ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > Automatisering van cyberbeveiliging: welke verwachtingen, welke grenzen?

Automatisering van cyberbeveiliging: welke verwachtingen, welke grenzen?

Gepubliceerd op 8 september 2023
Deel deze pagina :

De productiviteit van cyberanalisten verbeteren door ze te verlossen van repetitieve en tijdrovende taken: dat is de belangrijkste belofte van automatisering. Is automatisering, naast deze zoektocht naar productiviteit, een mogelijk antwoord op het tekort aan talent? Wat zijn de grenzen?

Automatisering van cyberbeveiliging

Automatisering is een tweesnijdend zwaard geworden. Aan de ene kant maken cybercriminelen er misbruik van om steeds frequentere en geavanceerdere cyberaanvallen uit te voeren. Aan de andere kant worden operationele beveiligingsteams (SecOps) gedwongen om het te gebruiken om deze bedreigingen tegen te gaan. Tegelijkertijd lijkt automatisering ook een antwoord op de schaarste van cyberbeveiligingsexperts. Maar wat zijn, naast de ogenschijnlijke voordelen, de echte beperkingen?

Automatisering in cyberbeveiliging: uitdagingen en beloften

Wat is automatisering in operationele veiligheid?

Automatisering in cyberbeveiliging houdt in dat bepaalde taken die worden uitgevoerd door cyberanalisten en SecOps-teams worden 'geïndustrialiseerd'. Het doel is om de detectie van bedreigingen te optimaliseren en sneller te reageren. Het maakt daarom deel uit van een strategie die zowel preventief als proactief is.

Waarom cyberbeveiliging automatiseren?

Cyberanalisten staan dagelijks voor constante uitdagingen:

  • Een steeds grotere hoeveelheid informatie analyseren en verwerken.
  • Beslissingen nemen over de acties die ondernomen moeten worden.
  • Voer deze operaties uit binnen een (zeer) strak tijdschema en verkort de reactietijden bij incidenten.

Geconfronteerd met deze beperkingen bieden automatisering en kunstmatige intelligentie een effectief antwoord. Ze voldoen aan de groeiende verwachtingen van organisaties wat betreft het verkorten van de reactietijd en de relevantie van waarschuwingen. Het doel is met name om het aantal fout-positieven te verminderen.

Naarmate de omvang van de te beschermen bedrijfsmiddelen toeneemt, blijft de pool van experts die beschikbaar is om zich hiermee bezig te houden schaars. Anders gezegd, automatisering verbetert de productiviteit van cyberanalisten en vermindert het risico op burn-out of 'cybermoeheid'.

Welke taken kunnen worden geautomatiseerd?

De belangrijkste gebruikssituaties voor automatisering in operationele veiligheid zijn :

  • geautomatiseerde detectie en reactie op bedreigingen. Dit houdt in dat verdachte of kwaadaardige activiteiten snel worden geïdentificeerd en dat er autonoom op wordt gereageerd, vaak in realtime.  
  • geautomatiseerde detectie van afwijkingen in gegevenscirculatie. Analyse van gegevensstromen kan abnormaal gedrag of onverwachte verkeerspatronen aan het licht brengen. Eenmaal geïdentificeerd kunnen deze anomalieën wijzen op kwaadwillige activiteiten of compromittering.
  • Automatisering van informatie over cyberbedreigingen (CTI)Dit is een geautomatiseerd proces voor het verzamelen en analyseren van gegevens over cyberbedreigingen. Het automatiseren van dit proces verrijkt de dreigingsprofilering, geeft een duidelijker beeld van de tactieken die cyberaanvallers gebruiken, maakt het mogelijk om bestaande beveiligingsmaatregelen aan te passen (zoals het blokkeren van poorten) en geeft richting aan de beslissingen die moeten worden genomen.  

De opkomst van automatisering in oplossingen voor incidentdetectie en -respons

De evolutie van tools voor incidentdetectie en -respons illustreert duidelijk de toenemende integratie van automatisering in operationele beveiligingsprocessen. Deze tools omvatten :

  • EPP (Endpoint Protection-platform) om terminals te beschermen. Het is over het algemeen een evolutie van traditionele antivirussoftware en biedt uitgebreidere bescherming.
  • UEBA (analyse van gebruikers- en entiteitsgedrag) die verdachte activiteiten identificeert op basis van het gedrag van gebruikers en entiteiten binnen een organisatie.
  • SIEM (Beveiligingsinformatie en evenementenbeheer). Deze gecentraliseerde oplossing verzamelt, bewaart, analyseert en geeft beveiligingslogs en -gebeurtenissen weer, in realtime of historisch, om een overzicht te geven van potentiële bedreigingen en incidenten.
  • EDR (Endpointdetectie en -respons). Dit platform identificeert en reageert op potentiële bedreigingen voor terminals. Het biedt geavanceerde analyse- en interventiemogelijkheden.
  • XDR (uitgebreide detectie en respons). Deze evolutie van EDR breidt detectie en respons uit van eenvoudige endpoints naar andere gegevensbronnen, zoals netwerken en servers.
  • SOAR (beveiligingsorkestratie, automatisering en respons). Deze oplossing combineert gegevensverzameling, geautomatiseerde respons en orkestratie om de efficiëntie van beveiligingsactiviteiten te verbeteren.

Traditionele antivirussoftware die alleen op werkstations is geïnstalleerd, kan de bedreigingen van vandaag, zoals WormGPT of ontwijkingsaanvallen, niet langer het hoofd bieden. Vooral omdat sommige van deze aanvallen zijn gebaseerd op kunstmatige intelligentie. Deze realiteit dwingt cyberbeveiligingsprofessionals om niet alleen automatisering, maar ook AI in hun verdedigingsarsenaal op te nemen. Deze nieuwe aanvalstypen dwingen hen ook tot voortdurende training om ervoor te zorgen dat hun werkwijzen evolueren.

Omdat AI enorme hoeveelheden gegevens kan verwerken, kan het bedreigingen met ongekende snelheid analyseren, prioriteren en erop reageren. Het is ook van onschatbare waarde voor het opzetten van geautomatiseerde reactiescenario's, vaak aangeduid als speelboeken.

Hoe ver zijn bedrijven met het automatiseren van hun cyberbeveiliging?

Volgens een recent onderzoek naar de adoptie van automatisering in cyberbeveiliging, uitgevoerd door het cyberbeveiligingsbedrijf ThreatQuotient in 2022, wint automatisering aan kracht. Het vertrouwen dat bedrijven erin hebben en het budget dat ze ervoor uittrekken, nemen zelfs aanzienlijk toe. In 2022 heeft 84 % van de ondervraagde bedrijven vertrouwen in automatisering, vergeleken met slechts 59 % in 2021. Van dit panel, bestaande uit 750 beveiligingsprofessionals uit het Verenigd Koninkrijk, de Verenigde Staten en Australië, geeft 98 % aan dat hun budget voor automatisering toeneemt. De belangrijkste lopende projecten hebben betrekking op de automatisering van de Informatie over cyberdreigingen en reactie op incidenten.

Uit het onderzoek blijkt ook dat de meeste bedrijven zich nog in de beginfase bevinden van de invoering van automatisering. Toen hen werd gevraagd naar hun huidige niveau, zeiden 63 % dat ze op niveau 2 of 3 zaten, op een schaal waarbij 5 staat voor het maximale niveau van volwassenheid. Dit toont aan dat automatisering nog steeds vooruitgang kan boeken. Bovendien worden bedrijven tijdens dit proces geconfronteerd met een aantal zeer concrete vragen: hoe kan automatisering worden ingezet in heterogene omgevingen? Hoe kan het worden geïntegreerd met bestaande tools? Hoe kunnen ze ervoor zorgen dat hun automatiseringsoplossingen up-to-date blijven met het oog op voortdurend evoluerende bedreigingen? En wat kan er worden gedaan om ervoor te zorgen dat automatisering niet leidt tot extra risico's op het gebied van gegevensbescherming of privacy?

Welke plaats is er voor de mens in de automatisering?

Automatisering: een hefboom voor prestaties, geen vervanging voor talent?

Hoewel AI en automatisering nu op grote schaal worden ingezet om de productiviteit te verbeteren van teams die worden overspoeld door een groeiend aantal te analyseren gebeurtenissen, zijn ze strikt genomen geen antwoord op het tekort aan cyberbeveiligingstalent. Ze zijn vooral interessant omdat ze "de werkomgeving voor analisten kunnen verbeteren", zoals IBM aangeeft in zijn rapport "AI en automatisering ten dienste van cyberbeveiliging" van juni 2022.

Dankzij automatisering winnen analisten aan precisie en kunnen ze hun inspanningen concentreren op bedreigingen die een diepgaandere analyse vereisen. Dit verbetert niet alleen de onderzoeksfase voor de meest kritieke bedreigingen en verhoogt de productiviteit, maar stelt hen ook in staat om hun expertise te richten op taken met een hogere toegevoegde waarde.

Geen succesvolle automatisering zonder experts

De implementatie van geautomatiseerde modellen of scenario's vereist de tussenkomst van experts om ervoor te zorgen dat de configuratie wordt aangepast aan de bedreigingen en organisatorische bijzonderheden van elk bedrijf.

Met de opkomst van automatisering moeten cyberbeveiligingsprofessionals niet alleen een nieuwe rol vinden, maar ook investeren in voortdurende training. De taakverdeling tussen mens en machine begint al vorm aan te nemen. Hoewel de detectie van incidenten en responsacties zullen profiteren van automatisering, geloven sommige experts dat de acties van sanering (ontworpen om de impact van een risico of incident te beperken) moet nog steeds door mensen worden aangestuurd. Uiteindelijk moet automatisering, om echt effectief te zijn, nauw verbonden zijn met menselijke expertise.

Wat zijn de obstakels en beperkingen voor automatisering?

Hoewel automatisering een veelbelovende manier is om de last voor cyberanalisten en operationele teams te verlichten, is er niets eenvoudigs aan. In de praktijk kunnen een aantal uitdagingen de integratie ervan in de weg staan, zoals het gebrek aan precieze kennis van de te beschermen perimeter, vooral als het bedrijf geen actuele kaart van zijn informatiesysteem heeft. Een ander probleem is de heterogeniteit en complexiteit van de te analyseren systemen en apparatuur. Ook organisatorische silo's tussen verschillende teams en business lines kunnen een effectieve implementatie in de weg staan.

Bovendien is de effectiviteit van automatisering nauw verbonden met het volwassenheidsniveau van de organisatie op het gebied van cyberbeveiliging. Succesvolle integratie van automatisering vereist operationele processen die goed gedocumenteerd zijn door... experts.

Vanuit technisch oogpunt staat automatisering voor een aantal uitdagingen:

  • Integriteit van gegevens het gebrek aan volledige en actuele contextuele gegevens, zoals blijkt uit de limiet van MITRE ATT&ACK®,
  • Complexiteit beheren De noodzaak om complexe acties en stappen te verwerken die menselijke validatie vereisen.
  • Schaalbaarheid De uitbreiding van automatisering op grote schaal kan uitdagingen met zich meebrengen.
  • Orkestratie op afstand De complexiteit van orkestratie op afstand van on-premise oplossingen.

Eindelijk

Hoewel automatisering niet magisch of almachtig is, wekt het wel hoge verwachtingen op het gebied van productiviteit en wordt het steeds sneller door bedrijven toegepast. Om volledig effectief te zijn, moet het echter worden geïmplementeerd in organisaties waar cyberbeveiligingsprojecten al goed zijn opgezet. In plaats van cyberbeveiligingsanalisten te vervangen, moedigt het hen juist aan om hun expertise in te zetten waar die het nuttigst is en om voortdurend nieuwe vaardigheden te ontwikkelen. Wat heeft de toekomst in petto voor automatisering? Hyperautomatisering ligt al in het verschiet. Het gebruik van machine learning-algoritmen, die zelf automatiseringsmodellen kunnen maken en beslissingen kunnen nemen, is het bewijs van de snelle evolutie naar nog meer geautomatiseerde cyberbeveiliging.

Misschien ben je ook geïnteresseerd in deze artikelen

Foto illustratie artikel OSINTOSINT, cyberintelligentietechnieken ten dienste van uw bedrijf Illustratie van artikel NIS 2NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn? Cybersecurity: ransomware, bedreiging nummer 1 - Orsys Formation Cybersecurity: de 10 manieren van de Senaat om bedrijven te beschermen

VORIG ARTIKEL

3 tips voor een succesvolle ISTQB certificering

VOLGENDE ARTIKEL

Welke IT-certificering is het meest voordelig voor uw bedrijf?

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Netwerk-/internet-cyberbeveiliging, samenvatting

Cloudcomputing, beveiliging

Systeem- en netwerkbeveiliging, niveau 2