In de cyber­we­reld is AI een techno­logie met twee kanten: het kan gebruikt worden door aanval­lers én door verde­di­gers. AI-tools helpen aanval­lers om snel kwets­baar­heden te identi­fi­ceren en te misbruiken. Cyber­cri­mi­nelen kunnen daarnaast hun aanvallen optima­li­seren met AI-tools. Cyber­se­cu­ri­ty­pro­fes­si­o­nals gebruiken AI daaren­tegen om processen te automa­ti­seren, analyses uit te voeren en dreigingen in een vroeg stadium op te sporen en te verhelpen. Organi­sa­ties die geen gebruiken maken van geavan­ceerde techno­lo­gieën zoals AI, lopen het risico achterop te raken in de digitale wapenwedloop.

In de afgelopen jaren is de ontwik­ke­ling van AI in een stroom­ver­snel­ling gekomen en diep doordrongen in het bedrijfs­leven en in onze samen­le­ving. Wat we ons echter niet altijd beseffen, is dat AI al tientallen jaren wordt gebruikt in cyber­se­cu­rity, aanvan­ke­lijk om afwij­kende activi­teiten te detec­teren. Toch is de techno­logie nu onmis­baar geworden in veel sectoren en in ons dagelijks leven omdat het processen kan automa­ti­seren en optima­li­seren en doordat het enorme hoeveel­heden data snel kan analy­seren. Eén ding is echter nog steeds hetzelfde als in de begin­tijd van AI in de jaren 80: het kan nog steeds niet functi­o­neren zonder mense­lijke tussen­komst – althans, nog niet. Dit betekent dat de inzet van AI afhan­ke­lijk is van mense­lijke intentie. En die mense­lijke intentie is helaas niet altijd ‘goed’.

Partners in crime: hoe AI aanvallers helpt

De ontwik­ke­ling van Large Language Models (LLM’s) en genera­tieve AI gaat snel en de techno­lo­gieën worden al op grote schaal gebruikt, ook bij cyber­aan­vallen. AI maakt het voor aanval­lers makke­lijker om malware te ontwik­kelen, phishing-e-mails op te stellen en aanvallen te automa­ti­seren. Als gevolg daarvan zijn de snelheid, het bereik en de verfij­ning van aanvallen aanzien­lijk toege­nomen. We hebben inmid­dels het punt bereikt waarop phishing-e-mails en soort­ge­lijke social enginee­ring-tactieken niet langer eenvoudig te herkennen zijn.

Een paar jaar geleden waren phishing-e-mails vaak te herkennen doordat berichten volstonden met onhan­dige formu­le­ringen en spelfouten. Boven­dien werden er ongeloof­waar­dige verhalen gebruikt om ontvan­gers te misleiden en hen ertoe te verleiden op links te klikken of geld over te maken. Tegen­woordig is het herkennen van phishing-e-mails een stuk lastiger door het gebruik van AI. Daarmee kunnen cyber­cri­mi­nelen foutloze, geper­so­na­li­seerde berichten en overtui­gende phishing-e-mails opstellen. E‑mails kunnen nu afkom­stig lijken van een legitiem persoon – zoals je baas – die je vraagt om een bijlage te bekijken, bankge­ge­vens te wijzigen of trans­ac­ties uit te voeren. Boven­dien kunnen aanval­lers nu zelfs audio en video van leiding­ge­venden of andere autori­teiten genereren – een bekend voorbeeld hiervan is de deepfake van Ali Niknam, de topman van Bunq. De dreiging van audio­vi­suele mislei­dingen nemen toe. Slechts een paar foto’s zijn nu voldoende om realis­ti­sche deepfakes voor video­ge­sprekken te maken, compleet met geïmi­teerde stemmen en gezichten, of om mislei­dende beelden van politici te creëren om verwar­ring te zaaien en de publieke perceptie te manipuleren.

Een zorgwek­kend recent voorbeeld betreft het vermeende gebruik van deepfakes van MarcoRubioviaSignal. Een aanvaller creëerde tekst- en audio­be­richten waarbij de Ameri­kaanse minister van Buiten­landse Zaken werd geïmi­teerd en nam contact op met hoogge­plaatste Ameri­kaanse politici en minis­ters van Buiten­landse Zaken van andere landen. Dit incident illustreert hoe cyber­cri­mi­nelen en politiek gemoti­veerde actoren deepfakes kunnen gebruiken om de reputatie van politici te schaden, desin­for­matie te verspreiden en samen­le­vingen te desta­bi­li­seren. Het is daarom belang­rijk om snel en betrouw­baar de authen­ti­ci­teit van berichten te kunnen verifiëren.

Een intelligent schild: AI in cybersecurity

AI is echter niet alleen een nuttige techno­logie voor aanval­lers; ook verde­di­gers kunnen – en moeten – zich wapenen met intel­li­gente algoritmen. Cyber­se­cu­ri­ty­pro­fes­si­o­nals kunnen AI bijvoor­beeld gebruiken om deepfakes te herkennen doordat de techno­logie de verschillen tussen echte en valse identi­teiten kan leren, incon­sis­ten­ties in beeld- en video­con­tent kan identi­fi­ceren – zoals glitches in gezichten – en andere afwij­kingen in audio en video kan analyseren.

AI heeft echter nog meer voordelen op het gebied van cyber­se­cu­rity. Machine Learning en LLM’s helpen securi­ty­teams door security-opera­ties te verbe­teren, bijvoor­beeld door afwij­kend gedrag te detec­teren of dreigingen te analy­seren. Een simpel voorbeeld: als een marke­ting­me­de­werker ineens toegang krijgt tot finan­ciële gegevens die niet van belang zijn voor zijn werkzaam­heden, wordt er een waarschu­wing gegeven. Om dit soort afwij­kend gedrag effec­tief te kunnen detec­teren, moet AI voort­du­rend worden getraind met actuele data van medewer­kers inclu­sief hun rollen.

In het geval van een security-incident kan AI ook helpen door aanbe­ve­lingen te doen op basis van eerdere incidenten en reacties. Deze aanbe­ve­lingen werken op dezelfde manier als bijvoor­beeld productsug­ges­ties van Bol​.com of Amazon, maar dan voor cyber­se­cu­ri­ty­maat­re­gelen: “Securi­ty­ma­na­gers die op soort­ge­lijke incidenten hebben moeten reageren, hebben de volgende maatre­gelen genomen.” Hiermee kunnen IT-teams die slechts over beperkte cyber­se­cu­ri­ty­ex­per­tise beschikken toch adequaat reageren bij een incident.

Andere toepas­singen voor AI zijn onder meer phishing- en malware-detectie, risk assess­ment en gebrui­kers­be­heer. Vooral vulne­ra­bi­lity manage­ment heeft baat bij innovatie op het gebied van AI, want AI kan bijvoor­beeld snel kwets­baar­heden detec­teren, risico’s nauwkeurig inschatten en automa­tisch priori­teiten stellen. Dit wordt steeds belang­rijker aange­zien het aantal bekende kwets­baar­heden explo­sief is gestegen van ongeveer 6.500 in 2015 tot meer dan 40.000 in 2024. Een ander voordeel van AI in cyber­se­cu­rity is betere inter­actie tussen mens en machine. LLM’s maken het mogelijk om in natuur­lijke taal te commu­ni­ceren met systemen in plaats van via complexe commando’s. Hiermee kunnen securi­ty­teams intuï­tiever commu­ni­ceren met IT-systemen – erg belang­rijk voor teams zonder diepgaande kennis over cybersecurity.

AI in SOC

In het Security Opera­tions Center (SOC) – het centrum voor securi­ty­mo­ni­to­ring en ‑analyse – biedt AI nog meer mogelijk­heden. Securi­ty­a­na­listen kunnen met behulp van AI rapporten in heldere taal genereren  over dreigingen, op basis van foren­si­sche infor­matie die aan incidenten zijn gekop­peld. AI kan daarnaast waarschu­wingen groeperen en catego­ri­seren, waardoor incident response wordt gestroomlijnd.

Data bescherming – pas op voor collega ChatGPT

Ondanks al deze voordelen moeten medewer­kers voorzichtig zijn bij het gebruik van LLM’s. Alle infor­matie die in een vrij beschik­bare LLM, zoals ChatGPT, wordt ingevoerd, wordt toege­voegd aan de trainings­da­ta­base van dat AI-model. Dit betekent dat, zoals bij alle webser­vices, geüploade gegevens op een of andere manier worden gebruikt. In het geval van LLM wordt de ingevoerde infor­matie bijvoor­beeld beschik­baar gesteld aan andere gebrui­kers. Vertrou­we­lijke data mogen daarom nooit naar een openbare LLM worden gekopi­eerd. Hier geldt: als het gratis is, betaal je met je gegevens. Beheer­ders die hun volle­dige confi­gu­ratie op ChatGPT zetten om onder­steu­ning te krijgen bij het oplossen van IT-problemen, zullen vroeg of laat ook de rekening hiervoor gepre­sen­teerd krijgen.

Mensen blijven nodig

AI heeft zowel bij aanval als verde­di­ging altijd mense­lijk toezicht nodig. Slimme algoritmen kunnen processen optima­li­seren, analyses maken, ‘alert fatigue’ vermin­deren en acties voorstellen, maar de uitein­de­lijke beslis­sing blijft bij mense­lijke experts.

Synergie tussen mens en machine cruciaal voor effectieve cybersecurity

De cyber­se­cu­rity-industrie wordt op dit moment al uitge­daagd door aanval­lers die AI-techno­lo­gieën gebruiken om bekende kwets­baar­heden te detec­teren en te misbruiken. In de toekomst zal dit nog complexer worden: de volgende generatie AI-tools voor het detec­teren van kwets­baar­heden zal volledig nieuwe aanvals­vec­toren kunnen ontdekken middels verbe­terde redeneer­vaar­dig­heden – om nog maar te zwijgen over de voort­du­rende ontwik­ke­ling in deepfakes. Het goede nieuws is echter dat alles wat vandaag en morgen wordt gebruikt door aanval­lers, ook gebruikt kan worden door cyber­se­cu­ri­ty­teams. Steeds meer bedrijven schakelen over op AI-gebaseerde securi­ty­op­los­singen – voor data-analyse, detectie van dreigingen of geauto­ma­ti­seerde incident response. Uit onder­zoek naar de samen­wer­king tussen mens en AI blijkt dat 64% van de onder­zochte IT-beslis­sers gelooft in het poten­tieel van AI om cyber­se­cu­rity te verbe­teren. Daarnaast beschouwt 45% AI als de centrale pijler van hun cybersecuritystrategie.

De toekomst van succes­volle cyber­ver­de­di­ging ligt in de strate­gi­sche samen­wer­king tussen mens en machine. Wie beide op een slimme manier combi­neert, zal niet alleen dreigingen effec­tiever kunnen detec­teren en afweren, maar is ook beter voorbe­reid op de