De tijdspanne tussen de ontdekking van een kwetsbaarheid en het misbruik ervan wordt in een ongekend tempo korter

Een week geleden hebben de „Five Eyes” een ongebruikelijke stap gezet: ze hebben rechtstreeks aan de raden van bestuur en de directies een waarschuwing op het gebied van governance gericht, in plaats van weer een technisch bulletin. Een advies dat een radicale verandering inluidt.

De uitspraak „Months, Not Years“ vormt de meest treffende bijdrage van het advies op analytisch vlak. De nauwkeurigheid ervan verdient nadere beschouwing. Het advies beweert niet dat de mogelijkheden van AI zich snel ontwikkelen. Dat is overigens al in talloze openbare documenten bevestigd, zonder dat dit tot significante veranderingen in de beveiliging van organisaties heeft geleid. Het geeft veeleer aan dat aannames met betrekking tot cyberrisico’s binnen enkele maanden achterhaald kunnen raken.

Het gezamenlijke advies, gepubliceerd door de CISA (VS), het NCSC (VK), het CCCS (Canada), het ACSC (Australië) en het NCSC (Nieuw-Zeeland), onderscheidt zich door zijn nauwkeurigheid wat betreft de tijdshorizon. De uitspraak „Months, Not Years!“ vormt de meest precieze bijdrage van het advies op analytisch vlak.

AI, een krachtversterker

De inlichtingendiensten beperken zich niet tot de waarschuwing dat AI aanvallen verergert. Ze waarschuwen dat de kaders die organisaties gebruiken om aanvallen te beoordelen en te plannen, al verouderd kunnen zijn nog voordat de volgende beoordelingscyclus begint. Dit is een paradigmaverschuiving.

AI heeft in feite al duidelijk verschillende categorieën aanvallen getransformeerd. Phishingcampagnes zijn hiervan het meest in het oog springende voorbeeld. De Five Eyes hebben berekend dat AI-gegenereerde phishingaanvallen dit jaar dankzij AI 82 % van de inboxen van bedrijven zullen bereiken. De kwaliteit ervan is zodanig dat zelfs beveiligingsprofessionals moeite hebben om ze te onderscheiden van legitieme berichten. De kosten van een overtuigende phishing-e-mail zijn vrijwel tot nul gedaald. Aanvallers zetten ze op grote schaal in…

Cyberbeveiliging verandert van risicocategorie

Het advies beschrijft AI als een krachtversterker voor aanvallers, en wel op drie vlakken. Ten eerste: het verlaagt de technische drempel voor kwaadwillende actoren die voorheen niet over de nodige vaardigheden beschikten om complexe kwetsbaarheden te misbruiken. Ten tweede versnelt het de ontwikkeling en uitvoering van aanvallen. En ten derde: het vergroot de complexiteit, waardoor aanvallen moeilijker te detecteren en toe te wijzen zijn. Het ‘schietvenster’, dat wil zeggen de tijdspanne tussen de ontdekking van een kwetsbaarheid en het daadwerkelijk misbruiken ervan, is het doelwit. Naarmate AI de ontwikkeling van exploits versnelt, wordt dit venster kleiner, en zullen organisaties die te lang wachten met het toepassen van patches vaker buiten de veilige zone terechtkomen.

Nog een opmerking, en niet de minste: dit advies is een waarschuwing op het gebied van governance. Het is een les voor onze organisaties. Wanneer de machtigste inlichtingendiensten ter wereld niet langer alleen met technici praten, maar zich tot de raden van bestuur richten, is de impliciete boodschap ondubbelzinnig. Cyberbeveiliging is simpelweg van risicocategorie veranderd.

Zes aanbevelingen van de Five Eyes om het aanvalsoppervlak te verkleinen waarop door AI versnelde aanvallen zich kunnen richten

1/ Onnodige blootstelling verminderen

Elimineer onnodige systeemtoegang en externe connectiviteit. Elke overbodige poort, gebruikersnaam en dienst die van buitenaf toegankelijk is, vormt een potentieel toegangspunt dat door AI-ondersteunde analyse sneller dan ooit kan worden gedetecteerd.

2/ Versnel de implementatie van patches

Door de verkorting van de tijd tussen het misbruiken van een kwetsbaarheid en het implementeren van een oplossing wordt het traditionele patchvenster van 30 tot 60 dagen steeds gevaarlijker. De instanties benadrukken dat het implementeren van patches als een noodsituatie moet worden behandeld en niet als een simpele routine.

3/ Beschouw bestaande systemen als strategische zwakke plekken

Systemen die niet kunnen worden bijgewerkt, staan voortdurend bloot aan risico’s. In het advies wordt de term „strategische kwetsbaarheden“ gebruikt, een formulering die bestaande technologieën beschouwt als een risico voor het management in plaats van als een louter IT-ongemak.

4/ Versterk de toegangscontroles en authenticatie

Een robuuste identiteitscontrole beperkt de impact van een inbreuk op inloggegevens. Dit omvat meervoudige authenticatie, het principe van minimale rechten en het toezicht op misbruik van inloggegevens.

5/ Een diepgaande verdedigingsstrategie hanteren

Geen enkele afzonderlijke beveiligingslaag is voldoende. Beveiligingsmedewerkers moeten ervan uitgaan dat aanvallers die gebruikmaken van AI uiteindelijk een zwakke plek in de controles zullen vinden en systemen moeten opzetten die de schade kunnen beperken.

6/ Investeer in AI voor defensie

Dezelfde mogelijkheden die aanvallen versnellen, kunnen ook de detectie en respons versnellen. Organisaties die AI gebruiken voor het detecteren van bedreigingen, het identificeren van afwijkingen en het reageren op incidenten, zullen een structureel voordeel hebben ten opzichte van organisaties die dit niet doen.