Lex Borger van Tesorion over de link tussen AI en cybersecurity

De grootste, 100% Nederlandse cybersecuritydienstverlener Tesorion werkt steeds meer met AI bij Managed Detection & Response. Daar profiteren klanten van, vertelt senior security consultant Lex Borger. InfoSecurity Magazine spreekt hem over onder meer de link tussen AI en cybersecurity in algemene zin, en waarom AI relevant is bij NIS2.

Managed Detection & Response (MDR) leunt zwaar op AI assisted detectie, met de nadruk op assisted, stelt Lex. In zijn ervaring helpt het bij het signaleren van afwijkingen die kunnen leiden tot incidenten. Tesorion maakt voor de MDR-diensten gebruik van onder andere Cybereason, SentinelOne en Vectra.

De samenhang met cybersecurity ligt voor de hand. “SOC-consultants zullen dit verhaal herkennen, want velen van hen komen om in het werk”, weet Lex. “Ze raken verstrikt in een woud van potentiële incidenten die ze moeten onderzoeken. Dat leidt tot overbelasting en fouten die ernstige gevolgen kunnen hebben. AI helpt, vandaar de term assisted, bij het filteren, voorsorteren en organiseren van informatie die bij een SOC binnenkomt.”

Eigen kennis blijft nodig

De drie processen filteren, voorsorteren en organiseren, en zorgen er volgens Lex voor dat het aantal false positives afneemt. Daardoor wordt het totale aantal meldingen kleiner. Wat overblijft, verdient dan echt aandacht en daar kunnen SOC-consultants zich op focussen. “Met dezelfde capaciteit aan mensen kunnen we meer klanten bedienen en ook nog eens met een hoger kwaliteitsniveau. AI betekent nadrukkelijk niet dat de kennis van onze mensen minder gevraagd is. Ze moeten beschikken over skills en hun kennis op peil houden om te snappen wat er onderliggend gebeurt”, aldus Lex.

Hij merkt verder nog op dat er verschillende soorten AI zijn. De tools die Tesorion gebruikt, werken met datasets van gecontroleerde data. Dat is iets anders dan generatieve AI. Wat volgens hem evenmin over het hoofd moet worden gezien is dat bij Tesorion de mens elke laatste stap en beslissing neemt. Daarom is en blijft eigen kennis zo belangrijk.

AI gebruikt door bad guys

In het gesprek belicht Lex vervolgens ook de tegenovergestelde invalshoek. “Als AI de cybersecurity kan verbeteren, dan is onvermijdelijk de vraag of de bad guys ook AI inzetten voor hun eigen slechte bedoelingen. Het antwoord daarop is helaas: ja, dat doen ze al. Phishing via e-mail wordt steeds geavanceerder, onder andere omdat de cybercriminelen gebruik maken van AI om betere, geloofwaardigere mails te maken. Je ziet nog maar zelden een krom Engels geschreven 419 scam-mail van Nigerianen die je miljoenen dollars aanbieden. De kwaliteit van mails voor CEO-fraude is beangstigend goed. De volgende stap is ook al gezet: AI als engine die echt goede voice phishing maakt.”

Wapenwedloop

Cybersecurity is dus een wapenwedloop waarbij aanvallers en verdedigers inmiddels allebei AI gebruiken. En die aanvallers beschikken volgens Lex, net als bij DDoS-aanvallen en botnets, over een zeer omvangrijke capaciteit en werken heel snel. “De hoge snelheid waarmee aanvallen op IT-­infrastructuur worden opgestart en uitgevoerd, is waanzinnig. Als je dus alleen vertrouwt op menselijke observaties en handelingen, ben je hopeloos verloren”, zegt Lex. “Als de tegenstander een compleet arsenaal aan cyberwapens kan inzetten, kun je een ransomware-aanval alleen herkennen, detecteren en afslaan door de inzet van iets dat net zo snel is en het liefst nog sneller. AI dus.”

AI en NIS2

Is er ook een link tussen AI en de NIS2-richtlijn? Volgens Lex is die er zeker. “NIS2 heeft als doel de cyberbeveiliging en weerbaarheid te verbeteren van de dienstverlening van essentiële organisaties die vallen binnen de scope van NIS2. Voor hen geldt een zorgplicht en een meldplicht, en ze krijgen te maken met verplicht toezicht”, legt Lex uit. “Die zorgplicht betekent dat organisaties zelf een risico-inschatting moeten maken en vervolgens passende maatregelen moeten nemen om hun continuïteit te waarborgen en hun informatie te beschermen. Om de link met AI te zien, moet je ook kijken naar de software bill of materials die ontzettend actueel is. In steeds meer contexten moet je onder andere weten welke software je in huis hebt en welke applicaties jouw leveranciers gebruiken. Je moet als bestuurder weten welke software aanwezig is in je eigen organisatie en bij je ketenpartners. Dan ontkom je er niet aan om ook bij te houden waar AI in zit, want die heeft grote invloed op de werking van software.”

Meer weten over Tesorion? Bel dan 033 4563 663 of stuur een e-mail naar info@tesorion.nl.