AI-gestuurde detectie en respons: impact en afwegingen

Highlights:

• De werking van detectie en response
• De invloed van AI op de prestaties van detectie en respons
• Specifieke afwegingen voor de aanpak van false positives
• De rol van het SOC in AI-gestuurde detectie en respons
• Het bepalen van de juiste strategie voor uw organisatie

De markt voor beveiligingstools wordt overspoeld door steeds meer AI-gestuurde opsporingsmiddelen. Dit maakt het er niet eenvoudiger op om de juiste tool voor de beveiliging van uw bedrijf te vinden. Met AI-gestuurde analyses en op AI gebaseerde incidentrespons zijn er veel keuzemogelijkheden met allemaal potentiële voordelen om de cyberweerbaarheid en de beveiliging van uw organisatie te verbeteren.

Hoe werkt detectie en respons over het algemeen?

Bij welk scenario past AI het best? Om die vraag te kunnen beantwoorden, moeten we eerst weten welke vormen van detectie en respons geschikt zijn voor gebruik van AI en hoe dit in het landschap past. In dit artikel gaan we nader in op Endpoint Detection and Response (EDR) en Network Detection and Response (NDR), zowel fysiek als virtueel. Als we kijken naar de plek die EDR en NDR in het grotere geheel innemen, dan laat de SOC Visibility Triad van Gartner ons zien dat deze twee de basis van de zichtbaarheid van uw Security Operations Center vormen.

EDR heeft betrekking op apparaten als servers, laptops, computers en mobiele apparatuur. Ofwel de plekken voor dataverwerking en waar mensen hun werk uitvoeren. Alle interventies vinden daarom plaats op het apparaat zelf, een bestand in quarantaine plaatsen bijvoorbeeld.

NDR is gebaseerd op een netwerk en kijkt naar al het gegevensverkeer, op zoek naar kwaadaardige activiteit. Als respons kan NDR een machine van het netwerk isoleren of een gebruikersaccount vergrendelen.

Maar is AI wel voor elk scenario geschikt? Of zijn er situaties waarin menselijke interactie beter zou zijn? In het huidige beveiligingslandschap strijden mens en machine om voorrang. Laten we daarom teruggaan naar de basis en beginnen bij de fundamentele afwegingen die gemaakt moeten worden om de juiste tool voor deze klus te vinden. Want wie weet, misschien steken we er nog iets nieuws van op.

Zowel bij EDR als NDR hanteren we twee belangrijke maatstaven.

De ‘dwell time’ (DT) is de tijd dat een aanval onopgemerkt blijft. Hoewel dit lastig kan worden bijgehouden en uitgebreide analyses vergt om daar een cijfer aan te hangen, kan het vergelijken van het actuele aantal meldingen met de aantallen binnen de algehele sector inzicht geven in hoe goed uw detectiestrategie is.

Gaan we een stap verder dan detectie, dan kan AI-gestuurde respons van essentieel belang zijn voor het terugdringen van de ‘time to response’ (TTR) van uw beveiligingsteams. Goed getrainde AI kan voortvarend optreden zodra het een ‘true positive’ ziet, en elke aanvaller in de kraag grijpen. TTR is de maatstaf waar de meeste rapporten de aandacht op vestigen.

Hoe komt AI in het spel?

Als algemene vuistregel geldt dat AI sneller denkt dan de mens. We laten dit bij voorkeur ten goede komen aan de analyseomvang (DT) of de responssnelheid (TTR). Op deze manier lijkt het dan ook alsof snelheid de enige echte maatstaf is. Helaas is het iets ingewikkelder dan dat.

Een van de grootste uitdagingen is omgaan met veranderingen. Hoewel AI-technologie in de meeste gevallen sneller is, hanteert het doorgaans een vast uitgangspunt. Dat kan uw omgeving zijn als uitgangspunt voor ‘normaal’ of een aanvalsmethode als uitgangspunt voor ‘kwaadaardig’. Artificial Intelligence (AI) slaagt hierin door gebruik te maken van technologieën als deep learning. Hierdoor leert AI wat binnen de context van uw omgeving beschouwd wordt als ‘normaal’. Deze aanpak, die beter werkt dan op regels gebaseerde filtering, kan zich aanpassen aan veranderingen in uw omgeving met nauwelijks of geen menselijke tussenkomst.

Daarin ligt echter ook zijn manco. Deep learning vereist veranderingen in uw omgeving, niet in uw beleid en procedures. Dit betekent dat wanneer u veranderingen aanbrengt in uw omgeving, u gedurende een bepaalde tijd vaker valse meldingen ofwel false positives krijgt. Dat komt omdat uw AI nog bezig is zich dit nieuwe normaal eigen te maken.

De impact van false positives

De uitdaging om met false positives te dealen geldt niet alleen voor AI. Zowel AI-gestuurde als door mensen aangestuurde oplossingen staan voor de taak om het aantal false positives terug te dringen.

Als AI hoofdzakelijk wordt ingezet voor het verbeteren van analyses en het verkorten van de dwell time, dan slokt een goedaardige detectie onnodig veel tijd op door iets wat geen beveiligingsincident was. Er zaten namelijk geen kwaadaardige bedoelingen achter het voorval. Dit kan inefficiënt overkomen. Het biedt echter nog steeds voordelen voor het beveiligen van de omgeving. Want een systeembeheerder die afwijkt van de goedgekeurde procedure, moet misschien wel worden aangesproken.

Alleen wanneer AI gericht is op geautomatiseerde respons en een kortere hersteltijd, dan kan een respons op een goedaardige detectie de normale IT-processen verstoren. Als het verantwoordelijke Om beide scenario’s te voorkomen is het belangrijk om specifieke procedures te hanteren om deze uitzonderingen te verwerken in de respons van het AI-systeem op dit soort false positives. De onderliggende oorzaak is echter het in de juiste context plaatsen van de detectie.team voor de IT-processen bijvoorbeeld een kwetsbaarheid in het systeem probeert te herstellen en AI ziet deze verandering als iets kwaadaardigs, dan wordt het herstelproces verstoord en geblokkeerd. Net zolang totdat het AI-systeem is aangepast om deze processen buiten beschouwing te laten.

Onderscheid maken tussen aanvallers en systeembeheerders

We vertellen onze klanten vaak dat er weinig verschil zit tussen de handelingen van een aanvaller en die van een systeembeheerder. Beiden doen gewoon hun werk, maar een aanvaller heeft een totaal ander doel voor ogen dan een systeembeheerder. We noemen dat ‘intentie’ of ‘context’. Wanneer beveiligingsanalisten het hebben over het afstellen van de detectie- en responsmogelijkheden, verwijzen ze daarmee doorgaans naar het eruit filteren van false positives op basis van nieuwe operationele omstandigheden.

Dit houdt nooit op. Want net als bedrijven en processen dat doen, veranderen ook de omstandigheden. Aanvallers zullen nieuwe methoden ontwikkelen waar beveiligingsteams goed van op de hoogte moeten zijn.

Om beide scenario’s te voorkomen is het belangrijk om specifieke procedures te hanteren om deze uitzonderingen te verwerken in de respons van het AI-systeem op dit soort false positives. De onderliggende oorzaak is echter het in de juiste context plaatsen van de detectie.

Hoewel sommige AI-gestuurde tools diensten bieden die het AI-systeem van de nieuwste aanvalsmethoden op de hoogte houden, is het belangrijk om te onthouden dat geen enkele dienst proactief en zonder inmenging van uw organisatie uw eigen operationele omstandigheden kan invullen.

Hoe zit het met het SOC?

U bepaalt zelf in hoeverre uw Security Operations Center binnen de dynamiek van AI past. Wanneer u vooral de teams van uw SOC wil versterken, omdat uw analisten overbelast zijn door de vele incidenten of omdat het u simpelweg aan mankracht ontbreekt om alles volledig te dekken, kan AI een krachtig onderdeel uitmaken van het besluitvormingsproces. Door meer aandacht te besteden aan het eruit filteren van goedaardige meldingen, kan uw team zich focussen op de zaken die echt hun aandacht nodig hebben.

Wanneer u juist uw voorzieningen, en daarmee ook uw mogelijkheden, wilt versterken, dan kunt u AI wellicht beter beschouwen als een preventieve maatregel voor uw omgeving. U maakt dan gebruik van de snelheid waarmee AI opgespoorde incidenten automatisch herstelt.

Of uw SOC nu officieel deel uitmaakt van uw organisatie of dat het slechts een team beveiligingsspecialisten is dat zijn uiterste best doet, met een goede strategie komt u een heel eind.

Mens versus machine

Enkel AI gebruiken lost echter niet alle problemen op. Er moet sprake zijn van een synergie tussen mens en machine. Om de strategie hiervoor te bepalen, moet u weten welke gebieden ertoe doen.

Vaak zijn dit gebieden die nauw met uw beveiligingsstrategie zijn verwant. Neem bijvoorbeeld de risicobereidheid van uw organisatie of uw behoefte aan forensisch onderzoek van een incident. Een organisatie met een lage risicobereidheid kan de voorkeur geven aan agressievere AI in antwoord op een beveiligingsincident (en zo de TTR te verbeteren door sneller te reageren). Een meer op analyses gerichte organisatie daarentegen wil misschien eerst de gewenste artefacten verzamelen en de DT verkorten door meer te weten te komen over alle stappen die de aanvaller neemt en niet alleen over het laatste stadium.

Betekent dit dat AI de gouden greep is of gaat worden voor uw beveiliging? Nee. AI kan de werklast aanzienlijk verminderen en de beveiliging van uw organisatie sterk verbeteren. Menselijke tussenkomst blijft echter nodig om AI door het rommelige proces van contextbegrip te loodsen, alvorens het zelfstandig kan werken.

Welke strategie past bij mij?

Zoals we hiervoor al aangaven zijn de DT en de TTR de belangrijkste maatstaven. Dit geldt voor alle organisaties. Maar het verbeteren van deze maatstaven is maatwerk. Door AI in de hoogste stand te zetten, kan alles wat wordt opgespoord automatisch worden verwijderd. Hiermee treedt u dus direct op tegen elk potentieel kwaadaardig incident. Maar deze overactieve respons op false positives verstoort gegarandeerd uw andere IT-processen en onderhoud.

Hoewel we nog veel meer voors en tegens van AI-gestuurde detectie en respons kunnen noemen, is de belangrijkste les om te onthouden dat een goede strategie de meest fundamentele vereiste is voor een effectieve toepassing. Zonder de juiste beveiligingsstrategie verandert uw AI-oplossing eenvoudigweg in een dure snuisterij in de gereedschapskist van uw beveiligingsteam.

AI biedt enorm veel mogelijkheden. Het reageert sneller dan zijn menselijke tegenhanger, waardoor het de dwell time (DT) en time to remediation (TTR) kan verkorten. Tegelijkertijd is een sterke integratie met uw IT-processen noodzakelijk om verstoringen van uw bedrijfsvoering te voorkomen.

Door mensen aangestuurde oplossingen hebben zich al vele jaren bewezen en zijn in uiteenlopende situaties betrouwbaar gebleken. De vraag is echter of dat in de toekomst zo blijft.

Op dit moment bestaat er geen one-size-fits-all-oplossing voor de inzet van AI-gestuurde technologieën voor detectie en respons. Met het continu veranderende landschap en de ongekende uitdagingen op het gebied van IT-processen en IT-beveiliging waar veel organisaties momenteel voor staan, is het idee van one-size-fits-all wellicht allang achterhaald. Maar één ding is zeker: AI-gestuurde oplossingen hebben veel te bieden. Blijft alleen de vraag over waar in uw omgeving deze oplossingen het beste passen.

Auteurs:

Laura Adelaar

Laura is cybersecurityconsultant met een achtergrond in communicatie. Ze houdt zich voornamelijk bezig met oplossingen voor endpoint-bescherming in combinatie met AI.

Max Mol

Max Mol is cybersecurityconsultant met een voorliefde voor het ontwerpen van oplossingen voor beveiligings- en bewakingssystemen. Hij heeft veel ervaring met de beveiligingsproducten van Microsoft en geeft momenteel leiding aan het NDR-team dat zich voornamelijk bezighoudt met AI-gestuurde technologieën.

Niels den Otter

Niels den Otter is cybersecurityconsultant gespecialiseerd in Network Detection and Response. Zijn technische achtergrond vergroot zijn vaardigheden op dit gebied en stelt hem in staat om de kernprocessen van het NDR-team te ondersteunen.

Sebastiaan de Vries

Sebastiaan de Vries is een ervaren cybersecurityconsultant gespecialiseerd in uitgebreide detectie en respons (XDR). Sebastiaan combineert zijn technische en procedurele expertise om zijn klanten sterke oplossingen te bieden die bijdragen aan een effectieve besluitvorming bij bedrijven en een veilig technologisch landschap.