Zoeken
Mitarbeiter, der Cybersecurity am Computer nutzt

Waarom beveiligingsoperaties AI-modernisering nodig hebben

Hoe organisaties hun afhankelijkheid van handmatige processen in beveiligingsoperaties kunnen verminderen en de detectie van bedreigingen kunnen verbeteren met AI

08. mei 2024Dheeraj Rawal

De achtergrond

in deze blog leer je hoe beveiligingsoperaties (SecOps) van reactief zijn geëvolueerd naar proactief. Lees meer over de uitdagingen van handmatige processen en waarom beveiligingsexperts nodig zijn. Hoe kunnen deze uitdagingen worden opgelost door kunstmatige intelligentie (AI) toe te passen? Zullen bedrijven kunstmatige intelligentie omarmen? \Wat kan kunstmatige intelligentie voor SecOps betekenen?

De geschiedenis van beveiligingsoperaties

Lange tijd was het Security Operations Centre (SOC) een enorme ruimte met grote schermen waarop constant waarschuwingsmeldingen werden weergegeven. Beveiligingsteams zaten voor deze schermen en controleerden en analyseerden voortdurend de waarschuwingsmeldingen. SOC's werden oorspronkelijk ontworpen voor overheids- en defensieorganisaties en hielden zich voornamelijk bezig met netwerkwaarschuwingen. Daarna kwamen intrusion detection systems (IDS), firewalls, virusbescherming enzovoort. Beveiligingsoperaties ontwikkelen zich voortdurend om gelijke tred te houden met het groeiende aantal bedreigingen. Zo werd in 2005 SIEM (Security Information and Event Management) geïntroduceerd om de detectie en reactie op bedreigingen (Incident Detection and Response) te optimaliseren.

Niet alleen de bedreigingen, maar ook de hulpmiddelen zijn steeds geavanceerder geworden ...

Met de ontwikkeling van cyberrisico's, met name Advanced Persistent Threats (APT's), zijn ook de hulpmiddelen om deze te bestrijden verbeterd. Vanaf 2016 voltrok zich op de markt de opkomst van Managed Detection and Response (MDR)-diensten met moderne functies voor dreigingsdetectie. Tegenwoordig werken beveiligingsoperaties niet langer reactief, maar proactief.  Begin 2024 zullen technologieën zoals automatisering en kunstmatige intelligentie volledig in SecOps geïntegreerd zijn. Technologieën zoals kunstmatige intelligentie helpen bedrijven het overzicht te bewaren, gegevens beter te verwerken en bedreigingen efficiënt uit te schakelen.

Stijgende verwachtingen voor beveiligingsactiviteiten

Infografiek over de uitdagingen voor operationele informatiebeveiliging

Hier volgen enkele uitdagingen voor de gangbare beveiligingsoperaties.1

Van een modern Security Operations Centre (SOC) wordt niet alleen verwacht dat het de veiligheid garandeert, maar ook dat het voldoet aan compliance-, rapportage- en trainingseisen. Bij gebruik van verouderde beveiligingssystemen worden beveiligingsanalisten geconfronteerd met te veel operationele uitdagingen. Zo worden ze bijvoorbeeld voortdurend overspoeld met waarschuwingsmeldingen.

Als het om cyberveiligheid gaat, is de context altijd cruciaal. Beveiligingsoperaties zijn in principe gebaseerd op het gebruik van informatie over bedreigingen die risico's kunnen afwenden. Een overvloed aan informatie, valse meldingen en een gebrek aan context doen echter afbreuk aan het doel van risicominimalisatie. 
Analisten ontvangen dagelijks duizenden waarschuwingen. Hier volgen enkele resultaten uit een onderzoek 2:

  • Aantal dagelijks ontvangen waarschuwingsmeldingen: 4.484
  • Uren besteed aan het handmatig categoriseren van waarschuwingsmeldingen: 3
  • Percentage dagelijks verwerkte waarschuwingsmeldingen: 33%
  • Percentage valse meldingen: 83%
  • Percentage van de tijd voor waarschuwingsmeldingen die geen bedreiging vormen: 32%

Angst om een belangrijke waarschuwingsmelding te missen

Zo'n stortvloed aan waarschuwingsmeldingen brengt beveiligingsanalisten onvermijdelijk in een lastig parket. 97% van hen is bijvoorbeeld bang een belangrijke waarschuwingsmelding te missen wanneer het erop aankomt. Dit gebeurde bij Target Corporation, een enorm winkelbedrijf in de Verenigde Staten. In 2013 was Target het slachtoffer van een van de grootste datalekken ooit, waarbij de creditcard- en betaalkaartgegevens van ongeveer 41 miljoen klanten gestolen werden. Dit datalek kostte het bedrijf 18,5 miljoen dollar voor de afhandeling van juridische claims en leidde ook tot een slechte reputatie en de instorting van de aandelenkoersen.

Wat echter echt tot nadenken stemt, is het feit dat de bewakingssoftware van Target (FireEye) weliswaar waarschuwingsmeldingen gaf, maar dat de beveiligingsexperts hier niet op reageerden. Ze beschouwden de waarschuwingen waarschijnlijk als valse melding of van secundair belang en negeerden ze, aangezien ze elke dag honderden van deze meldingen ontvingen.3

Te zware last op de schouders van SecOps-medewerkers

Infografiek waarom operationele informatiebeveiliging complex is

Waarom operationele informatiebeveiliging complex is

Er zijn te veel waarschuwingsmeldingen en maar een paar beveiligingsanalisten die deze kunnen afhandelen en dat is een grote uitdaging. De oorzaak van dit probleem ligt in de afhankelijkheid van handmatige processen. Uit een onderzoek dat in 2023 werd uitgevoerd, bleek dat 81% van de vakmensen op het gebied van beveiligingsoperaties van mening is dat ze door handmatige onderzoeken vertraging oplopen. Ze moeten handmatig het herstel in gang zetten.4 Uit hetzelfde onderzoek bleek ook dat de gemiddelde detectie- en reactietijd de afgelopen twee jaar is toegenomen. Analisten besteden ongeveer een derde van hun dagelijkse werktijd aan het onderzoeken van bedreigingen die vals blijken te zijn.

Toenemende afhankelijkheid van handmatige processen, maar geen oplossing voor het tekort aan geschoolde arbeidskrachten

De kern van het probleem is het gebrek aan beveiligingsexperts die grote systemen kunnen beheren. Het gebruik van digitale en cloudtechnologie is sterk toegenomen, hetgeen de kwetsbaarheid vergroot. Het aantal gekwalificeerde specialisten in de veiligheidssector is de afgelopen twintig jaar echter niet toegenomen. Forbes meldt dat er alleen al in 2023 3,5 miljoen vacatures openstaan in cyberbeveiliging. Het duurt gemiddeld 150 dagen om een vacature in de veiligheidssector in te vullen.5 Veiligheidsexperts hebben de indruk dat hun werk moeilijker is dan twee jaar geleden. De redenen hiervoor zijn de toenemende complexiteit, het steeds groter wordende kwetsbaarheid, de constante behoefte aan training en upgrades, de druk op het budget en de stress om aan de wettelijke voorschriften te voldoen.6

De dringende noodzaak om af te stappen van handmatige en tijdrovende processen

Omdat er minder personeel beschikbaar is, is er voor de afzonderlijke medewerkers meer tijd nodig om dreigingen te herkennen, te analyseren en het hoofd te bieden. Er zijn nog andere uitdagingen, zoals schaalvergroting, menselijke fouten bij het interpreteren van gegevens, 24-uurs monitoring, aanpassingsvermogen aan snelle veranderingen, enz. Natuurlijk is er een tekort aan geschoolde arbeidskrachten, maar als de afhankelijkheid van mensen wordt verminderd, kunnen de meeste problemen in verband met beveiligingsoperaties goed opgelost worden. De automatisering van processen en het gebruik van AI kan de druk op teams wegnemen.

AI en automatisering als redders in nood

Gezien de complexe omgeving, de vele waarschuwingsmeldingen en de snelheid van aanvallen, kunnen bedrijven niet langer alleen vertrouwen op de gebruikelijke beveiligingsmaatregelen. Moderne beveiligingsoperaties moeten in staat zijn om patronen te herkennen, in realtime te reageren, de juiste context af te leiden en de compliance te garanderen. Ongeveer 63% van de SOC-medewerkers gelooft dat technologieën zoals kunstmatige intelligentie en automatisering (of simpelweg "intelligente automatisering") de responstijden aanzienlijk kunnen verkorten.7

Hoe AI bedreigingsintelligentie versterkt

Werknemers die cyberbeveiliging gebruiken op de computer

De gebruikelijke detectie op basis van handtekeningen is niet langer voldoende, omdat deze niet in staat is nieuwe 'zero-day'-aanvallen te herkennen en gelijke tred te houden met grote hoeveelheden malware. AI kan het security operations-team helpen om zowel bekende als onbekende cyberrisico's te identificeren, zelfs als er geen handtekening beschikbaar is. AI maakt gebruik van algoritmen voor machinaal leren (ML) om grote hoeveelheden gegevens te analyseren en afwijkingen en patronen op te sporen. De regelgebaseerde phishingdetectie is ook verouderd, omdat deze nieuwere en onbekende phishingmails niet meer kan herkennen. AI daarentegen analyseert de opbouw en inhoud van de e-mail en de gebruikersinteractie om mogelijke phishingpogingen te detecteren.

Hetzelfde geldt voor de protocolanalyse: AI-gebaseerde analyses van veiligheidsprotocollen kunnen in vergelijking met regelgebaseerde systemen enorme volumes in realtime verwerken. AI kan niet alleen externe, maar ook interne bedreigingen detecteren, zoals onbevoegde toegang of verdachte gegevensoverdracht.

Verbeterde dreigingsdetectie met AI

AI biedt ook zeer effectieve netwerkbeveiliging omdat de algoritmes netwerken kunnen bewaken, ongebruikelijke patronen kunnen detecteren, onbevoegde of verdachte apparaten op het netwerk kunnen identificeren, enzovoort. Bedrijven kunnen AI inzetten om datalekken en beveiligingsincidenten effectief te voorkomen. Een belangrijk kenmerk van AI is dat het in de loop van de tijd leert en verbetert. Als er nieuwe cyberbedreigingen opduiken, kunnen AI-modellen leren van de nieuwe gegevens om een nog sterkere verdediging te creëren. In ondernemingen die gebruik maken van MDR-services met AI-gebaseerde endpointbescherming, reageren beveiligingsteams sneller en effectiever. Kortom: het gebruik van AI in beveiligingsoperaties verhoogt de efficiëntie, verbetert realtime detectie, vergroot de schaalbaarheid en maakt de besluitvorming nauwkeuriger. 

Hoe beveiligingsoperaties kunnen profiteren van AI

Tijdsbesparingen

AI verlost beveiligingsteams van vervelende taken. Hierdoor kunnen ze zich concentreren op meer kritische en complexe taken. Met intelligente automatisering kunnen belangrijke taken zoals het scannen op kwetsbaarheden, patchbeheer, opsporing van bedreigingen en reageren op incidenten worden geoptimaliseerd. AI beveelt ook maatregelen aan en ondersteunt de beveiligingsteams bij de afweer van bedreigingen. Bedrijven die AI gebruiken, profiteren van de snelle verwerking van gegevens uit verschillende bronnen, patroonherkenning en het in realtime detecteren van cyberbedreigingen. In vergelijking met bedrijven die niet in AI hebben geïnvesteerd, hebben ze bij datalekken ongeveer 108 dagen aan reactietijd gewonnen.8

Kostenbesparing

Door repetitieve taken te optimaliseren, kan de behoefte aan frequente handmatige interventie aanzienlijk worden verminderd. Er is minder of zelfs helemaal geen "extra" personeel nodig voor routinetaken. Bovendien zijn veiligheidsanalisten, dankzij precieze dreigingsinformatie, weinig tijd kwijt aan het onderzoeken van valse meldingen. Door de detectiepercentages te verbeteren, kunnen de hulpmiddelen voor belangrijkere taken worden gebruikt.

AI voor beveiligingsactiviteiten betekent hogere omzetten en ROI's

Doordat de reactietijd bij incidenten verkort wordt, kunnen onder andere grote aanvallen, datalekken of ransomware, die anders zouden kunnen leiden tot financiële schade, boetes, rechtszaken, reputatieschade en dergelijke worden voorkomen.

  • Bedrijven die investeerden in AI en automatisering bespaarden ongeveer 1,76 miljoen dollar aan kosten voor datalekken in vergelijking met bedrijven die dat niet deden. 
  • Wanneer deze technologieën volledig ontwikkeld zijn in bedrijven, kunnen investeringen in beveiliging tot 40% rendabeler zijn. 
  • 43% meer omzetgroei over vijf jaar voor bedrijven die beschikken over geavanceerde beveiligingsfuncties.9

Om het succes van de implementatie van op AI gebaseerde beveiligingsoperaties te begrijpen, moeten ondernemingen de volgende statistieken in het oog houden:

  • Gemiddelde tijd tot detectie (MTTD): Hoe AI de tijd heeft verkort die nodig is om een bedreiging te detecteren zodra deze het netwerk is binnengedrongen.
  • Gemiddelde reactietijd (MTTR): Hoe het automatiseren van de reactie op incidenten de tijd die nodig is om op een bedreiging te reageren, heeft verkort.
  • Percentage valse meldingen: Aantal van de door AI verminderde valse meldingen.
  • Afdekking van bedreiging: Aantal bekende en onbekende bedreigingen gedetecteerd door de AI.
  • Productiviteit van het Security Operations Center: Aantal bespaarde uren door SOC-taken en -processen te optimaliseren.
  • Kostenbesparingen: Geld besparen door intelligente automatisering.

Minimaliseer bedrijfsrisico's met AI-ondersteunde MDR voor bedrijven van T-Systems

Infografiek over XSIAM-functies van Palo Alto Networks

XSIAM-functies van Palo Alto Networks

Met onze uitgebreide MDR-services helpen we ondernemingen om hun beveiligingsactiviteiten te verbeteren, beveiligingsrisico's te verminderen en hun te vergroten zonder hun digitale transformatie in gevaar te brengen. Onze -services maken gebruik van moderne, op AI gebaseerde technologieën zoals Cortex XSIAM van Palo Alto Networks. Met behulp van AI-functies kunnen we gegevens uit meer bronnen verzamelen, verschillende waarschuwingen beter correleren en het aantal waarschuwingen met hoge prioriteit verminderen. Dit verkort wederom de oplostijd van dagen naar minuten. Er wordt geen onnodige tijd besteed aan het onderzoeken van waarschuwingen met een lage prioriteit of valse meldingen.

XSIAM-functies van Palo Alto Networks:

  • niet meer schakelen tussen verschillende consoles, alle gegevens zijn nu beschikbaar op één console die gegevens uit verschillende bronnen integreert.
  • Het toevoegen van een nieuwe gegevensbron is ook eenvoudig in vergelijking met conventionele SIEMs (Security Information and Event Management). De gegevens worden onmiddellijk geanalyseerd.
  • Combineer naar behoefte verschillende producten van de Cortex-markt.
  • XSIAM versnelt de onderzoekstijd door meerdere waarschuwingen aan één incident toe te wijzen. Dit bespaart analisten veel tijd omdat ze zich kunnen concentreren op waarschuwingsmeldingen met een hoog risico.
  • Met Attack Surface Management (ASM) worden nieuwe kwetsbaarheden snel opgemerkt en onmiddellijk hersteld.
  • XSIAM stelt reactiemaatregelen voor analisten voor en bespaart daardoor tijd.
  • Bedreigingsdetectie en -monitoring worden ook uitgebreid naar nieuwe cloudsystemen die op een later tijdstip worden toegevoegd om een bedrijfsbrede dekking te garanderen.

T-Systems en Palo Alto Networks kunnen je bestaande beveiligingsactiviteiten optimaliseren zonder dat je grote investeringen in beveiligingstools hoeft te doen en je het hele SOC opnieuw hoeft in te richten. Verbeter de beveiliging van je bedrijf en verhoog de cyberweerbaarheid tegen moderne aanvallen.

Met onze op AI gebaseerde MDR-diensten:

  • handmatige activiteiten verminderen.
  • Op- en afschalen om risico's te voorkomen.
  • Minder valse meldingen.
  • Het aandeel belangrijke waarschuwingsmeldingen verhogen.
  • De onderzoekstijd verkorten.
  • Sneller reageren op incidenten.
  • De naleving en rapportage te verbeteren.
  • En transparantie in realtime mogelijk maken. 

Neem nu contact met ons op als je jouw SecOps wilt optimaliseren of onze MDR-services wilt gebruiken om de veiligheid van je bedrijf te verbeteren.

Leer onze MDR-aanbiedingen in detail kennen

Dit vind je misschien ook interessant

Informatie over de auteur
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Alle artikelen en het profiel van de auteur

Operationele informatiebeveiliging verbeteren met AI en MDR

We kunnen je helpen je afhankelijkheid van handmatige processen te verminderen, je beveiliging te schalen en de bedreigingsdetectie te verbeteren met behulp van AI en automatisering.

1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM

Do you visit t-systems.com outside of Netherlands? Visit the local website for more information and offers for your country.