Al jaren belooft de beveiligingssector dat AI de detectie van bedreigingen radicaal zou veranderen. Die belofte wordt nu waargemaakt – maar niet alleen door de verdedigers. Aanvallers gebruiken dezelfde technologie om sneller te handelen, overtuigender aanvallen op te zetten en operaties op te schalen die voorheen veel menselijke inspanning vergden. Het resultaat is een dynamischer bedreigingslandschap dan de meeste organisaties hadden voorzien.
Dit is geen toekomstscenario. Het is de omgeving waarin beveiligingsteams vandaag de dag werken.
Wat aanvallers doen met AI
De meest zichtbare impact van AI aan de kant van de bedreigingen is te zien in social engineering. Grote taalmodellen hebben de taalbarrière die phishing-e-mails vroeger makkelijker te herkennen maakte, effectief weggenomen. Slecht geformuleerde verzoeken van buitenlandse afzenders waren een betrouwbaar signaal – een signaal dat niet langer geldt. Door AI gegenereerde phishing-berichten zijn nu grammaticaal foutloos, passen bij de context en worden steeds persoonlijker gemaakt met gegevens die uit openbare bronnen zijn verzameld.
Naast phishing versnelt AI ook verschillende andere aanvalspatronen. Onderzoek naar kwetsbaarheden, waar vroeger dagenlang door ervaren analisten aan werd gewerkt, kan nu gedeeltelijk worden geautomatiseerd, waardoor de tijd tussen het bekendmaken van een kwetsbaarheid en het inzetten van een exploit wordt verkort. Malware wordt razendsnel gegenereerd en aangepast om detectie op basis van handtekeningen te omzeilen. En deepfake-audio en -video – vroeger het domein van nationale actoren – worden nu ook toegankelijk voor minder geavanceerde groepen.
“De drempel om een geavanceerde aanval uit te voeren is aanzienlijk gedaald. Wat twee jaar geleden nog een team van specialisten vereiste, kan nu gedeeltelijk worden geautomatiseerd door een redelijk bekwame aanvaller.”
Voor organisaties betekent dit dat het dreigingsoppervlak in feite groter wordt zonder dat er aan hun kant iets verandert. Dezelfde beveiligingsmaatregelen die in 2022 voldoende waren, zijn dat nu misschien niet meer – niet omdat de organisatie is veranderd, maar omdat de kosten en mogelijkheden om haar aan te vallen dat wel zijn.
Hoe AI de verdediging versterkt
De defensieve toepassingen van AI zijn net zo reëel en in veel gevallen al ingebouwd in de tools die moderne security operations centers gebruiken. Het verschil is dat verdedigers het altijd bij het rechte eind moeten hebben – wat de toepassing van AI iets veeleisender maakt dan aan de aanvalszijde.
Detecteren wat op regels gebaseerde systemen missen
Traditionele beveiligingsmonitoring vertrouwt op bekende handtekeningen en gedefinieerde regels. AI-gebaseerde detectie zoekt naar afwijkend gedrag – patronen die op statistisch significante wijze afwijken van een baseline, zelfs als er nooit een regel is geschreven om ze op te sporen. Dit is vooral waardevol voor het detecteren van laterale bewegingen, bedreigingen van binnenuit en nieuwe aanvalstechnieken waarvoor nog geen handtekening bestaat.
Bij de SOC-activiteiten van Nomios helpt AI-ondersteunde analyse analisten om een veel grotere hoeveelheid waarschuwingen te triageren dan anders mogelijk zou zijn. De technologie vervangt het oordeel van de analist niet — ze focust het, door de signalen naar voren te halen die het meest waarschijnlijk betekenisvol zijn en ruis weg te filteren die anders onderzoekstijd zou opslokken.
Versnellen van incidentrespons
Als er zich een incident voordoet, is tijd de cruciale factor. AI-tools kunnen gebeurtenissen in meerdere systemen tegelijkertijd met elkaar in verband brengen, waardoor ze veel sneller een beeld van een aanvalsketen opbouwen dan handmatige analyse toelaat. Deze verkorting van de onderzoekstijd – in sommige gevallen van uren naar minuten – kan het verschil betekenen tussen het vroegtijdig indammen van een inbreuk en het beheersen van een volledig incident.
Threat intelligence op schaal
De hoeveelheid threat intelligence die beschikbaar is voor beveiligingsteams is sneller gegroeid dan de capaciteit om deze te verwerken. AI maakt het mogelijk om een veel bredere reeks intelligence-feeds op te nemen, te correleren en ernaar te handelen — waarbij opkomende tactieken worden geïdentificeerd en in kaart worden gebracht voor de specifieke kwetsbaarheid van de organisatie, voordat ze tegen haar worden ingezet.
De strategische vraag voor beveiligingsleiders
Gezien dit landschap is de relevante vraag voor CISO's en beveiligingsdirecteuren niet of AI ertoe doet – dat doet het duidelijk – maar waar je je op moet richten. Twee prioriteiten springen eruit.
De eerste is ervoor zorgen dat je detectievermogen gelijke tred heeft gehouden met de evolutie van de dreiging. Als je SOC nog steeds voornamelijk op regels is gebaseerd, of als je team van analisten het grootste deel van hun tijd besteedt aan het triageren van waarschuwingen in plaats van aan onderzoek, is dat een lacune die het waard is om aan te pakken. De toepassing van AI op detectie en respons is nu volwassen genoeg om met vertrouwen in productieomgevingen te worden ingezet.
De tweede is inzicht krijgen in je eigen blootstelling aan AI-risico's. Organisaties die AI-tools gebruiken – op het gebied van beveiliging of elders – introduceren nieuwe aanvalsvlakken. AI-modellen kunnen worden gemanipuleerd, vergiftigd of omzeild. Inzicht krijgen in hoe AI binnen je eigen omgeving wordt gebruikt en wat de bijbehorende risico's zijn, wordt een standaardonderdeel van het gesprek over beveiligingsadvies.
Nomios werkt met organisaties op beide vlakken: we helpen beveiligingsteams een duidelijke strategie voor AI in hun beveiligingsprogramma te ontwikkelen en beheren de detectie- en responsinfrastructuur die dit in de praktijk brengt. Als je wilt weten hoe je huidige positie zich verhoudt tot het AI-dreigingslandschap, is een gestructureerde beoordeling meestal het juiste startpunt.
Is your security programme keeping pace with AI?
We help organisations understand their exposure and put the right detection and response capability in place. No obligation — just an honest conversation.
