Fortinet is een partner­ship aange­gaan met Berkeley’s Center for Long-Term Cyber­se­cu­rity (CLTC) en het Berkeley Risk and Security Lab (BRSL). De samen­wer­king heeft als doel infor­matie en kennis te delen, wat bijdraagt aan een snellere detectie van bedrei­gingen en een snellere, beter gecoör­di­neerde reactie op geavan­ceerde aanvallen. 

Een gezamen­lijke aanpak van de bestrij­ding van cyber­cri­mi­na­li­teit vergroot de veerkracht van elke organi­satie en geeft toegang tot de middelen die nodig zijn om bedrijven effec­tief te beschermen. Praktijk­er­va­ring opdoen met het beperken van AI-gerichte bedrei­gingen is de volgende cruciale stap in het bestrijden van steeds geavan­ceer­dere cyber­cri­mi­nele activiteiten.

CLTC werd in 2015 opgericht als een onder­zoeks- en samen­wer­kings­cen­trum aan de Univer­si­teit van Californië, Berkeley, en fungeert als een platform en brug tussen acade­misch onder­zoek en de behoeften van besluit­vor­mers in de overheid, het bedrijfs­leven en het maatschap­pe­lijk midden­veld met betrek­king tot de toekomst van veilig­heid. BRSL aan de Goldman School of Public Policy van UC Berkeley is een acade­misch onder­zoeks­in­sti­tuut dat zich richt op het snijvlak van techno­logie en veilig­heid. Het lab voert analy­tisch onder­zoek uit en ontwerpt en ontwik­kelt wargames.

Het praktijk­pro­ject AI-Enabled Cyber­crime bestaat uit een gestruc­tu­reerde reeks tabletop-oefeningen (TTX’s), enquêtes, workshops en inter­views. Het project simuleert scenario’s uit de echte wereld om de dynamiek van AI-gebaseerde cyber­cri­mi­na­li­teit bloot te leggen en toekomst­ge­richte verde­di­gings­stra­te­gieën te ontwikkelen. 

Afgelopen december vond de eerste praktijk­sessie plaats, waaruit onder­staande bevin­dingen voortvloeiden. 

5 AI-gebaseerde cybercrimetrends om in de gaten te houden

Tijdens de TTX en aanver­wante discus­sies heeft de groep de belang­rijkste trends met betrek­king tot AI-gebaseerde cyber­cri­mi­na­li­teit vastge­steld die, zo wordt verwacht, in de toekomst belang­rijk zullen worden:

1. De opkomst van deepfakes en social enginee­ring: Deepfake-techno­logie wordt ​ toegan­ke­lijker. Kwaad­wil­lenden kunnen bijvoor­beeld stemmen klonen met YouTube-beelden en een goedkoop abonne­ment. Naarmate AI-gestuurde bewer­kingstools breder beschik­baar worden, zullen we het aantal imita­tie­aan­vallen zien toenemen. Daarnaast verwachten we dat cyber­cri­mi­nelen “deepfake genera­tion on demand” zullen aanbieden, waarbij stem- en video­ver­val­sing worden omgezet in een as-a-service model, net zoals we Ransom­ware-as-a-Service hebben zien evolueren.
2. Hyper­ge­richte phishing: Phishing wordt tegen­woordig steeds lokaler, persoon­lijker en overtui­gender. Door AI te gebruiken als hulpmiddel bij hun verken­nings­in­span­ningen, creëren dreigings­ac­toren contextrijke, cultu­reel relevante phishing­be­richten die zijn afgestemd op lokale talen en in sommige gevallen verwijzen naar regio­spe­ci­fieke feest­dagen, gewoonten of gebeur­te­nissen. Hierdoor lijken deze berichten vaak legitiem en kunnen ze zelfs de meest cyber­be­wuste ontvanger voor de gek houden.
3. Agent-AI voor malware en verken­ning: Het gebruik van agentic AI door cyber­cri­mi­nelen zal zich snel ontwik­kelen. Een cyber­cri­mi­nele groep zou bijvoor­beeld meerdere AI-agenten kunnen beheren, die zich allemaal richten op het uitvoeren van een deel van de cyber kill chain, maar doen dat sneller dan een mens. In de toekomst verwachten we dat tegen­stan­ders AI-agenten zullen gebruiken voor meerdere activi­teiten, zoals het inzetten van AI-agenten in botnets die actief bezig zijn met het ontdekken van Common Vulne­ra­bi­li­ties and Exposures (CVE’s).
4. AI-gestuurde identi­teiten om bedrei­gingen van binnenuit te vergroten: Tijdens de TTX besprak de groep een scenario waarin aanval­lers AI-gestuurde identi­teiten zouden kunnen creëren en gebruiken om te solli­ci­teren naar banen op afstand bij techno­lo­gie­be­drijven, waarbij ze langs standaard achter­grond­con­troles komen met een verzonnen arbeids­ver­leden. Als kwaad­wil­lende actoren dit gebruik van AI verkennen, moeten organi­sa­ties het doorlich­tings­proces bij het aannemen van perso­neel opnieuw onder­zoeken en vernieuwen.
5. Geauto­ma­ti­seerd scannen op kwets­baar­heden en uitbui­ting: Hoewel cyber­cri­mi­nelen AI nu voorna­me­lijk gebruiken voor verken­ning en om te helpen bij de eerste inbraak, verwachten we dat kwaad­wil­lende actoren AI snel zullen inzetten om kwets­baar­heden te ontdekken en te misbruiken. In korte tijd kunnen AI-tools grote hoeveel­heden code scannen, zero-day en N‑day kwets­baar­heden identi­fi­ceren en deze vervol­gens automa­tisch uitbuiten.

Als reactie op het gebruik van AI door cyber­cri­mi­nelen moeten bevei­li­gings­teams de verde­di­ging van de organi­satie versterken door de juiste techno­lo­gieën en processen te imple­men­teren. Een bedrijfs­breed trainings- en oplei­dings­pro­gramma voor cyber­be­vei­li­ging is een cruciaal onder­deel van een effec­tieve risico­be­heer­stra­tegie. Werkne­mers staan vaak in de front­linie als het gaat om social enginee­ring en phishing­aan­vallen, waardoor het van vitaal belang is dat iedereen in een organi­satie weet hoe hij of zij een aanvals­po­ging moet herkennen.