Zero Trust en AI: de toekomst van cybersecurity volgens Zscaler

Een nieuwe visie op beveiliging

James Tucker deelde zijn unieke achtergrond – hij studeerde aanvankelijk theaterwetenschappen voordat hij zijn passie voor cybersecurity ontdekte. Deze onconventionele weg heeft hem een diepgaand begrip van menselijk gedrag gegeven, wat essentieel is in een wereld waar cyberdreigingen steeds complexer worden. Tucker benadrukt dat het hem vooral gaat om "security outcomes" en dat hij er een hekel aan heeft als organisaties dure beveiligingsoplossingen aanschaffen die vervolgens maar beperkt worden benut. "Het is alsof je een Ferrari koopt en die alleen gebruikt om je schoenen in de kofferbak te bewaren," aldus Tucker.

De impact van regulering: NIS2 en DORA

Volgens Tucker hebben recente regelgevingen zoals NIS2 en DORA (Digital Operational Resilience Act) de beveiligingsmarkt aanzienlijk beïnvloed. Waar eerdere richtlijnen vaak vaag waren, stellen NIS2 en DORA concrete eisen aan cybersecurityprogramma's en introduceren ze consequenties bij nalatigheid. Tucker ziet dit als een poging om "groepsimmuniteit" te creëren voor de digitale omgeving in Europa. Hij vergelijkt het met het verlies van een mobiele telefoon in de huidige maatschappij: alles is eraan gekoppeld, van betalingen tot identiteit. Op Europees niveau kunnen uitvallende digitale systemen catastrofale gevolgen hebben.

AI: Een zegen en een vloek

AI is een tweesnijdend zwaard, stelt Tucker. Hoewel hij zelf AI dagelijks gebruikt voor productiviteit en organisatie – zelfs voor het schrijven van code voor games van zijn kinderen – erkent hij de verlaagde drempel voor kwaadwillenden. "Je hebt geen teams van hoogopgeleide hackers meer nodig; een machine kan je helpen om die dingen te doen," waarschuwt Tucker. Dit betekent dat niet langer pure vaardigheid, maar eerder doorzettingsvermogen en visie de drijvende krachten zijn achter zowel goede als kwaadaardige cyberactiviteiten.

Zscaler's AI-gestuurde innovaties: zichtbaarheid en bestuur

Zscaler heeft de afgelopen tijd aanzienlijke AI-innovaties geïmplementeerd, met name op het gebied van dataclassificatie, prompt-zichtbaarheid en segmentatie. Tucker legt uit dat veel organisaties uit angst AI-tools volledig blokkeren, wat leidt tot schaduw-IT-praktijken. Medewerkers omzeilen blokkades door vertrouwelijke informatie via persoonlijke telefoons, WhatsApp of Google Docs te delen, puur om productiever te zijn. Dit creëert een enorm risico.

Zscaler's aanpak is gericht op het bieden van zichtbaarheid. Wanneer al het verkeer via het Zscaler-platform loopt, kan het de gebruikersactiviteit analyseren. Is een medewerker bezig met het opruimen van e-mails, of probeert hij broncode naar ChatGPT te sturen om deze te laten repareren? Dit zijn totaal verschillende gebruiksscenario's, en zonder zichtbaarheid zijn de opties beperkt tot 'ja' of 'nee'. Zscaler kan AI-toepassingen classificeren op risicoprofiel en beleid afdwingen, bijvoorbeeld door gebruikers om te leiden naar een zakelijke, GDPR-conforme licentie van ChatGPT.

Daarnaast analyseert Zscaler met AI-technologie bestanden die worden gedeeld, zonder menselijke tussenkomst om privacy te waarborgen. Zo kan het vaststellen of een bestand broncode, een cv of een financieel document is en traceren waar het naartoe gaat (bijvoorbeeld Dropbox, Baidu, ChatGPT). Deze inzichten zijn cruciaal voor leidinggevenden om adequate bescherming te bieden zonder innovatie te belemmeren.

Wat betreft prompt-zichtbaarheid kan Zscaler analyseren welke vragen gebruikers stellen aan AI-tools en welke bestanden ze uploaden. Dit stelt organisaties in staat om ongepaste of risicovolle prompts te identificeren, zoals het vragen om financiële rapporten of het genereren van inhoud die in strijd is met HR-beleid. Het doel is om risico's te verminderen en een evenwicht te vinden tussen innovatie en beveiliging.

Het adresseren van het AI-gestuurde dreigingslandschap

Met de toenemende verfijning van AI-gestuurde cyberaanvallen, zoals data-poisoning, geavanceerde social engineering en invasieve malware, speelt Zscaler's AI een cruciale rol in preventie. Tucker noemt data-poisoning als een belangrijke toekomstige activiteit van overheden, vanwege de potentieel waardevolle uitkomsten.

Op het gebied van social engineering toonde onderzoek aan dat AI de kosten voor kwaadwillenden met 95% kan verlagen, terwijl de effectiviteit gelijk blijft. Zscaler bestrijdt dit door e-mails te scannen, toegang tot nieuw geregistreerde domeinen te blokkeren en geavanceerde dreigingspreventie en sandboxing te gebruiken. AI en machine learning verbeteren de intelligentie hiervan, waardoor bestanden niet alleen worden geanalyseerd op wat ze zijn, maar ook op hun gedrag.

De integratie van "sandbox op de endpoint" en "endpoint context" zijn verdere stappen. Een SOC-analist kan bijvoorbeeld zien dat "Google Chrome" verbinding maakt met een command-and-control server. Met Zscaler's nieuwe mogelijkheden kan dan worden vastgesteld dat deze specifieke "Google Chrome" niet is ondertekend door Google, waardoor beleid kan worden aangepast en de bedreiging kan worden geëlimineerd. Het doel is een "holistisch" overzicht, van de inhoud van een bestand en het gedrag ervan, tot de identiteit van de gebruiker en de toegang tot interne applicaties.

De toekomst van AI en Zero Trust bij Zscaler

Zero Trust is volgens Tucker de fundamentele erkenning dat het internet en de bijbehorende protocollen – gebouwd door "hippies in de jaren '60" – inherent open zijn. In plaats van het internet te vervangen, richt Zero Trust zich op het negeren van IP-adressen en poorten, en in plaats daarvan de identiteit te controleren en de toegang tot het minimale te beperken.

De grootste angst van Tucker is een "theoretische AI-malwaremodule" die intelligent genoeg is om de specifieke bedrijfsactiviteiten van een organisatie te begrijpen. Elke organisatie heeft volgens hem tussen de 50 en 100 megabyte aan data die van vitaal belang is – data waarvan het uitlekken een existentiële crisis zou veroorzaken. Een malware die deze specifieke data geruisloos zou kunnen exfiltreren, is een groot risico.

Om dit aan te pakken, wordt AI al gebruikt in Zscaler's Private Access-product voor segmentatie. Dit zal in de toekomst nog gedetailleerder, eenvoudiger en dynamischer worden. De recente overname van Red Canary zal ook aanzienlijke voordelen opleveren door hun technologie te integreren in Zscaler's "data fabric". Dit stelt Zscaler in staat om niet alleen gegevens over hun hele platform te aggregeren voor "groepsimmuniteit" over al hun klanten, maar ook om klanten te helpen de meest kritieke problemen te identificeren en aan te pakken.

AI en Zero Trust zullen volgens Tucker de sleutel zijn tot het controleren van variabelen en het weten waar data zich bevindt, evenals het begrijpen van de actuele risico's. In de komende drie tot vijf jaar zullen AI-technologieën en hun bescherming "kritieke activa" worden voor bedrijven.

Het belang van AI-gestuurde analyse

Tucker sluit af met een krachtige analogie. Waar een mens slechts 400 tot 500 bits informatie in zijn hoofd kan vasthouden, moet een SOC-analist in een organisatie met 50.000+ gebruikers beslissingen nemen over miljoenen inkomende gebeurtenissen. Ze hebben slechts 1,5 tot 3 seconden om te bepalen of iets aandacht behoeft. AI en de AI-tools die Zscaler bouwt en al in het platform heeft, verbeteren deze capaciteit. Ze filteren de "achtergrondruis" en de "kosmische straling" weg, en markeren niet alleen bedreigingen, maar ook zaken die waarschijnlijk effectief en belangrijk zijn en actie vereisen, in plaats van eindeloos door miljoenen firewall-logs te hoeven zoeken.

Zscaler's visie op de toekomst van cybersecurity is volgens Tucker duidelijk: een naadloze integratie van Zero Trust en AI om organisaties in staat te stellen te innoveren en te groeien, terwijl de risico's beheersbaar blijven in een steeds complexer digitaal landschap.

Door: Witold Kepinski