AI tegen AI: De digitale wapenwedloop in Cybersecurity

Terwijl jij dit leest, trainen cybercriminelen AI-modellen om jouw verdediging te doorbreken.  Aanvallers blijven innoveren, wat betekent dat SOC-teams hun tactieken moeten blijven verfijnen.

In een wereld waar digitale dreigingen steeds geavanceerder worden, is kunstmatige intelligentie (AI) een cruciale speler geworden in de strijd tussen aanvallers en verdedigers. AI begint steeds meer door te dringen binnen de bedrijfswereld en is steeds meer geïntegreerd in software en processen. Zowel aanvallende als verdedigende teams maken gebruik van AI om hun doelen te bereiken. In deze blog verkennen we hoe AI wordt ingezet door kwaadwillende én hoe een Blue Team AI kan inzetten om deze aanvallen te detecteren en te bestrijden.

Kunstmatige intelligentie is geen nieuwe techniek. De basis hiervan komt al uit de jaren 50, waarin computer wetenschapper Alan Turing een paper schreef, genaamd ‘Computing Machinery and Intelligence’. Hierin staat de vraag centraal of machines kunnen denken.

Op het moment van schrijven van het paper kan hij echter niet goed definiëren wat ‘denken’ betekent in deze context en wat voor ‘machines’ hiervoor dienen te worden gebruikt. Het duurt tot de jaren 80 totdat de eerste systemen beschikbaar kwamen om AI mee te gebruiken. Echter door de beperkte rekenkracht en de beschikbaarheid van data blijft de ontwikkeling beperkt. Het is pas rond 2010 dat een grote stappen gezet worden in de ontwikkeling van AI. Er komen krachtige GPU’s beschikbaar, die in staat zijn om sneller de AI-modellen te trainen. Ook is er steeds meer data (online en offline) beschikbaar die als input voor deze modellen kan gelden.

Sinds die tijd wordt AI ook steeds vaker ingezet binnen cybersecurity. Hier wordt het, met name, toegepast om spamfilters te verbeteren en phishingmails te detecteren. Maar ook in antivirussoftware om beter in staat te zijn onbekende malware te herkennen en statistische detectie van anomalieën in netwerkverkeer.

Het gebruik van AI neemt een vlucht met de eerste release van ChatGPT van OpenAI in 2022. GPT staat hierbij voor generative pre-trained transformer, wat in staat is tekst, spraak en afbeeldingen te genereren in reactie op gebruikers prompts. Vanaf dat moment heeft het grote publiek de mogelijkheid kennis te maken met AI en wordt het in razend tempo geïntegreerd in tal van toepassingen.

Uit onderzoek blijkt dat er in 2024 20% van Nederlandse organisaties schade heeft ondervonden, als gevolg van een cyberaanval. De kosten van een cyberaanval waren hierbij gemiddeld € 300.000. Dit zijn de directe kosten van cyberaanval. Onder deze directe kosten vallen het reageren op incidenten, het herstellen van schade aan de infrastructuur, het mislopen van deals, omdat systemen niet bereikbaar zijn. Indirecte kosten zoals reputatie schade, het verliezen van intellectueel eigendom, zijn hierin niet meegenomen. Kleinenere bedrijven lopen hierbij een verhoogd risico, omdat deze organisaties vaak minder focus hebben op cyberveiligheid. Volgens het Cybercrime Trends 2025-rapport heeft wereldwijd een alarmerend percentage van 87% te maken gehad met een cyberaanval, waarbij gebruik werd gemaakt van AI.

Zoals hierboven te lezen wordt bij een aanzienlijk percentage van cybercrime gebruik gemaakt van enige vorm van AI.
De meest voorkomende vorm van cybercriminaliteit blijft phishing. In het afgelopen jaar ontving een derde van alle medewerkers minimaal een gerichte phishingmail campagne. Dat is een stijging van 25% ten opzichte van het jaar ervoor.

Het gebruik van social media is een geliefde bron van de kwaadwillende. Steeds meer informatie wordt gedeeld op platformen als LinkedIn, Facebook en X. Door in te spelen op actuele organisatie campagnes, het analyseren van het taal gebruik en inzicht te krijgen in de medewerkers, wordt de AI-tool gevoed met informatie. Hiermee wordt vervolgens een phishingmail gegenereerd met de juiste tone of voice, op basis van een actueel onderwerp en lijkend te worden verstuurd vanuit de juiste collega van communicatie.

Ook wordt AI ingezet om kwetsbaarheden in het mailsysteem te vinden, zodat deze mails buiten beeld van de mailfilters blijven. Phishingmails hebben voornamelijk de volgende doelen:

Het gebruik van AI versterkt het cybersecurityteam van de organisatie. Door gebruik te maken van vergelijkbare tooling als de kwaadwillende kan inzicht verkregen worden in de zwakke plekken, waarop vervolgens acties kunnen worden ondernomen.

Door de mogelijkheden van AI te gebruiken binnen mailsystemen, blijft het systeem leren van nieuwe manieren van phishing mails. Leveranciers van maildiensten zullen hierin een belangrijke rol spelen. Ze kunnen bekende mail karakteristieken in hun filters integreren, waardoor deze een volgende keer worden tegengehouden. Door gebruik te maken van slimme kwetsbaarheden scans (vulnerability management), kan al in een vroeg stadium inzicht worden gekregen in kwetsbaarheden van de infrastructuur. Op die manier kunnen tijdig mitigerende acties worden uitgevoerd.

User Entity and Behavior Analytics (UEBA) is een geavanceerde cybersecuritytechniek die machine learning en gedragsanalyse inzet om afwijkingen te detecteren binnen digitale omgevingen. Het richt zich op het identificeren van gecompromitteerde entiteiten zoals firewalls, servers en databases, maar ook verdachte activiteiten van kwaadwillende insiders of gecompromitteerde accounts. Door logs en data van meerdere systemen te koppelen kan een analyse worden gedaan van 'normaal' gebruik van een entiteit of gebruiker. AI zal vervolgens worden gebruikt om dit gebruik te analyseren. Afwijkingen in het gedrag zal melding genereren, die een securityteam verder kan onderzoeken.

Een mooi praktijkvoorbeeld, uit eigen ervaring, waarbij UEBA ervoor zorgde dat we op tijd actie ondernamen op een gecompromitteerd user account is als volgt. Een accountmanager was voor klant bezoeken geregeld werkzaam in verschillende west Europese landen; Spanje, België, Nederland. Waarbij de werkzaamheden plaatsvonden tussen 9 uur in de ochtend tot 8 uur ’s avonds. Er ging een alarm af toen er, met het account, werd aangemeld vanuit een Franse stad, om 10 uur in de avond. Deze inlog acties bleken inderdaad niet valide te zijn.

We zijn op een punt gekomen waarbij organisaties steeds vaker AI-functionaliteiten gaan inzetten om hun omgevingen te beveiligen. Voor security teams zijn dit nieuwe kansen, maar ook uitdagingen. Dagelijks zijn er nieuwe cyberdreigingen. De gebruikte tooling innoveert in razend tempo, maar ook de complexiteit neemt toe. Security teams hebben een platform nodig dat alle (log-)data samenbrengt. Microsoft heeft hiervoor het Sentinel platform.

Sentinel is bekend als security information and event management (SIEM), welke beschikbaar is vanuit de Microsoft Azure omgeving. Sinds afgelopen juli heeft Sentinel de beschikking over nieuwe versie van een zogenaamde data lake. Met deze data lake ben je in staat om al je beveiligingsgegevens samen te voegen. Door middel van data collectoren worden verbindingen gemaakt naar log bronnen van verschillende systemen. Dit kunnen Microsoft (Azure) systemen zijn, maar er zijn ook collectoren beschikbaar voor derde partij leveranciers of deze kunnen handmatig worden aangemaakt voor specifieke klant applicaties. Dit levert verrijkte input op. Hiermee heb je een enkele bron waarop je onderzoek kan doen en waarop (geautomatiseerde) respons acties kunnen worden getriggerd. Op deze manier kan een melding vanuit Entra ID van een inlog poging vanuit bijvoorbeeld het Verenigd Koninkrijk, wat als los incident niet per se verdacht is, worden verrijkt met een melding vanuit Exchange, dat een gebruiker op een link heeft geklikt vanuit een verdachte mail. Welke gecombineerd wel een onderzoek waard is.

Sinds eind september heeft Microsoft de Sentinel graph vrijgegeven voor public preview. Met deze tooling kunnen zowel security teams als AI verbanden zien, potentiële gevaren inschatten en snel handelen, zowel voor als na een security incident.

Door het gebruik van de data lake te combineren met Sentinel graph kunnen security incidenten worden verrijkt met een visuele weergave.

Het gebruik van AI kan meerwaarde bieden voor organisaties. Essentieel onderdeel hierbij is dat de organisatie beschikt over specialisten met de juiste kennis, van zowel de AI-tool als de bronnen die gebruikt worden als input. AI kan pas goed zijn werk doen als de basis van de infrastructuur op orde is. Zo dienen de rechten op een goede manier te zijn ingeregeld en dienen de logbronnen te beschikken over de juiste informatie.

Ook een AI-systeem leert van zijn fouten. Zoals beschreven in het voorbeeld bij UEBA, zal het systeem moeten leren wat een valide gebruikers routine is. Bij een nieuw systeem zal dit, zeker in het begin, tal van false positives opleveren. De systeem specialisten dienen hierbij te assisteren, door terugkoppeling die aan het systeem wordt geleverd zal het een volgende keer de analyse op een andere manier uitvoeren.

AI biedt ongekende mogelijkheden, maar ook nieuwe risico’s. Aanvallende teams zijn sneller in staat om een aanvalsplatform te creëren. Verdedigende teams kunnen gebruik maken van geavanceerde hunting technieken, door AI te gebruiken om inzicht te geven in de grote hoeveelheden (logging-) data.

Aanvallende teams hebben, over het algemeen, minder te maken met verschillende management lagen, die allemaal goedkeuring moeten geven over het gebruik van een nieuwe tool. Hierdoor kunnen zij zich snel aanpassen aan laatste ontwikkelingen en zijn ze in staat de nieuwste kwetsbaarheden uit te buiten. Om hieraan gedegen tegenstand te kunnen bieden dient je ook als organisatie op de hoogte te zijn van de laatste ontwikkelingen. Kennis van deze ontwikkelingen zal bij de verschillende specialisten teams beschikbaar moeten zijn. Hier omheen dienen de juiste processen aanwezig te zijn, zodat er snel geschakeld kan worden, als de situatie daarom vraagt.

De strijd tussen aanvallers en verdedigers is een kat-en-muisspel waarin snelheid, intelligentie en adaptiviteit centraal staan. Alleen door AI slim en strategisch in te zetten, kunnen securityteams de overhand krijgen.

Bij Argus IT hebben we specialisten in dienst die je kunnen helpen om mogelijkheden van AI van de verschillende Microsoft Defender-oplossingen en Sentinel te implementeren binnen jouw organisatie. Onze experts zijn aantoonbaar gecertificeerd (CISSP en Microsoft) met jarenlange praktijkervaring. Daarnaast kunnen onze experts rekenen op de security-, IAM- en moderne werkplek-expertise van directe collega's, verder versterkt door ons uitgebreide professionele netwerk.