AI

De AI-wapenwedloop: waar CISO’s van wakker zouden moeten liggen

Het wereldwijde dreigingslandschap liet de afgelopen 20 jaar vooral de situatie van aanvallers versus verdedigers zien: een innovatie-wapenwedloop zonder langetermijnoverwinnaar. De onderzoekers die de grootste uitwassen van cybercrime aanpakken staan nu voor de vraag of AI en machine learning de cybercriminelen eindelijk een halt toe kunnen roepen. Terwijl de meeste beveiligingsbedrijven deze nieuwe technologieën inzetten om malware beter te detecteren en kwaadaardig gedrag te herkennen, zijn er tegelijkertijd voor de bad guys legio nieuwe mogelijkheden ontstaan om de traditionele beveiliging te omzeilen en nog slimmere aanvallen uit te voeren.

Spear phishing
Doelgerichte aanvallen zijn tot nu toe vanwege hun aard beperkt gebleven tot een klein aantal gebruikers in een organisatie. Het kost een aanvaller namelijk tijd om verkenningen uit te voeren, een doel te begrijpen, hoe doelen werken en waar ze waarschijnlijk op zullen klikken. Met AI en machine learning in combinatie met andere tools kunnen aanvallers dat op grote schaal gaan doen.

Er kunnen tools worden ontwikkeld om LinkedIn en andere gegevens van derden massaal binnen te halen, voorspellende analyses uit te voeren en vervolgens wijdverspreide spear phishing te automatiseren. Daarbij ontvangt elk doel een andere e-mail afhankelijk van zijn profiel. Wij gebruiken momenteel AI in de Writing Style DNA-feature, om hiermee te begrijpen hoe gebruikers e-mails opstellen om scam-aanvallen zoals Business Email Compromise te voorkomen. Maar ook cybercriminelen zouden in principe dit  soort kunstmatige intelligentie kunnen gebruiken om bepaalde gebruikers beter na te bootsen en zo doelen te misleiden (of verleiden) alsnog te klikken.

Hackers kunnen zelfs het surfen op het web en allerlei andere data gebruiken om online gedrag van individuen in kaart te brengen en te voorspellen, om zo malware of phishing e-mails in te zetten zodra de perfecte gelegenheid zich voordoet. Als ze bijvoorbeeld weten dat gebruiker A tijdens de  lunchpauze specifieke webwinkels bezoekt, kunnen ze om 11.50 uur een phishing e-mail versturen, waarin staat dat hij korting krijgt bij exact die webwinkel wanneer hij doorklikt.

Wanneer cyberaanvallen zo moeilijk te herkennen zijn, zal het een nachtmerrie worden om daar bescherming tegen te bieden, zowel vanuit technologisch perspectief als qua training van eindgebruikers.

Onder de radar
Dat gedrag en patronen op zo’n geavanceerde manier te volgen zullen zijn, zal hackers ook van pas komen bij het stelen van data, terwijl ze ondertussen buiten het zicht blijven van de meest moderne beveiligingstechnologieën. Momenteel monitoren tools van beveiligingsbedrijven verschillende typen ongebruikelijke activiteiten, die kunnen duiden op een bedreiging. Maar wat als de bad guys hun activiteiten zo kunnen verbergen, dat ze helemaal niet ongebruikelijk lijken? Dan ben je als het ware op zoek naar de spreekwoordelijke speld in de hooiberg.

Het monitoren van datastromen van bedrijven en organisaties zou voor kwaadwillenden bijvoorbeeld het perfecte moment kunnen onthullen om een bulk gestolen gegevens eruit te filteren. Of het analyseren en voorspellen van de momenten waarop Windows-updates plaatsvinden, zou een ideale mogelijkheid kunnen bieden om te profiteren van de downtime van het systeem om vervolgens malware te installeren of zijdelings binnen netwerken te verplaatsen. Als moderne beveiliging draait om het zoeken naar afwijkingen, wat gebeurt er dan als die er niet zijn? De aanvallers weten zich succesvol in het volle zicht te verbergen.

Gelukkig is de technologie op dit moment nog niet zo ver, al zijn er clouddiensten die cybercrime-groepen kunnen huren voor schaalbare opslag en computerrekenkracht, tegen relatief lage kosten. Er zijn zelfs mogelijkheden voor voorspellende analyse. Maar ze kunnen tegen problemen aanlopen als ze grote hoeveelheden data nodig hebben, die vereist zijn om deze modellen te bouwen vanuit de organisatie die het beoogde doelwit is. Wat betreft externe bronnen is er natuurlijk geen probleem.

De losse eindjes verbinden
Zodra het cybercriminelen lukt de losse eindjes met elkaar te verbinden en deze technologische hiaten te dichten, kunnen er echter problemen ontstaan. Schadelijke AI-tools vinden onvermijdelijk hun weg naar de “as-a-service” cybercrime, waar ze democratisch zullen worden verspreid, net zoals het eerder ging met ransomware, exploitkits en bancaire trojanen.

AI zou in de toekomst zelfs kunnen worden gebruikt om video en audio van zakelijk leiders of politici te vervalsen. Stelt u zich een inkomende BEC-achtige aanval voor. Deze keer echter niet in de vorm van een e-mail, maar vermomd als een FaceTime-oproep van de CEO die  zijn financiële verantwoordelijke ‘persoonlijk’ opdracht geeft voor een geldtransfer vanuit het bedrijf naar elders. Of denk aan zeer schadelijk en vals beeldmateriaal van een presidentskandidaat, dat enkele uren voor een verkiezing opduikt.

De cybersecurity-wapenwedloop is al vele jaren een constante. Met de opkomst van AI en machine learning is de inzet echter hoger dan ooit. De enige manier om als beveiligingsbedrijf voorop te blijven lopen is om je netten zo wijd mogelijk uit te gooien op het gebied van innovatieve threat research en om nooit op te geven.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.