Internationale bedrijven krijgen te maken met een paradigmaverschuiving die vraagt om revolutionaire nieuwe vaardigheden om snel uitbreidende cyberbedreigingen op te sporen en erop te reageren. Opkomende technologieën zoals AI ('Artificial Intelligence') en automatisering veranderen de manier waarop cyberbedreigingen worden opgespoord en bestreden maar bieden ook nieuwe kansen voor kwaadwillende aanvallers die steeds beter in staat zijn om flexibeler te reageren.

Veel bedrijven ontdekken dat de traditionele detectie- en responsmogelijkheden voor cyberbedreigingen mogelijk niet voldoende zijn om de toenemende datastroom en dreigingswaarschuwingen effectief te beheren. Toekomstgerichte organisaties zullen daarom gebruik moeten maken van snel opkomende AI-mogelijkheden om de groeiende en steeds geavanceerdere bedreigingen te bestrijden. Het is niet verstandig om dat uit te stellen want CISO's besteden op dit moment veel tijd en middelen aan het doorspitten van logboeken te midden van de eindeloze golf aan positieve en negatieve bedreigingswaarschuwingen.

De uitdaging voor CISO's bestaat uit het vinden van de beste manier om nieuwe AI-technologieën en de mogelijkheden van moderne ‘cloud hyperscalers’ in te zetten om zo automatisering mogelijk te maken die de nauwkeurigheid en betrouwbaarheid van waarschuwingen in een steeds complexere bedreigingsomgeving drastisch kan verbeteren.

Het goede nieuws, zoals steeds meer organisaties ontdekken, is dat er nu eindelijk krachtige centrale automatiserings- en AI-mogelijkheden zijn die de hiaten op het gebied van vaardigheden en middelen, te midden van de overvloed aan data, kunnen opvullen.
De moderne hyperscaler en AI bieden een groter automatiseringspotentieel dan voorheen. Hiermee is een nieuw tijdperk is aangebroken voor SOAR (‘Security Orchestration Automation and Response’).

Om groeiende bedreigingen te bestrijden is automatisering noodzakelijk

Hoewel veel bedrijven technologie omarmen om bepaalde cybersecuritymogelijkheden te verbeteren, kunnen ze helaas ook leunen op verouderde, en steeds meer kwetsbare legacysystemen, en een gebrek aan moderne vaardigheden; beperkingen die niet snel of kosteneffectief kunnen worden verholpen.

Het automatiseren van detectie en respons met behulp van de nieuwste AI- en hyperscaler-mogelijkheden is de onvermijdelijke stap vooruit om echte en potentiële beveiligingsbedreigingen te identificeren, te analyseren en erop te reageren. Deze cloud-centrische aanpak, die gebruik maakt van hyperscalers, omvat belangrijke detectie- en responselementen zoals 'Endpoint Detection and Response' (EDR) en 'Extended Detection and Response' (XDR).

Het benutten van het groeiende potentieel van cloudproviders bij het leveren van baanbrekende mogelijkheden voor geautomatiseerde zichtbaarheid, detectie van bedreigingen en datagestuurde analyse- en risicobeperkingstools is essentieel. Proactieve organisaties doen er goed aan om gebruik te maken van de evoluerende kracht van AI om een veilige omgeving te creëren en kwaadwillende actoren voor te blijven.

Het advies dat KPMG-professionals aan klanten geven, is om “van elk endpoint een schildwacht te maken in plaats van een doelwit”. Met moderne automatisering kan bedreigingsdetectie binnen seconden plaatsvinden, in plaats van uren of dagen, waardoor level één, ruisdetectie, naar een hoger niveau wordt getild en arbeidsintensieve, handmatige processen die vatbaar zijn voor menselijke fouten, worden vervangen. Hierdoor kunnen securityteams zich richten op level-twee en level-drie activiteiten, waardoor ze veel sneller kunnen reageren, remediëren en herstellen.

Providers van hyperscale-clouddiensten beschikken over vele platform-eigen technologieën om de detectie van potentiële bedreigingen te verbeteren. Voor een moderne effectieve beveiligingsmonitoring, moeten bedrijven een modern dreigings- en signaalmonitoringprogramma bedrijfsbreed toepassen met behulp van de volgende aanpak die zich richt op mensen, processen en technologie:

  • Bouw de basis met een gedefinieerd volwassenheidsniveau en een enkele cloud die native is voor serviceproviders.
  • Verbeter en breid je volwassenheidsniveau uit met beheerde multi-cloud die native en cloudserviceprovider (CSP) agnostisch is.
  • Automatiseer en integreer om het volwassenheidsniveau te optimaliseren met een multi-cloud-bedrijfsintegratie die bedrijfsgericht is. 

Een strategisch AI-spelboek toepassen op het ‘cloudcanvas'

In de race om steeds meer data uit meerdere bronnen samen te voegen tot duidelijke, bruikbare inzichten, en om snelle reacties op incidenten te stimuleren, verbeteren hyperscaler-oplossingen zoals de triage-mogelijkheden van de ‘Microsoft Copilot for Security’ en stellen ze beveiligingsteams in staat om bedreigingen als nooit tevoren te bestrijden. Cloudproviders kunnen kritieke functionaliteit bieden die nodig is voor de verdediging tegen geavanceerde bedreigingsactoren. Desondanks maken niet genoeg bedrijven effectief gebruik van hun kracht.

Het is belangrijk om te benadrukken dat hyperscalers, die de broodnodige vooruitgang op het gebied van automatisering stimuleren, het 'canvas' leveren waarop bedrijven op strategische wijze een nauwkeurig draaiboek moeten aanbrengen van algoritmen, telemetrie, mogelijkheden en tactieken die passen bij hun unieke activiteiten en behoeften. Succes vereist meer dan een 'plug-and-play' gameplan om de voordelen van AI te maximaliseren. Cruciaal is ook het combineren van moderne vaardigheden met strategisch verandermanagement om mensen effectief te integreren met geautomatiseerde mogelijkheden om bedreigingen op te sporen.

Automatisering, AI en ‘Machine Learning’ (ML) zullen een cruciale rol spelen bij het verminderen van de huidige beperkingen op het gebied van vaardigheden en middelen, terwijl ze een revolutie teweegbrengen in processen, mogelijkheden, snelheid en efficiëntie. Bedrijven krijgen een een onmisbaar nieuw inzicht in data-alerts en de cruciale mogelijkheid om bijvoorbeeld direct te bepalen waar een bedreiging zich binnen de organisatie heeft verplaatst en hoe deze snel kan worden ingedamd. Het implementeren van proactieve, aanpasbare verdedigingen is onmisbaar om bij het bestrijden van evoluerende bedreigingsactoren.

Het goede nieuws is dat er steeds meer wordt geïnvesteerd om deze paradigmaverschuiving mogelijk te maken. Toonaangevende organisaties, bijvoorbeeld in de financiële en telecomsector, investeren in AI en automatiseringstools om op korte termijn het aantal level-een waarschuwingen in hun beveiligingscentra met maar liefst 50 procent te verminderen. Essentieel voor succes is dat de regelgeving wordt nageleefd en dat AI veilig en betrouwbaar wordt geïmplementeerd.

Waar moet je beginnen? Een goed getimede aanpak is noodzakelijk

Een strategische automatiseringsaanpak is essentieel. Dit houdt in dat je een progressief en geleidelijk traject uitstippelt waarbij je niet te veel verschillende automatiseringstools en -technologieën tegelijk gebruikt, omdat sommige daarvan misschien niet geschikt zijn voor de unieke en veranderende eisen van je organisatie. Een slimme routekaart moet drie belangrijke stappen bevatten:

  • Automatiseer geen puinhoop. Neem automatisering, AI en ML op in je driejarige bedrijfsstrategie. Het is noodzakelijk om de basis van je beveiligingsarchitectuur vanaf het begin goed op orde te hebben, samen met de standaard detectieve incidentbeheerprocessen en responsdraaiboeken.
  • Stem doelen en cloudtools af op de behoefte. Definieer specifieke doelen die passen bij je unieke bedrijfsbehoeften om automatisering, AI en ML mogelijk te maken in je algehele detectie- en responsmogelijkheden. Het kiezen van de juiste cloud (native) tools is essentieel.
  • Kosteneffectieve use cases voor tijdige capaciteitsgroei. Maak een eerste reeks use cases om je capaciteiten tijdig, methodisch en kosteneffectief te ontwikkelen.

Voor verbeterde detectie centraliseer en correleer je data uit bekende bronnen zoals SIEM, cloudlogs, firewalls, EDR/XDR, vulnerability scanning, threat intelligence, identity en asset inventories. Verbeter ook de verrijking van deze databronnen, zodat tickets voor beveiligingsincidenten meer gegevens bevatten, waardoor er uiteindelijk minder ‘glazen ruiten’ nodig zijn om een triage uit te voeren. Machine learning en automatisering kunnen helpen om het aantal fout-positieven dat bij je level-een-team binnenkomt te verminderen en meer ernstige incidenten automatisch te laten escaleren naar het level-twee-team.

Voor een verbeterde respons rationaliseer en optimaliseer je het aantal responsdraaiboeken en maak je gebruik van een geschikt SOAR-platform om bekende bedreigingen en ongewenste activiteiten automatisch te isoleren en in te perken.

Zoals gezegd, succes in het bevorderen van detectie en respons gaat niet over simpelweg 'inpluggen' in de huidige cloud en technologische tools. Het is van cruciaal belang om te begrijpen hoe je de nieuwe technologieën van hyperscalers kunt afstemmen op je organisatie en hoe je de juiste vaardigheden kunt inzetten om vooruitgang te boeken. De juiste mix van menselijke en virtuele analisten moet een steunpilaar zijn. En vanuit het perspectief van de hyperscaler zullen geautomatiseerd forensisch onderzoek en het corrigeren van misconfiguratie cruciaal zijn.

Het is duidelijk dat naarmate het huidige bedreigingslandschap en de frequentie van kostbare en verstorende cyberaanvallen toeneemt en zich verder ontwikkelt, er geen tijd te verliezen is met het invoeren van een geavanceerde SOAR-aanpak voor detectie- en responsmogelijkheden.

Uitgelicht

unlock potential
Het potentieel van AI voorzichtig benutten

Hoe zet je deze baanbrekende technologie effectief en verantwoord in?

artificial intelligence
Artificial Intelligence

Waarde toevoegen binnen jouw organisatie met Artificial Intelligence (AI)

Neem contact met ons op

Thijs Timmerman Blogs
Thijs Timmerman
Partner
KPMG Nederland
Profiel | | Phone
alexandra-van-der-tuin Blogs
Alexandra van der Tuin
Chief Digital & Innovation en Head of Alliances
KPMG Nederland
Profiel | | Phone
artificial intelligence
Bepaal mee hoe we AI veilig integreren in onze samenleving

Ontdek werken bij KPMG