AI zorgt voor gelijk speelveld in cybersecurity

Hoe AI zo bijdraagt aan een gelijker speelveld, daar vertelt Nadeem de Vree, VP Networking en Security bij KPN, over.

Met zijn technische achtergrond weet Nadeem – tegenwoordig verantwoordelijk voor de securitydienstverlening van KPN aan grote klanten – waar hij het over heeft. Als programmeur, securityconsultant en later als CISO bij verschillende internationale bedrijven, zag hij de impact van AI op security groeien. In negatieve zin, doordat AI het cybercriminelen steeds makkelijker maakt om in te breken. Maar ook in positieve zin, doordat AI kan helpen om de verdediging beter te organiseren. Bij elke organisatie, groot en klein. En die hulp is inmiddels onmisbaar door ontwikkelingen als polymorfe malware: dit is malware die zich dankzij AI razendsnel aanpast aan de verdediging van een organisatie. Traditionele security is hier nauwelijks meer tegenop gewassen. Dat zorgt ervoor, stelt Nadeem, dat je voor je security niet meer om AI heen kan.

Reactietijd enorm verkorten
‘AI helpt je om je reactietijd enorm te verkorten. Heb je het goed georganiseerd, dan geeft AI je de mogelijkheid om, ten eerste, meer inzicht te krijgen in wat er op je netwerk gebeurt en, ten tweede, om daar vervolgens sneller op te reageren. Dat overzicht is bij veel organisaties nog steeds een probleem, laat staan dat ze snel kunnen handelen bij een cyberincident.’ De reden? Het groeiend aantal connected apparaten en medewerkers op het netwerk. Naast de eigen architectuur, komen daar nu bijvoorbeeld ook connected devices van buiten bij. Het ICT-landschap blijft groeien – en daarmee verdwijnt ook het overzicht uit beeld. Precies waar AI bij kan helpen, vertelt Nadeem. Maar daarvoor zul je wel verder moeten kijken dan alleen losse AI-tools.

Toegang tot boardroom
AI transformeert namelijk niet alleen de manier waarop je bedreigingen kunt detecteren en erop reageren, maar ook hoe je veiligheid strategisch kunt aanpakken. Zo vraagt het om nieuwe allianties in organisaties. ‘Ben je securitymanager of CISO, dan is het je taak securityrisico’s te identificeren en eventueel mitigerende oplossingen aan te dragen. De risico-eigenaren komen echter steeds vaker uit de business of de boardroom. Dat betekent dat je niet altijd elkaars taal spreekt. En dat is belemmerend. Want wanneer jij niet in staat bent de boardroom goed te bereiken, dan heb je ook minder toegang tot budget en kun je problemen niet oplossen.’ Een externe trusted partner kan helpen om die brugfunctie te vervullen, adviseert Nadeem.

Gelaagde security met zero trust
Een andere belangrijke voorwaarde is een up-to-date securitybeleid. Zo is zero trust als principe bij veel IT- en securitymanagers bekend, maar komt het in de praktijk onvoldoende van de grond. ‘Cruciaal voor zero trust is modern identity- en accesmanagement,’ vertelt Nadeem. ‘En dat is iets dat veel organisaties niet goed op orde hebben. Stel, identiteiten zijn verspreid over meerdere systemen, dan weet je niet wie waar precies toegang toe heeft. Wellicht dat mensen veel te veel rechten toegekend krijgen. En zelfs, terwijl ze allang uit dienst zijn, nog toegang tot systemen hebben. Gevaarlijk dus. Gelaagde security, een ander kenmerk van zero trust, vermindert dat gevaar: je zet dan als het ware overal binnen je netwerk poortjes neer, in plaats van één grote slotgracht om je netwerk heen. Zo houd je alle bewegingen op je netwerk goed in de gaten.’

Hoofdelijk aansprakelijk
Dankzij nieuwe wet- en regelgeving zoals NIS2 en de daaruit voorvloeiende Cyberbeveiligingswet, neemt de druk op CISO’s de komende tijd toe. En niet alleen extern, ook intern. De aandacht van bestuurders is gewekt, mede doordat ze met NIS2 en de nieuwe Cyberbeveiligingswet het risico lopen om hoofdelijk aansprakelijk te worden gesteld bij een incident. ‘Dat zag je eerder in de VS gebeuren, waar bestuurders al langer persoonlijk aansprakelijk waren voor breaches,’ vertel Nadeem. Regel het maar, krijgen CISO’s nu ook in Nederland te horen. Budgetten lijken bijna geen probleem meer te zijn.

Wat wel een probleem is: de war on talent. ‘Voldoende goede securitymensen vinden is een uitdaging. Dat betekent dat je AI wel zult moeten inzetten om je security veel efficiënter in te richten.’ AI-gebaseerde monitoringtools zijn nu overal te krijgen. Maar daarmee heb je nog lang geen volwaardig alternatief voor een Security Operations Center, een SOC – het leeuwendeel van het werk van een SOC zit ‘m immers in de analyse van de data die de monitoring je oplevert. ‘Denk goed na voor je een monitoringtool op basis van AI inzet,’ waarschuwt Nadeem. ‘Want kun je de stroom aan data over de talloze events op je netwerk vervolgens wel verwerken? Wanneer je daar de mensen niet voor hebt, vergroot je alleen maar de druk op je team.’

Volwassen security
Start daarom met niet alleen goed zicht te krijgen op je identiteiten en netwerk, maar zorg er ook voor dat je de capaciteit en tools hebt om die nieuwe kennis in goede banen te leiden. ‘Met een combinatie van end point protection en een managed XDR-oplossing, heb je feitelijk al een basale SOC-oplossing in huis. Vervolgens kun je AI-engines inzetten om false positives uit de stroom aan data te filteren. Groeit je organisatie, dan kun je met je security doorgroeien naar een volgende stap in je volwassenheid: een managed SOC. Want uiteindelijk heb je wel een SOC nodig, in welke vorm dan ook, om opgewassen te zijn tegen de nieuwe bedreigingen en om te voldoen aan wet- en regelgeving.’