Het verbeteren van de productiviteit van cyberanalisten door hen te ontlasten van repetitieve en tijdrovende taken: dit is de belangrijkste belofte van automatisering. Is automatisering, afgezien van deze zoektocht naar productiviteit, een mogelijk antwoord op het tekort aan talent? Wat zijn de grenzen ervan?
Automatisering is een tweesnijdend zwaard geworden. Aan de ene kant maken cybercriminelen er misbruik van om steeds frequentere en geavanceerdere cyberaanvallen uit te voeren. Aan de andere kant zijn operationele beveiligingsteams (SecOps) gedwongen het te gebruiken om deze bedreigingen het hoofd te bieden. Tegelijkertijd lijkt automatisering ook een antwoord te zijn op de schaarste aan cybersecurity-experts. Maar wat zijn, afgezien van de schijnbare voordelen, de werkelijke beperkingen en grenzen ervan?
Automatisering in cybersecurity: uitdagingen en beloften
Wat is automatisering in operationele veiligheid?
Automatisering op het gebied van cyberbeveiliging bestaat uit het ‘industrialiseren’ van bepaalde taken die worden uitgevoerd door cyberanalisten en SecOps-teams. Het doel is om de detectie van bedreigingen te optimaliseren en sneller te reageren. Het maakt daarom deel uit van een strategie die zowel preventief als proactief is.
Waarom cyberbeveiliging automatiseren?
Dagelijks worden cyberanalisten geconfronteerd met constante uitdagingen:
- Analyseer en verwerk een steeds groter wordende hoeveelheid informatie.
- Neem beslissingen over de te ondernemen acties.
- Voer deze handelingen uit binnen een (zeer) strakke deadline en verkort de responstijden bij incidenten.
Geconfronteerd met deze beperkingen bieden automatisering en kunstmatige intelligentie een effectief antwoord. Ze voldoen aan de groeiende verwachtingen van organisaties op het gebied van het verkorten van de reactietijd en de relevantie van waarschuwingen. Het doel is met name het terugdringen van false positives.
Hoewel de reikwijdte van de te beschermen activa toeneemt, blijft de pool van deskundigen die voor deze activa kunnen zorgen, even zeldzaam als altijd. Met andere woorden: automatisering verbetert de productiviteit van cyberanalisten en vermindert tegelijkertijd het risico op burn-out of ‘cybermoeheid’.
Welke taken kunnen worden geautomatiseerd?
De belangrijkste use cases voor automatisering in operationele beveiliging zijn:
- geautomatiseerde detectie en reactie op bedreigingen. Dit houdt in dat verdachte of kwaadwillige activiteiten snel worden geïdentificeerd en daarop autonoom, vaak in realtime, wordt gereageerd.
- geautomatiseerde detectie van afwijkingen in de gegevenscirculatie. Het analyseren van datastromen kan afwijkend gedrag of onverwachte verkeerspatronen aan het licht brengen. Deze afwijkingen kunnen, zodra ze worden geïdentificeerd, een teken zijn van kwaadwillige activiteit of compromittering.
- Automatisering van Cyber Threat Intelligence (CTI)., verzameling en analyse van gegevens over cyberdreigingen. De automatisering ervan maakt het mogelijk om de profilering van dreigingen te verrijken, een duidelijk beeld te krijgen van de tactieken van cyberaanvallers, bestaande beveiligingsmaatregelen aan te passen (bijvoorbeeld het blokkeren van poorten) en richting te geven aan de te nemen beslissingen.
De opkomst van automatisering binnen oplossingen voor incidentdetectie en -respons
De evolutie van instrumenten voor incidentdetectie en -respons illustreert duidelijk de toenemende integratie van automatisering in operationele beveiligingsprocessen. Tot deze hulpmiddelen behoren onder meer:
- EPP (Endpoint Protection-platform) terminals te beschermen. Dit is meestal een evolutie van traditionele antivirussen om een uitgebreidere bescherming te bieden.
- UEBA (analyse van gebruikers- en entiteitsgedrag) die verdachte activiteiten identificeert op basis van het gedrag van gebruikers en entiteiten binnen een organisatie.
- SIEM (Beveiligingsinformatie en evenementenbeheer). Deze gecentraliseerde oplossing verzamelt, bewaart, analyseert en visualiseert realtime of historische beveiligingslogboeken en gebeurtenissen om een overzicht te bieden van potentiële bedreigingen en incidenten.
- EDR (eindpuntdetectie en respons). Dit platform identificeert en reageert op potentiële bedreigingen op eindpunten. Het biedt geavanceerde analyse- en interventiemogelijkheden.
- XDR (uitgebreide detectie en respons). Deze evolutie van EDR breidt detectie en respons uit tot voorbij eenvoudige eindpunten en omvat ook andere gegevensbronnen, zoals netwerken of servers.
- SOAR (beveiligingsorkestratie, automatisering en respons). Deze oplossing combineert gegevensverzameling, geautomatiseerde respons en orkestratie om de efficiëntie van beveiligingsoperaties te verbeteren.
Traditionele antivirusprogramma's die op werkstations zijn geïnstalleerd, kunnen op zichzelf niet langer de huidige bedreigingen zoals WormGPT of ontduikingsaanvallen tegengaan. Vooral omdat sommige van deze aanvallen afhankelijk zijn van kunstmatige intelligentie. Deze realiteit dwingt cybersecurityprofessionals om niet alleen automatisering, maar ook AI in hun defensieve arsenaal te integreren. Deze nieuwe soorten aanvallen dwingen hen ook voortdurend te trainen om hun praktijken te ontwikkelen.
Door zijn vermogen om enorme hoeveelheden gegevens te verwerken, kan AI bedreigingen met ongekende snelheid analyseren, prioriteren en erop reageren. Het is ook een waardevol bezit voor het opzetten van geautomatiseerde responsscenario's, ook wel ' speelboeken.
Waar staan bedrijven als het gaat om het automatiseren van hun cybersecurity?
Volgens een recent onderzoek naar de adoptie van cyberbeveiligingsautomatisering door cyberbeveiligingsbedrijf ThreatQuotient in 2022 wint automatisering aan kracht. Het vertrouwen dat bedrijven erin hebben en het budget dat ze eraan besteden, nemen aanzienlijk toe. In 2022 vertrouwden 84 %-bedrijven op automatisering, tegen slechts 59 % in 2021. Van dit panel, bestaande uit 750 beveiligingsprofessionals gevestigd in het Verenigd Koninkrijk, de VS en Australië, geven 98 % aan dat hun budget voor automatisering toenemend. Lopende projecten betreffen vooral de automatisering van Informatie over cyberdreigingen en incidentrespons.
Uit het onderzoek blijkt ook dat de meeste bedrijven zich nog maar in de beginfase van hun automatiseringsadoptie bevinden. Gevraagd naar hun huidige niveau, denken 63 % dat ze zich op niveau 2 of 3 bevinden, op een schaal waarbij 5 het maximale volwassenheidsniveau vertegenwoordigt. Dit laat zien dat automatisering nog steeds vooruitgang kan boeken. Bovendien worden bedrijven tijdens dit proces geconfronteerd met zeer concrete vragen: hoe kunnen ze automatisering inzetten binnen heterogene omgevingen? Hoe kan ik het integreren met bestaande tools? Hoe kunt u ervoor zorgen dat automatiseringsoplossingen up-to-date blijven met voortdurend evoluerende bedreigingen? En wat kan er worden gedaan om ervoor te zorgen dat automatisering geen extra gegevensbeschermings- of privacyrisico’s met zich meebrengt?…
Welke plaats voor de mens in het licht van de automatisering?
Automatisering, een prestatiehefboom, geen vervanging van talent?
Hoewel AI en automatisering nu op grote schaal worden ingezet om de productiviteit te verbeteren van teams die worden overweldigd door een toenemend aantal te analyseren gebeurtenissen, zijn ze strikt genomen geen antwoord op het tekort aan cybersecurity-talent. Hun voornaamste interesse ligt eerder in hun vermogen om “de werkomgeving voor analisten te verbeteren”, zoals IBM benadrukt in zijn rapport “AI and Automation for Cybersecurity” van juni 2022.
Door automatisering worden analisten preciezer en richten ze hun inspanningen op bedreigingen die een diepgaandere analyse vereisen. Dit maakt het niet alleen mogelijk om de onderzoeksfase van de meest kritieke bedreigingen te verbeteren en de productiviteit te verhogen, maar ook om hun expertise te vergroten door zich te wijden aan taken met een hogere toegevoegde waarde.
Zonder experts geen succesvolle automatisering
De implementatie van modellen of geautomatiseerde scenario's vereist de tussenkomst van experts voor een configuratie die is aangepast aan de bedreigingen en organisatorische kenmerken die specifiek zijn voor elk bedrijf.
Geconfronteerd met de opkomst van automatisering moeten cybersecurityprofessionals niet alleen een nieuwe plek vinden, maar ook investeren in permanente educatie. Een taakverdeling tussen mens en machine krijgt al vorm. Als incidentdetectie- en responsacties baat hebben bij automatisering, zijn sommige experts van mening dat herstelacties (bedoeld om de impact van een risico of incident te beperken) door mensen moeten worden aangestuurd. Om echt effectief te zijn, moet automatisering uiteindelijk nauw gekoppeld zijn aan menselijke expertise.
Wat zijn de obstakels en grenzen voor automatisering?
Hoewel automatisering veelbelovend is voor het verminderen van de taken van cyberanalisten en operationele teams, is er niets eenvoudigs aan. In de praktijk kunnen verschillende uitdagingen de integratie ervan belemmeren, zoals het gebrek aan nauwkeurige kennis van de te beschermen perimeter, vooral als het bedrijf niet over een actuele kaart van zijn informatiesysteem beschikt. De heterogeniteit en complexiteit van de te analyseren systemen en materialen is een andere. Ook kunnen organisatorische silo’s tussen verschillende teams en verschillende beroepen een effectieve implementatie belemmeren.
Bovendien hangt de effectiviteit van automatisering nauw samen met het volwassenheidsniveau op het gebied van cyberbeveiliging van de organisatie. Succesvolle automatiseringsintegratie vereist operationele processen die goed gedocumenteerd zijn door… experts.
Op technisch vlak kent de automatisering verschillende uitdagingen:
- Data-integriteit : het gebrek aan volledige en actuele contextuele gegevens, zoals blijkt uit de MITRE ATT&ACK®-limiet,
- Beheer van complexiteit : de noodzaak om om te gaan met complexe acties en stappen die menselijke validatie vereisen.
- Schaalbaarheid : Het opschalen van automatisering op grote schaal kan uitdagingen met zich meebrengen.
- Orkestratie op afstand : de complexiteit van de orkestratie op afstand van on-premise oplossingen.
Eindelijk
Noch magisch, noch almachtig, roept automatisering niettemin hoge verwachtingen op in termen van productiviteit, en de acceptatie ervan door bedrijven versnelt. Om volledig effectief te zijn, moet dit echter plaatsvinden in organisaties waar cyberbeveiligingsprojecten al goed ingeburgerd zijn. In plaats van de cyberveiligheidsanalisten te vervangen, nodigt het hen juist uit om hun expertise in te zetten daar waar deze het nuttigst is en om voortdurend nieuwe vaardigheden te ontwikkelen. Wat is de toekomst van automatisering? Hyperautomatisering steekt nu al de kop op. Het gebruik van machine learning-algoritmen, die automatiseringsmodellen kunnen creëren en zelf beslissingen kunnen nemen, demonstreert de snelle verschuiving naar nog meer geautomatiseerde cyberbeveiliging.