

Zo hoeven zij zich (in de toekomst) niet meer bezig te houden met het programmeren van correlatieregels. In plaats daarvan leert een slimme computer zelf wat gangbaar gedrag is. Als er sprake is van een afwijking, wordt er automatisch een alarm gegenereerd waarna de SOC-analisten actie kunnen ondernemen.

Maar ook de handelingen na een melding zijn te automatiseren. Nu bepaalt in de meeste gevallen het ‘runbook’ hoe er wordt gehandeld. Hierin staat bijvoorbeeld dat ‘Piet’ wordt geïnformeerd als er sprake is van communicatie met een blacklisted IP-adres. Hij zorgt er dan voor dat de computer in kwestie van het netwerk wordt gehaald.

Dit zijn handelingen die geautomatiseerd kunnen worden. De blacklist kan een centrale database zijn en een netwerkswitch kan via scripts worden verteld dat een aangesloten computer in quarantaine moet worden geplaatst. Dat betekent dat in dit scenario een computer al van het netwerk af is voordat wij als mens hebben kunnen lezen wat er aan de hand is. En die snelheid is nodig om een lopende aanval in de kiem te kunnen smoren.

Aanvallen voorspellen

Onderzoeksinstituten zoals het Massachusetts Institute of Technology gaan zelfs nog een stap verder. MIT’s Computer Science and Artificial Intelligence Lab heeft met A12 een securityplatform ontwikkeld voor het voorspellen van aanvallen.

AI-gebaseerde security beleeft dit jaar zijn momentum

A12 spit dagelijks door tientallen miljoenen logregels en markeert alles wat mogelijk verdacht is. Securityanalisten van vlees en bloed bevestigen de waarnemingen van A12 en corrigeren het systeem als een waarneming niet klopt. Op die manier ‘leert’ A12 aanvallen herkennen. Niet zonder succes. In vroege trials heeft het platform al 85 procent van de aanvallen goed voorspeld.

Voorbereiden op AI

Volgens diverse marktonderzoekers beleeft AI-gebaseerde security dit jaar haar ‘momentum’. Als we ESG Research mogen geloven, heeft bijna 30 procent van de bedrijven de wens om nog dit jaar kunstmatige intelligentie in te zetten voor het detecteren van dreigingen of het verbeteren van de incident-response. P&S Market Research denkt dat de wereldwijde AI-securitymarkt tot 2023 jaarlijks met 36 procent groeit.

Voor veel bedrijven is het toepassen van kunstmatige intelligentie binnen het securitydomein echter nog toekomstmuziek. Zij zijn vooral bezig met het inrichten van de monitoring en detectie. Toch kan het geen kwaad om alvast conceptueel na te denken over zaken als machine-learning en kunstmatige intelligentie. CIO’s en CISO’s moeten in ieder geval van de volgende twee zaken doordrongen zijn.

1. Kunstmatige intelligentie lost niet alles op

Toepassingen van kunstmatige intelligentie zullen de komende jaren vooral zijn gericht op het detecteren van dreigingen en het triggeren van alarmen. Het ondernemen van de juiste acties na een alarm blijft voor een belangrijk deel mensenwerk. Wie gaat er dan wat doen? Dat proces moet goed geborgd zijn nog voordat kunstmatige intelligentie haar intrede doet.

Dit is zeker belangrijk als de organisatie samenwerkt met verschillende beheerpartijen en providers van clouddiensten. Hoe krijg je de controle over een aanval als je een extern beheerde infrastructuur hebt die deels on-premise en deels op Amazon draait, met daarnaast nog een stukje Office 365?

2. Menselijke interactie blijft belangrijk

Menselijke intelligentie blijft nodig om de impact te overzien van door machines genomen beslissingen en om te beoordelen of geautomatiseerde processen goed verlopen. Het is aan mensen om goed te keuren wat machines doen en in te grijpen als het misgaat. Ook dat is een vorm van security. Bovendien blijven menselijke intelligentie en creativiteit nodig om proactief te hunten naar unieke aanvalspatronen.

Security is niet alleen een instrument om boeven te vangen, maar ook een kwaliteitsmechanisme om controle te behouden over informatie en informatievoorzieningen. Die controle wordt in het huidige tijdperk van digitale transformatie steeds belangrijker. Zonder security als kwaliteitsmechanisme weet je niet en kun je niet aantonen aan klanten, leveranciers en aandeelhouders of systemen nog beschikbaar zijn en sensoren de juiste data doorgeven. En kun je evenmin aantonen of je volledig geautomatiseerde bedrijfsprocessen lopen zoals verwacht.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter