in deze blog leer je hoe beveiligingsoperaties (SecOps) van reactief zijn geëvolueerd naar proactief. Lees meer over de uitdagingen van handmatige processen en waarom beveiligingsexperts nodig zijn. Hoe kunnen deze uitdagingen worden opgelost door kunstmatige intelligentie (AI) toe te passen? Zullen bedrijven kunstmatige intelligentie omarmen? \Wat kan kunstmatige intelligentie voor SecOps betekenen?
Lange tijd was het Security Operations Centre (SOC) een enorme ruimte met grote schermen waarop constant waarschuwingsmeldingen werden weergegeven. Beveiligingsteams zaten voor deze schermen en controleerden en analyseerden voortdurend de waarschuwingsmeldingen. SOC's werden oorspronkelijk ontworpen voor overheids- en defensieorganisaties en hielden zich voornamelijk bezig met netwerkwaarschuwingen. Daarna kwamen intrusion detection systems (IDS), firewalls, virusbescherming enzovoort. Beveiligingsoperaties ontwikkelen zich voortdurend om gelijke tred te houden met het groeiende aantal bedreigingen. Zo werd in 2005 SIEM (Security Information and Event Management) geïntroduceerd om de detectie en reactie op bedreigingen (Incident Detection and Response) te optimaliseren.
Met de ontwikkeling van cyberrisico's, met name Advanced Persistent Threats (APT's), zijn ook de hulpmiddelen om deze te bestrijden verbeterd. Vanaf 2016 voltrok zich op de markt de opkomst van Managed Detection and Response (MDR)-diensten met moderne functies voor dreigingsdetectie. Tegenwoordig werken beveiligingsoperaties niet langer reactief, maar proactief. Begin 2024 zullen technologieën zoals automatisering en kunstmatige intelligentie volledig in SecOps geïntegreerd zijn. Technologieën zoals kunstmatige intelligentie helpen bedrijven het overzicht te bewaren, gegevens beter te verwerken en bedreigingen efficiënt uit te schakelen.
Hier volgen enkele uitdagingen voor de gangbare beveiligingsoperaties.1
Van een modern Security Operations Centre (SOC) wordt niet alleen verwacht dat het de veiligheid garandeert, maar ook dat het voldoet aan compliance-, rapportage- en trainingseisen. Bij gebruik van verouderde beveiligingssystemen worden beveiligingsanalisten geconfronteerd met te veel operationele uitdagingen. Zo worden ze bijvoorbeeld voortdurend overspoeld met waarschuwingsmeldingen.
Als het om cyberveiligheid gaat, is de context altijd cruciaal. Beveiligingsoperaties zijn in principe gebaseerd op het gebruik van informatie over bedreigingen die risico's kunnen afwenden. Een overvloed aan informatie, valse meldingen en een gebrek aan context doen echter afbreuk aan het doel van risicominimalisatie.
Analisten ontvangen dagelijks duizenden waarschuwingen. Hier volgen enkele resultaten uit een onderzoek 2:
Zo'n stortvloed aan waarschuwingsmeldingen brengt beveiligingsanalisten onvermijdelijk in een lastig parket. 97% van hen is bijvoorbeeld bang een belangrijke waarschuwingsmelding te missen wanneer het erop aankomt. Dit gebeurde bij Target Corporation, een enorm winkelbedrijf in de Verenigde Staten. In 2013 was Target het slachtoffer van een van de grootste datalekken ooit, waarbij de creditcard- en betaalkaartgegevens van ongeveer 41 miljoen klanten gestolen werden. Dit datalek kostte het bedrijf 18,5 miljoen dollar voor de afhandeling van juridische claims en leidde ook tot een slechte reputatie en de instorting van de aandelenkoersen.
Wat echter echt tot nadenken stemt, is het feit dat de bewakingssoftware van Target (FireEye) weliswaar waarschuwingsmeldingen gaf, maar dat de beveiligingsexperts hier niet op reageerden. Ze beschouwden de waarschuwingen waarschijnlijk als valse melding of van secundair belang en negeerden ze, aangezien ze elke dag honderden van deze meldingen ontvingen.3
Waarom operationele informatiebeveiliging complex is
Er zijn te veel waarschuwingsmeldingen en maar een paar beveiligingsanalisten die deze kunnen afhandelen en dat is een grote uitdaging. De oorzaak van dit probleem ligt in de afhankelijkheid van handmatige processen. Uit een onderzoek dat in 2023 werd uitgevoerd, bleek dat 81% van de vakmensen op het gebied van beveiligingsoperaties van mening is dat ze door handmatige onderzoeken vertraging oplopen. Ze moeten handmatig het herstel in gang zetten.4 Uit hetzelfde onderzoek bleek ook dat de gemiddelde detectie- en reactietijd de afgelopen twee jaar is toegenomen. Analisten besteden ongeveer een derde van hun dagelijkse werktijd aan het onderzoeken van bedreigingen die vals blijken te zijn.
De kern van het probleem is het gebrek aan beveiligingsexperts die grote systemen kunnen beheren. Het gebruik van digitale en cloudtechnologie is sterk toegenomen, hetgeen de kwetsbaarheid vergroot. Het aantal gekwalificeerde specialisten in de veiligheidssector is de afgelopen twintig jaar echter niet toegenomen. Forbes meldt dat er alleen al in 2023 3,5 miljoen vacatures openstaan in cyberbeveiliging. Het duurt gemiddeld 150 dagen om een vacature in de veiligheidssector in te vullen.5 Veiligheidsexperts hebben de indruk dat hun werk moeilijker is dan twee jaar geleden. De redenen hiervoor zijn de toenemende complexiteit, het steeds groter wordende kwetsbaarheid, de constante behoefte aan training en upgrades, de druk op het budget en de stress om aan de wettelijke voorschriften te voldoen.6
Omdat er minder personeel beschikbaar is, is er voor de afzonderlijke medewerkers meer tijd nodig om dreigingen te herkennen, te analyseren en het hoofd te bieden. Er zijn nog andere uitdagingen, zoals schaalvergroting, menselijke fouten bij het interpreteren van gegevens, 24-uurs monitoring, aanpassingsvermogen aan snelle veranderingen, enz. Natuurlijk is er een tekort aan geschoolde arbeidskrachten, maar als de afhankelijkheid van mensen wordt verminderd, kunnen de meeste problemen in verband met beveiligingsoperaties goed opgelost worden. De automatisering van processen en het gebruik van AI kan de druk op teams wegnemen.
Gezien de complexe omgeving, de vele waarschuwingsmeldingen en de snelheid van aanvallen, kunnen bedrijven niet langer alleen vertrouwen op de gebruikelijke beveiligingsmaatregelen. Moderne beveiligingsoperaties moeten in staat zijn om patronen te herkennen, in realtime te reageren, de juiste context af te leiden en de compliance te garanderen. Ongeveer 63% van de SOC-medewerkers gelooft dat technologieën zoals kunstmatige intelligentie en automatisering (of simpelweg "intelligente automatisering") de responstijden aanzienlijk kunnen verkorten.7
De gebruikelijke detectie op basis van handtekeningen is niet langer voldoende, omdat deze niet in staat is nieuwe 'zero-day'-aanvallen te herkennen en gelijke tred te houden met grote hoeveelheden malware. AI kan het security operations-team helpen om zowel bekende als onbekende cyberrisico's te identificeren, zelfs als er geen handtekening beschikbaar is. AI maakt gebruik van algoritmen voor machinaal leren (ML) om grote hoeveelheden gegevens te analyseren en afwijkingen en patronen op te sporen. De regelgebaseerde phishingdetectie is ook verouderd, omdat deze nieuwere en onbekende phishingmails niet meer kan herkennen. AI daarentegen analyseert de opbouw en inhoud van de e-mail en de gebruikersinteractie om mogelijke phishingpogingen te detecteren.
Hetzelfde geldt voor de protocolanalyse: AI-gebaseerde analyses van veiligheidsprotocollen kunnen in vergelijking met regelgebaseerde systemen enorme volumes in realtime verwerken. AI kan niet alleen externe, maar ook interne bedreigingen detecteren, zoals onbevoegde toegang of verdachte gegevensoverdracht.
AI biedt ook zeer effectieve netwerkbeveiliging omdat de algoritmes netwerken kunnen bewaken, ongebruikelijke patronen kunnen detecteren, onbevoegde of verdachte apparaten op het netwerk kunnen identificeren, enzovoort. Bedrijven kunnen AI inzetten om datalekken en beveiligingsincidenten effectief te voorkomen. Een belangrijk kenmerk van AI is dat het in de loop van de tijd leert en verbetert. Als er nieuwe cyberbedreigingen opduiken, kunnen AI-modellen leren van de nieuwe gegevens om een nog sterkere verdediging te creëren. In ondernemingen die gebruik maken van MDR-services met AI-gebaseerde endpointbescherming, reageren beveiligingsteams sneller en effectiever. Kortom: het gebruik van AI in beveiligingsoperaties verhoogt de efficiëntie, verbetert realtime detectie, vergroot de schaalbaarheid en maakt de besluitvorming nauwkeuriger.
AI verlost beveiligingsteams van vervelende taken. Hierdoor kunnen ze zich concentreren op meer kritische en complexe taken. Met intelligente automatisering kunnen belangrijke taken zoals het scannen op kwetsbaarheden, patchbeheer, opsporing van bedreigingen en reageren op incidenten worden geoptimaliseerd. AI beveelt ook maatregelen aan en ondersteunt de beveiligingsteams bij de afweer van bedreigingen. Bedrijven die AI gebruiken, profiteren van de snelle verwerking van gegevens uit verschillende bronnen, patroonherkenning en het in realtime detecteren van cyberbedreigingen. In vergelijking met bedrijven die niet in AI hebben geïnvesteerd, hebben ze bij datalekken ongeveer 108 dagen aan reactietijd gewonnen.8
Door repetitieve taken te optimaliseren, kan de behoefte aan frequente handmatige interventie aanzienlijk worden verminderd. Er is minder of zelfs helemaal geen "extra" personeel nodig voor routinetaken. Bovendien zijn veiligheidsanalisten, dankzij precieze dreigingsinformatie, weinig tijd kwijt aan het onderzoeken van valse meldingen. Door de detectiepercentages te verbeteren, kunnen de hulpmiddelen voor belangrijkere taken worden gebruikt.
Doordat de reactietijd bij incidenten verkort wordt, kunnen onder andere grote aanvallen, datalekken of ransomware, die anders zouden kunnen leiden tot financiële schade, boetes, rechtszaken, reputatieschade en dergelijke worden voorkomen.
Om het succes van de implementatie van op AI gebaseerde beveiligingsoperaties te begrijpen, moeten ondernemingen de volgende statistieken in het oog houden:
XSIAM-functies van Palo Alto Networks
Met onze uitgebreide MDR-services helpen we ondernemingen om hun beveiligingsactiviteiten te verbeteren, beveiligingsrisico's te verminderen en hun te vergroten zonder hun digitale transformatie in gevaar te brengen. Onze -services maken gebruik van moderne, op AI gebaseerde technologieën zoals Cortex XSIAM van Palo Alto Networks. Met behulp van AI-functies kunnen we gegevens uit meer bronnen verzamelen, verschillende waarschuwingen beter correleren en het aantal waarschuwingen met hoge prioriteit verminderen. Dit verkort wederom de oplostijd van dagen naar minuten. Er wordt geen onnodige tijd besteed aan het onderzoeken van waarschuwingen met een lage prioriteit of valse meldingen.
XSIAM-functies van Palo Alto Networks:
T-Systems en Palo Alto Networks kunnen je bestaande beveiligingsactiviteiten optimaliseren zonder dat je grote investeringen in beveiligingstools hoeft te doen en je het hele SOC opnieuw hoeft in te richten. Verbeter de beveiliging van je bedrijf en verhoog de cyberweerbaarheid tegen moderne aanvallen.
Met onze op AI gebaseerde MDR-diensten:
Neem nu contact met ons op als je jouw SecOps wilt optimaliseren of onze MDR-services wilt gebruiken om de veiligheid van je bedrijf te verbeteren.
1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM
