Het is de grote paradox van 2024: artificial intelligence (AI). Niemand hoeft er meer over te horen, maar we kunnen ook niet stoppen met erover te praten. Wat zeker is, is dat AI niet meer weg te denken is, dus we kunnen er maar beter aan wennen. We hebben inmiddels al een voorproefje gehad van de impact van AI op digitale industrieën en cybercrime, maar dit is nog maar het begin. Hoeveel gaat er nog meer veranderen?
AI-gebruik door ransomwarebendes
Hoewel de toekomstige impact van AI, op het gebied van cybercriminaliteit en in de samenleving, waarschijnlijk enorm is (en een beetje beangstigend), richten wij ons nu op het hier en nu. Voor cybercriminelen is AI op dit moment onder meer een belangrijk instrument dat de toegangsdrempel verlaagt. Verschillende nationale beveiligingsorganen, waaronder het Britse National Cyber Security Centre, waarschuwen over hoe AI de ransomware-dreiging vergroot door het ondersteunen van ‘reconnaissance, phishing and coding’.
Een gebruikersscenario is dat cybercriminelen AI-algoritmen kunnen gebruiken om netwerken of omgevingen te scannen en zo de architectuur en endpoints in kaart te brengen. Dit helpt hen om kwetsbaarheden op te sporen. Cybercriminelen deden dit al handmatig, maar AI maakt dit proces veel eenvoudiger en effectiever. Daarnaast kan AI worden gebruikt om het verzamelen van informatie te automatiseren voor meer gerichte aanvallen. Dergelijke tools scannen het internet (met name social media) om zo veel mogelijk informatie over het doelwit te verzamelen voor phishing en social engineering. Ook kunnen AI-tools gebruikt worden om eventuele taalbarrières te overbruggen die dergelijke oplichting vaak herkenbaar maakt. Een relatief nieuwe vorm van het gebruik van AI door cybercriminelen is het klonen van stemmen (deepfake). In combinatie met geautomatiseerde informatieverzameling zou dit de volgende generatie van social engineering kunnen zijn.
Daartegenover kunnen organisaties ook gebruikmaken van de voordelen van AI om hun cyberbeveiliging te verbeteren. Programmeurs gebruiken AI bijvoorbeeld al bij het coderen. Daarnaast wordt het vaak gebruikt om sneller specifieke vragen te beantwoorden dan mogelijk is via reguliere zoekmachines. Dus hoewel AI het leven van ransomwarebendes gemakkelijker maakt, is hetzelfde waar voor organisaties en hun beveiligingsteams.
Wat betekent dit voor beveiliging?
Hoewel het zo is dat ransomwarebendes toegang hebben tot ondergrondse marktplaatsen van oplossingen en diensten, hebben organisaties toegang tot veel meer. De ransomware-industrie werd in 2022 gewaardeerd op $14 miljard, maar de wereldwijde beveiligingsindustrie doet dit klein lijken vergeleken met $222 miljard.
Er zijn twee dingen die we moeten onthouden: AI zal cyberaanvallen geavanceerder en effectiever maken en de AI-tools die cybercriminelen gebruiken, kunnen organisaties ook gebruiken. Voor nu zijn er geen gloednieuwe dreigingen, alleen geavanceerdere bestaande dreigingen, dus kunnen bestaande beveiligingsdraaiboeken blijven bestaan.
Bestaande beveiligingsdraaiboeken kunnen bijvoorbeeld worden aangevuld met functies van AI die gebruikt kunnen worden voor gedragsanalyses, detectie van dreigingen en het scannen op kwetsbaarheden en risico’s. AI kan gebruikt worden om zowel de IT-omgeving zelf (scannen op kwetsbaarheden en risico’s) als activiteit in de IT-omgeving (gedragsanalyse, data-analyse) te monitoren. Beveiliging op basis van AI heeft als doel om dreigingen te voorspellen en op te vangen voordat ze impact kunnen hebben op de organisatie. Geavanceerde AI-tools reageren automatisch op dreigingen, waarschuwen beveiligingsteams of beperken de toegang tot bepaalde assets. Net als aan de cybercriminele kant, bestaan de meeste van deze concepten al (bijvoorbeeld firewalls) maar maakt AI ze effectiever.
Houd je aan de basisprincipes
Dus hoe kan je je effectief beschermen tegen op AI-gebaseerde ransomware? Het hebben van een goede digitale hygiëne en het toepassen van een zero trust-strategie zijn nog altijd best practices. En natuurlijk moeten beveiligingsstrategieën up to date blijven. Social engineering hoeft immers maar één keer te werken, maar beveiligingsmaatregelen moeten altijd werken.
Het toepassen van best practices blijft de basis. Nu op AI-gebaseerde ransomware steeds gebruikelijker zal worden, is het hebben van back-ups belangrijker dan ooit om de veerkracht van jouw organisatie te waarborgen. Het is hierbij essentieel om meerdere kopieën te hebben, waarvan ten minste één offline en één off-site. Daarnaast is een goede herstelstrategie noodzakelijk. Back-ups moeten regelmatig gescand worden op infecties en de herstelomgeving moet altijd klaar zijn voor gebruik.
Dit lijkt misschien een grote verandering, maar het is minder intimiderend dan het lijkt. AI is een natuurlijke vooruitgang. Met best practices kom je een eind, dus blijf hier zeker volgen. Daarnaast is het essentieel dat je op de back-up kunt vertrouwen als al het andere faalt, zeker nu AI cyberaanvallen efficiënter maakt dan ooit tevoren.
Rick Vanover, Vice President Product Strategy bij Veeam