De snelle ontwikkeling van AI verbetert de manier waarop we werken, maar zorgt ook voor vraagstukken rond cybersecurity. Want kan AI cybersecurity verbeteren? Ja. Maar kan AI ook cybercriminelen helpen met hun aanvallen? Ja. Zij kunnen met AI sneller kwetsbaarheden identificeren en misbruiken. AI is een tweesnijdend zwaard. Er zijn een aantal zaken waar rekening mee gehouden moet worden bij het toepassen van AI voor data security.
1. Het menselijke element van cybersecurity blijft bestaan
AI kan sommige problemen sneller oplossen dan een mens, maar het is nog lang niet ‘hands-off’. Zolang mensen een rol blijven spelen bij de implementatie van AI, zullen er kwetsbaarheden zijn die AI niet kan oplossen. In sommige gevallen, zoals bij het trainen van modellen, kunnen AI-tools beïnvloed worden door fouten.
AI kan zelfs het managen van het menselijke element uitdagender maken. Naarmate AI-gebaseerde of door AI gegenereerde aanvallen toenemen, wordt het steeds uitdagender om mensen te trainen in het herkennen ervan en in het toepassen van beveiliging.
2. Er bestaat geen wondermiddel in security, maar het valse gevoel van veiligheid dat AI biedt, kan riskant zijn
Security is een continu proces en is altijd in ontwikkeling. Net zoals organisaties elke dag bezig zijn om hun security te verbeteren, zijn aanvallers en malware-ontwikkelaars elke dag bezig om hun tools te verbeteren en te vernieuwen. AI kan dus een tool zijn in de ‘gereedschapskist’ van zowel de organisatie als de aanvallers.
Grote organisaties weten dat het risico op een aanval altijd aanwezig is. Het blijft belangrijk om ervoor te zorgen dat hun tools, technologieën en hun gelaagde security aanpak altijd up-to-date zijn. AI zou hier onderdeel van moeten zijn, maar het moet niet enkel bestaan uit AI.
3. AI is momenteel eerder reactief dan proactief
De aard van leermodellen en patroonherkenning in AI is vooral reactief. Het is een goed hulpmiddel om anomalieën op te sporen of gedragsafwijkingen te spotten die kunnen duiden op een inbreuk. Dit soort tools worden echter vaak bestempeld als proactief, terwijl ze dat niet zijn.
Veel proactieve security technologieën en -processen helpen organisaties om beter voorbereid te zijn in het geval dat een aanvaller het lukt om de reactieve detectie te omzeilen, voorbeelden van proactieve security zijn firewalls en antivirus software. Reactieve processen zijn belangrijk, maar in een goede securitystrategie staat beschreven wat de organisatie voor, tijdens en na een cyberincident moet doen. Dat betekent bijvoorbeeld goede datahygiëne, patchbeheer, multifactor authenticatie, snelle analyse van logging, trainingen en oefeningen, een contactlijst, een communicatieplan en snelle herstelmogelijkheden om ervoor te zorgen dat de organisatie goed is voorbereid op een mogelijke aanval.
4. Om patroonherkenning echt te laten werken, moeten modellen veranderen
AI is nu vaak nog vooral geavanceerde patroonherkenning. Uitschieters in die patronen kunnen echter voor ongewenste reacties van het AI-model leiden als dat model niet continu wordt bijgewerkt.
Dit is het probleem: gebruikers op een bedrijfsnetwerk zijn over het algemeen vrij voorspelbaar. Modellen leren dit in de loop der tijd, maar dit betekent dat onregelmatigheden voor IT- en securityproblemen zorgen. Een systeem kan bijvoorbeeld reageren op firewallregels die ‘on the fly’ worden aangepast, waardoor legitieme gebruikers worden buitengesloten.
Hiernaast zijn er nog steeds experts nodig om vals-positieven uit het model te filteren en om het model in de gaten te houden. Een zekere mate van hands-on blijft noodzakelijk.
5. Voor netwerktoepassingen en security moet AI altijd leren onder toezicht
Te veel vertrouwen stellen in AI als onderdeel van een security systeem, kan leiden tot bias, hallucinaties en andere fouten. Deze systemen kunnen vanwege hun ontwerp ja/nee regels verzinnen op basis van wat zij zien als patronen of uitschieters. Dit houdt in dat AI veranderingen kan aanbrengen die de organisatie mogelijk niet wil. Dat kan leiden tot systemen die te sterk of juist te zwak beveiligd zijn.
Dit soort, door AI gegenereerde aanpassingen kunnen nog moeilijker te bepalen, te lokaliseren of terug te draaien zijn dan menselijke aanpassingen. Of een groter probleem: als machtigingen of toegangsregels erg complex zijn, kan de AI misschien geen onderscheid maken tussen uitzonderingen en afwijkingen.
6. Aangeven wat slecht of goed is, is cruciaal
Bij begeleid leren wordt het menselijke element opnieuw in de modellen geïntroduceerd, wat ons terugbrengt bij punt #1. Er moet rekening gehouden worden met mensen als een van de belangrijkste securityaspecten en mensen moeten als gebruiker kunnen communiceren met de AI. Als het gaat om security, moeten gebruikers en AI altijd hand in hand gaan en samenwerken.
Wat is een goed resultaat? Wat is een slecht resultaat? Wanneer moet de AI in actie komen? Hoewel het niet verstandig is om een AI-model helemaal op zichzelf te laten draaien, loop je wel het risico dat je bias of risico’s herintroduceert naarmate mensen meer ingrijpen.
We kunnen niet volledig vertrouwen op AI of aannemen dat het ons een volledig en nauwkeurig beeld geeft. Een mens zal de informatie zorgvuldig moeten interpreteren om ervoor te zorgen dat uiteindelijk de juiste beslissing wordt genomen.
7. Grootschalige detectie van anomalieën vereist enorme hoeveelheden data
Er zijn enorm veel data nodig om geavanceerde patroonherkenning goed uit te voeren. Niet alleen het volume van de data is belangrijk, maar ook waar deze data vandaan komen. Te veel bedrijven onderschatten dit – AI als security-tool is dan ook een verre van kant-en-klare oplossing. Dataplatforms moeten veel inzicht, eenvoud en schaalbaarheid bieden om aan deze eisen te voldoen.
AI kan veel betekenen voor data security, maar moet worden aangevuld
AI kan veel bieden voor datasecurity, maar zoals de bovengenoemde punten al aangeven is het nog lang geen perfecte oplossing. Mensen zijn nog steeds nodig om de AI te trainen, het heeft veel trainingsdata nodig en het blijft reactief. Voor goede datasecurity moet AI aangevuld worden met securityexpertise, proactieve securityprocessen zoals patchbeheer en multifactor authenticatie. Daarnaast zou het aangevuld kunnen worden met een datastorage platform dat is ontworpen voor veerkracht. Dit soort datastorage platforms maken data onveranderlijk en beschermen data met strenge toegangscontroles en granulair, snel gegevensherstel.
Marco Bal, Principal Systems Engineer, Pure Storage
