Slimmere informatie- en toegangsbeveiliging met AI
Kunstmatige Intelligentie (KI) – of Artificial Intelligence (AI) – is een van de belangrijke innovaties in dit decennium. Vrijwel iedere sector en elk vakgebied gebruiken tegenwoordig AI hulpmiddelen, van het onderwijs en de gezondheidszorg tot en met de maakindustrie en transportbranche. Organisaties optimaliseren hun planning met AI, laten hun documentatie samenstellen, controleren hun beheerkosten etc. Dat geldt helemaal voor de informatievoorziening. AI systemen zijn niet alleen IT systemen, we gebruiken ook steeds meer AI hulpmiddelen bij het bouwen, beheren én beveiligen van IT systemen.
Zeker bij dat laatste aspect, de informatiebeveiliging, kunnen we al niet meer zonder kunstmatige intelligentie. Security teams moeten het dagelijks opnemen tegen cybercriminelen en zogeheten statelijke actoren. Aan beide kanten wordt daarbij kunstmatige intelligentie ingezet. Hackers gebruiken AI algoritmes om zwakheden in infrastructuren te ontdekken en ook de ontwikkeling van nieuwe malware gaat deels met behulp van AI tools. Het is een wapenwedloop en de enige manier om die te winnen is als we zelf die kunstmatige intelligentie nog slimmer inzetten en dat maakt AI een van de belangrijkste informatiebeveiliging trends.
In dit artikel
Het belang van AI bij cyberbeveiliging?
Dankzij de enorme rekenkracht van moderne computersystemen kunnen we tegenwoordig geavanceerde Machine Learning systemen ontwikkelen en met internet en cloud-technologie beschikken we ook over vrijwel onbeperkte trainingsdata. Met zulke oplossingen zijn we in staat om binnen terabytes aan ongestructureerde gegevens complexe patronen en verbanden te ontdekken en daarmee slimme algoritmes te ontwikkelen.
Dat maakt ze cruciaal gereedschap voor het beheer en de beveiliging van moderne IT-omgevingen. Cyberdreigingen veranderen voortdurend en bestaan vaak uit verschillende schakels die soms individueel nauwelijks zijn te herkennen. Zeker omdat het IT landschap steeds complexer wordt en iedere organisatie honderden applicaties gebruikt die vaak in de cloud draaien en onderling zijn verbonden. Traditionele firewalls en antivirusprogramma’s werkten veelal met vooraf gedefinieerde regels en daarmee lopen we vaak achter de feiten aan; we detecteren verstoringen te laat of dreigingen worden helemaal niet herkend.
Omdat we met moderne AI-oplossingen miljarden gegevens van zowel de eigen IT-omgeving als van externe bronnen kunnen verwerken en analyseren zijn we in staat gevaarlijke patronen te herkennen en daarop direct te reageren. We geven in deze blog wat praktische voorbeelden. Daarbij blijven we dicht bij huis. Veel van onze klanten gebruiken Microsoft 365 als de basissuite voor hun digitalisering. Daarnaast gebruiken ze een IAM platform zoals HelloID voor de uitgifte en het beheer van alle gebruikersaccounts en toegangsrechten. Zowel Microsoft 365 als IAM omgevingen gebruiken steeds meer kunstmatige intelligentie om cyberdreigingen te voorkomen en op te lossen.
AI bij voorspellen, detectie en oplossing
Laten we beginnen met het voorspellen, ontdekken en afhandelen van cyberdreigingen. Dat doe je in je Microsoft omgeving bijvoorbeeld met Defender en Sentinel. Defender is een beveiligingssuite die bestaat uit verschillende onderdelen, ieder gericht op een bepaald domein. Je hebt bijvoorbeeld Defender for Identity, Defender for CloudApps en Defender for Endpoints. De Defender eXtended Detection & Response (XDR) functionaliteit integreert alle events uit die modules in één gecoördineerd beveiligingsplatform en kan de gegevens ook delen met het Sentinel platform. Op zijn beurt is Sentinel een zogeheten SIEM[1] en SOAR[2] omgeving waarmee je overkoepelende dreigingen kunt voorspellen, herkennen en oplossen. Sentinel gebruikt daarvoor ook nog gegevens uit andere IT systemen en externe bronnen met dreigingsinformatie. We schetsen wat mogelijkheden:
- Door AI-modellen te trainen met onder andere data over bekende dreigingen, kwaadaardige scripts en typische gebruikerspatronen kun je steeds effectiever afwijkingen detecteren. Als een toepassing bijvoorbeeld plotseling veel bestanden begint te versleutelen kan dit nu veel sneller worden herkend als een mogelijke ransomware aanval en kan zo’n aanval ook direct automatisch worden geblokkeerd.
- Dat beperkt zich niet tot individuele events, de systemen kunnen verschillende schakels in complexe ‘kill chains’ herkennen. Phishing-campagnes starten bijvoorbeeld vaak met verkenningsactiviteiten binnen de infrastructuur die je dankzij AI sneller kunt detecteren. Ook het netwerkgedrag van een lopende campagne kun je herkennen evenals de specifieke kenmerken van phishingmails (met bijvoorbeeld tekst- en sentimentanalyse). Geïnfecteerde bijlages kun je bovendien automatisch detecteren en isoleren. Tezamen zorg je zo voor een complete beveiligingslinie die vrijwel automatisch wordt opgezet.
- AI is ook essentieel voor de filtering en prioritering van meldingen en het automatiseren van de verwerking. Sentinel kan aan de hand van AI-modellen alarmen groeperen, ze prioriteren en ook het aantal vals-positieven verminderen. Met een zogeheten Fusion-analyse kun je verschillende meldingen correleren zodat je analisten zich kunnen richten op de meest belangrijke bedreigingen. Je kunt routinematige acties zoals een IP-blokkering of gebruikersvergrendeling zoveel mogelijk automatiseren maar ook de afhandeling van grotere incidenten automatiseren aan de hand van playbooks.
- De Microsoft Threat Intelligence dienst gebruikt machine learning om zowel interne als externe gegevens te vertalen naar een uitgebreid dreigingsbeeld. Dan gaat het om data uit het eigen wereldwijde sensornetwerk, gecombineerd met externe dreigingsinformatie van partners en openbare bronnen zoals hackersforums, darknet-marktplaatsen en malware-samples. Daarbij kan het vaak letterlijk om biljoenen signalen zijn inclusief verdachte IP-adressen, domeinen en malware-indicatoren.
AI ondersteuning bij IAM, data classificatie en data loss prevention
In de voorgaande voorbeelden ging het vooral over het voorkomen, ontdekken en afhandelen van cyberaanvallen. Daarnaast wil je ook het toegangsbeheer tot je IT omgeving goed organiseren en zorgen dat gebruikers niet ongeautoriseerd data kunnen inzien, bewerken en verspreiden. We geven een paar voorbeelden hoe je zulke risico’s kan inperken en hoe AI daarbij kan helpen:
AI in IAM omgevingen
Laten we beginnen met het voorkomen dat mensen ongewenst toegang krijgen tot applicaties en data. Een belangrijk beveiligingseis is het Principle of Least Privilege: iedere gebruiker mag op ieder moment alleen beschikken over de hoogstnoodzakelijke toegangsrechten, afhankelijk van iemands rol, afdeling, werklocatie etc. Een modern IAM platform als HelloID borgt dit door het account- en rechtenbeheer van alle gebruikers in de organisatie te automatiseren aan de hand van een zogeheten RBAC[3] model. Binnen HelloID realiseren we dit met behulp van zogeheten business rules. Die regels bepalen welke toegangsrechten medewerkers krijgen en het platform geeft ook instructies aan de zogeheten doelsystemen om die accounts en rechten in te stellen. Je IAM platform is zo letterlijk de spin in het web dat is gekoppeld aan talloze bron- en doelsystemen. Hierbij zie je dat er steeds meer potentieel is om de functionaliteit te verrijken met kunstmatige intelligentie. We geven twee voorbeelden:
- Zo’n RBAC model moet in sync zijn en blijven met je actuele organisatie en beleidsregels. HelloID biedt onder andere role mining om de daadwerkelijke bedrijfsvoering te kunnen vertalen naar bruikbare business rules. Zo’n uitgewerkt RBAC model kan behoorlijk complex zijn en AI zal dus steeds nadrukkelijker worden ingezet om het model te helpen bouwen, onderhouden en ook verder te optimaliseren.
- Je IAM systeem fungeert als de centrale administratie van toegangsrechten. Met behulp van reconciliation kun je daarbij controleren of er mismatches zijn tussen de IAM gegevens en de instellingen in de doelsystemen. Bijvoorbeeld omdat ergens een lokaal testaccount is aangemaakt, of omdat IAM gegevens niet goed zijn verwerkt in een doelsysteem. De oorzaak van zulke mismatches en een oplossing bepalen is vaak ingewikkeld. We werken er aan om met behulp van kunstmatige intelligentie de beheerder hiervoor steeds betere suggesties te geven.
AI voor data classificatie en data loss prevention
Het is een mooie aanvulling op de toegangsbeveiliging als je ook het verdere gebruik van je data zo goed mogelijk kunt controleren. Microsoft Purview is hiervoor een veelgebruikte data governance oplossing, waarvan we hier twee functies even uitlichten:
- Je kunt met Purview gevoelige gegevens classificeren met labels zoals ‘vertrouwelijk’ of ‘medische gegevens’. Afhankelijk van zo’n label kan het systeem bepalen wie er toegang toe heeft. Maar ook welke handelingen hij of zij er mee kan uitvoeren en in hoeverre gegevens verder mogen worden verspreid.
- Het platform biedt ook Data Loss Prevention (DLP) waarbij binnen documenten actief wordt gescand naar privacy-gevoelige gegevens zoals creditcardnummers, BSN-nummers etc. Als iemand zulke gegevens wil versturen, kan het systeem de gebruiker waarschuwen of de actie direct blokkeren.
Met kunstmatige intelligentie kunnen we het classificeren van documenten steeds verder automatiseren. Het platform geeft waar mogelijk een suggestie die de documenteigenaar alleen maar hoeft te bevestigen of te wijzigen. Ook kan het systeem zelf suggesties gaan geven voor de DLP beleidsregels en de bijbehorende datafilters. Welke type persoonlijke gegevens kom je in documenten tegen en hoe kun je die automatisch herkennen? AI kan er steeds beter bij helpen.
Meer weten?
Je ziet dat AI een steeds belangrijkere rol speelt bij je informatiebeveiliging en ook binnen de IAM trends van 2024 staat de toepassing van AI hoog op de agenda. Wil je meer weten over hoe we kunstmatige intelligentie toepassen binnen het HelloID platform, neem dan contact met ons op.