Pieter Jansen, Darktrace: “AI-security is geen add-on meer, maar moet in DNA zitten”

AI-oplossingen en -toepassingen worden steeds belangrijker voor bedrijven. Deze technologie biedt voordelen, maar ook nadelen. Voor cybersecurity kan dit tot grote uitdagingen leiden. Door AI ondersteunde cyberaanvallen nemen toe en breiden het bedreigingslandschap flink uit.

ChatGPT is supercharger

“Na de doorbraak van ChatGPT constateren we meer AI-ondersteunde cyberaanvallen. Het aantal nieuwe social engineering-aanvallen nam bij duizenden klanten met 135 procent toe”, zegt senior vice president (SVP) Cyber Innovation Pieter Jansen van Darktrace.

“Deze kwaadaardige e-mails hadden een complexere taalkundige afwijking vergeleken met andere phising-mails. Aanvallers richten zich meer op uitlokking, vertrouwen opbouwen en aansluiten op de profielen van hun doelwitten en gebruiken hiervoor vaker generatieve AI- en LLM-modellen. Dit is één van de belangrijkste trends.”

Pieter Jansen is sinds vorig jaar, na de overname van zijn bedrijf Cybersprint, SVP Cyber Innovation bij Darktrace. Hij houdt zich bezig met alle innovatie binnen Darktrace en leidt het Subject Matter Expert Team. Dit team kijkt naar waar klanten op de langere termijn behoefte aan hebben.

Meer invloed op klassieke aanvallen

“AI heeft ook effect op klassieke aanvallen. Denk aan phising, de verspreiding van ransomware en het compromitteren van zakelijke e-mail. De snelheid waarmee deze aanvallen plaatsvinden, gaat door AI omhoog. Het wordt daardoor lastiger dit met mensen te bestrijden. Het is, in combinatie met een toename van het aantal ‘as-a-service’-aanvallen, een echte ‘supercharger.’”

“Het grootste gevaar dat op ons afkomt, is door AI ondersteunde malware. Wanneer malware zichzelf met behulp van (generatieve) AI peristent probeert te maken, falen klassieke beveiligingstechnieken. Er zijn voorbeelden waarbij door deze malware AI-modellen gebruikt om op basis van omgevingsvariabelen te bepalen welke techniek nodig is zichzelf op een systeem persistent te maken of hoe het zich moet installeren”, zegt Pieter Jansen.

Darktrace Cyber AI-strategie

Darktrace vindt dat deze door AI geavanceerde malware niet meer door mensen kan worden bestreden, maar dat hiervoor een door AI ondersteund securityplatform nodig is. De securityspecialist levert een dergelijk AI-securitysysteem dat op eigen ‘Cyber AI’-strategie is gebaseerd. “Met deze strategie vervangen we handmatige taken door slimme algoritmes. Hoewel dit niet nieuw is -wij doen dit al 10 jaar- zijn de huidige door veel bedrijven gebruikte algoritmesmeer gericht op rule-based-systemen of supervised machine learning. Ons AI-systeem traint zich op wat in de business plaatsvindt, de dagelijkse praktijk, en signaleert wat hiervan afwijkingen zijn. Wij trainen onze algoritmes op de business in plaats van de aanvallers. Aanvallers veranderen immers constant en zijn moeilijker te volgen.”

Jansen: “De Cyber AI-strategie bestaat uit de onderdelen of producten PREVENT, DETECT, RESPOND en HEAL. Met DETECT signaleren onze algoritmes mogelijke in- of externe aanvallen en hoe deze verlopen voor het hele aanvalsoppervlak: van e-mail, applicaties, endpoints, het (cloud)netwerk tot aan de OT-systemen.”

RESPOND bestrijdt autonoom de ontdekte inbraken, voor alle ‘assets’ en waar de data zich ook bevindt, met ‘microchirurgische ingrepen.’ Hierdoor heeft de zakelijke praktijk geen last van aanvallen en het oplossen ervan, zodat deze normaal blijft functioneren.

“PREVENT houdt zich proactief bezig met het voorkomen van de in- en externe bedreigingen. Het brengt alle mogelijke aanvalspaden en de daarbij behorende ‘steppingstones ’in kaart. Daarnaast testen simulaties constant al deze aanvalspaden. Ook biedt PREVENT een ingebouwd trainingsprogramma dat medewerkers alert laat zijn op aanvalsfactoren, zoals CEO-fraude en phishing”, zegt Pieter Jansen.

HEAL-functionaliteit

Recent is de HEAL-functionaliteit toegevoegd. “Hiermee helpen we klanten ná een inbreuk. Met behulp van AI orkestreert deze functie alle communicatie rondom het herstel van het incident. Van adaptieve playbooks tot helpdesktickets. Veel zaken die nu nog vaak handmatig gebeuren.”

“Verder haalt HEAL back-ups terug of verzorgt het terugzetten van bijvoorbeeld de complete cloudinfrastructuur. Dit inclusief alle hiervoor benodigde communicatie. Niet alleen binnen de eigen organisatie, maar ook met externe partijen als bijvoorbeeld cyberverzekeraars. HEAL levert al het benodigde bewijsmateriaal voor forensisch onderzoek of audit-doeleinden.”

Last, but not least integreert het Darktrace AI-securityplatform met security- of SIEM-applicaties van andere leveranciers. Denk aan Microsoft Defender of Microsoft Sentinel, maar ook AWS en CrowdStrike.

“Het Darktrace AI-securityplatform is eigenlijk een AI-security-orkestratieplatform. Het is een combinatie van een cybersecurity-, e-mail-, (cloud)netwerkmonitorings-, back-up- en communicatieplatform. En daarnaast nog geïntegreerd een stuk security awareness biedt. We zijn meer dan een Network Detection and Resonse (NDR)-systeem, e-mailsecurity- of SIEM-systeem. Daarbij is het mooi om te zien dat bij Gartner’s Peer Review-systeem, Darktrace in zowel de categorieën NDR als e-mail-security de hoogst scorende aanbieder is.”

Partners en resellers moeten instappen

Pieter Jansen van Darktrace ziet bij AI-security ook een belangrijke rol voor partners en resellers. “Partners en resellers moeten juist nu instappen. Iedereen weet dat AI-security belangrijk wordt en nu kunnen ze daarvoor nog goede oplossingen kiezen.”

“AI-aanvallen zijn geautomatiseerd, waardoor klassieke oplossingen niet meer voldoen. Ook verandert de markt van bijvoorbeeld klassieke e-mail gatewayfunctionaliteit naar AI-securityplatforms. AI-security moet bij partners en resellers niet meer een ‘add-on’ zijn, maar in het DNA van de dienstverlening zitten.”

“Kleinere resellers hoeven niet bang te zijn. Ons platform is voor hen is juist een makkelijkere manier om in te stappen voor AI-security. Onlangs hebben we een nieuwe partnerstrategie ontwikkeld waarvan we de details binnenkort bekend maken.”

Toekomstige ontwikkelingen en blijvend innoveren

Voor de ontwikkelingen op cybersecuritygebied in 2024 houdt Jansen nog een slag om de arm. Hij ziet waarschijnlijk AI-ondersteunde cyberdreigingen in schaal toenemen, meer ‘supercharged’ ransomware-aanvallen en waarschijnlijk meer supply chain-aanvallen.

“2024 wordt ook het jaar van NIS 2. Wij helpen onze klanten graag helpen hieraan te voldoen, en hoewel het nog niet geheel duidelijk is hoe de implementatie er per land uit zal zien, is de richting toch glashelder: snelheid van handelen wordt essentieel. Hiervoor sluit HEAL naadloos aan op NIS. Want, om aan de gestelde responsetijden te voldoen, kan je niet meer volstaan met menselijke processen en moet je ook alles rondom recovery en reporting zoveel mogelijk automatiseren. Partners en resellers die hierop willen voorsorteren, kunnen bij ons terecht.“

Partners en resellers moeten blijven innoveren. “Je moet niet stilzitten. Want anders gaan je concullega’s het wel doen en word je door hen ingehaald. Of in een worst-case scenario door de aanvallers. Zeker met de toename van AI-cyberaanvallen is dat zeer belangrijk. Probeer altijd voorop te lopen en selecteer de juiste partners”, besluit Pieter Jansen van Darktrace.