Het belang van gedragsanalyse bij door AI ondersteunde cyberaanvallen

Cyberbeveiliging
Het belang van gedragsanalyse bij door AI ondersteunde cyberaanvallen

Kunstmatige intelligentie (AI) verandert de manier waarop individuen en organisaties veel activiteiten uitvoeren, waaronder de manier waarop cybercriminelen phishing-aanvallen uitvoeren en malware herhalen. Nu gebruiken cybercriminelen AI om gepersonaliseerde phishing-e-mails, deepfakes en malware te genereren die de traditionele detectie omzeilen door de normale gebruikersactiviteit na te bootsen en oudere beveiligingsmodellen te omzeilen. Als gevolg hiervan zijn op regels gebaseerde modellen alleen vaak onvoldoende voor identiteitsbeveiliging tegen door AI mogelijk gemaakte bedreigingen. Gedragsanalyses moeten evolueren van het monitoren van verdachte activiteitenpatronen in de loop van de tijd naar dynamische, op identiteit gebaseerde risicomodellering die inconsistenties in realtime kan identificeren.

Veelvoorkomende risico’s die worden veroorzaakt door AI-aanvallen

Cyberaanvallen op basis van AI brengen heel andere veiligheidsrisico’s met zich mee dan traditionele cyberdreigingen. Door te vertrouwen op automatisering en legitiem gedrag na te bootsen, stelt AI cybercriminelen in staat hun aanvallen op te schalen, terwijl voor de hand liggende signalen worden verminderd zodat ze onopgemerkt blijven.

Phishing en social engineering op basis van AI

In tegenstelling tot traditionele phishing-aanvallen die gebruikmaken van generieke berichten, maakt AI gepersonaliseerde phishing-berichten op grote schaal mogelijk met behulp van openbare gegevens, waarbij de schrijfstijl van leidinggevenden wordt nagebootst of contextbewuste berichten worden gecreëerd die verwijzen naar echte gebeurtenissen. Deze AI-aangedreven aanvallen kunnen voor de hand liggende waarschuwingssignalen verminderen, voorbij sommige filterbenaderingen glippen en vertrouwen op psychologische manipulatie in plaats van de levering van malware, waardoor het risico op diefstal van inloggegevens en financiële fraude aanzienlijk toeneemt.

Geautomatiseerd misbruik van inloggegevens en accountovernames

Door AI verbeterd misbruik van inloggegevens kan inlogpogingen optimaliseren en tegelijkertijd het activeren van uitsluitingsdrempels vermijden, de menselijke timing tussen authenticatiepogingen nabootsen en bevoorrechte accounts targeten op basis van context. Omdat bij deze aanvallen gebruik wordt gemaakt van gecompromitteerde inloggegevens, lijken ze vaak geldig en passen ze in de normale inlogactiviteiten, waardoor identiteitsbeveiliging een cruciaal onderdeel is van moderne beveiligingsstrategieën.

AI-ondersteunde malware

Voordat cybercriminelen AI konden gebruiken om de ontwikkeling en implementatie van malware te versnellen, moesten ze de codehandtekeningen handmatig wijzigen en veel tijd besteden aan het maken van nieuwe varianten. AI kan variatie, scripting en aanpassing verder versnellen. Met moderne adaptieve malware kunnen cybercriminelen automatisch code aanpassen om detectie te voorkomen, gedrag veranderen op basis van de omgeving en nieuwe exploitvarianten genereren met weinig tot geen handmatige inspanning. Omdat traditionele, op handtekeningen gebaseerde detectiemodellen moeite hebben met de voortdurend evoluerende code, moeten organisaties gaan vertrouwen op gedragspatronen in plaats van op statische indicatoren.

Hoe traditionele gedragsmonitoring kan falen bij op AI gebaseerde aanvallen

Traditionele monitoring is ontworpen om cyberdreigingen te detecteren die worden aangestuurd door malware, bekende beveiligingsproblemen en zichtbare gedragsafwijkingen. Hier zijn enkele manieren waarop traditionele gedragsmonitoring tekortschiet in de strijd tegen AI-aanvallen:

  • Op handtekeningen gebaseerde detectie kan moderne bedreigingen niet identificeren: Op handtekeningen gebaseerde tools zijn afhankelijk van bekende tekenen van compromis. Door AI ondersteunde malware herschrijft voortdurend zijn eigen code en genereert automatisch nieuwe varianten, waardoor statische codehandtekeningen overbodig worden.
  • Op regels gebaseerde systemen zijn afhankelijk van vooraf gedefinieerde drempels: Veel systemen voor gedragsmonitoring zijn afhankelijk van regels, zoals inlogfrequentie of geografische locatie. Door AI ondersteunde cybercriminelen passen hun gedrag aan om binnen vastgestelde grenzen te blijven, voeren gedurende een langere periode kwaadwillige activiteiten uit en imiteren menselijk gedrag om detectie te voorkomen.
  • Op perimeter gebaseerde modellen mislukken als er sprake is van gecompromitteerde inloggegevens: Traditionele perimetergebaseerde beveiligingsmodellen gaan uit van vertrouwen zodra een gebruiker of apparaat is geverifieerd. Wanneer cybercriminelen zich authenticeren met legitieme inloggegevens, behandelen deze verouderde modellen hen als geldige gebruikers, waardoor ze kwaadaardige acties kunnen uitvoeren.
  • Op AI gebaseerde aanvallen zijn ontworpen om er normaal uit te zien: Op AI gebaseerde cyberdreigingen mengen zich doelbewust door binnen de toegewezen machtigingen te opereren, de verwachte workflows te volgen en hun activiteiten geleidelijk uit te voeren. Hoewel geïsoleerde activiteiten legitiem kunnen lijken, is het grootste risico dat activiteiten in de loop van de tijd in combinatie met de gedragscontext worden bekeken.

Waarom gedragsanalyses moeten veranderen voor op AI gebaseerde aanvallen

De verschuiving naar moderne gedragsanalyses vereist een evolutie van eenvoudige detectie van bedreigingen naar dynamische, contextbewuste risicomodellering die subtiel misbruik van privileges kan identificeren.

Op identiteit gebaseerde aanvallen vereisen context

Om normaal over te komen, gebruiken AI-gestuurde cybercriminelen vaak inloggegevens die zijn aangetast door phishing of misbruik van inloggegevens, werken ze vanaf bekende apparaten of netwerken en voeren ze in de loop van de tijd kwaadaardige activiteiten uit om detectie te voorkomen. Moderne gedragsanalyses moeten evalueren of zelfs de kleinste gedragsverandering consistent is met de typische gedragspatronen van een gebruiker. Geavanceerde gedragsmodellen stellen basislijnen vast, beoordelen realtime activiteit en combineren identiteit, apparaat- en sessiecontext.

De monitoring moet zich over de hele stapel uitstrekken

Zodra cybercriminelen toegang krijgen tot systemen via gecompromitteerde, zwakke of hergebruikte inloggegevens, richten ze zich op het geleidelijk uitbreiden van hun toegang. Gedragszichtbaarheid moet de volledige beveiligingsstack bestrijken, inclusief geprivilegieerde toegang, cloudinfrastructuur, eindpunten, applicaties en beheerdersaccounts. Om gedragsanalyses effectiever te laten zijn tegen op AI gebaseerde cyberaanvallen, moeten organisaties zero-trust-beveiliging afdwingen en ervan uitgaan dat geen enkele gebruiker of apparaat impliciet vertrouwen of automatische authenticatie mag hebben op basis van netwerklocatie.

Kwaadwillende insiders kunnen AI-tools gebruiken

AI-tools geven niet alleen externe cybercriminelen de macht, maar maken het ook gemakkelijker voor kwaadwillende insiders om binnen het netwerk van een organisatie te handelen. Kwaadwillende insiders kunnen AI gebruiken om het verzamelen van inloggegevens te automatiseren, gevoelige informatie te identificeren of geloofwaardige phishing-inhoud te genereren. Omdat insiders vaak met legitieme toestemmingen werken, vereist het detecteren van misbruik van privileges het identificeren van gedragsafwijkingen zoals toegang buiten gedefinieerde verantwoordelijkheden, activiteit buiten de normale kantooruren en herhaalde activiteit binnen kritieke systemen. Het elimineren van permanente toegang door het afdwingen van Just-in-Time (JIT)-toegang, sessiemonitoring en sessie-opname helpt organisaties de blootstelling te beperken en de impact van gecompromitteerde accounts en misbruik door insiders te verminderen.

Beveilig identiteiten tegen autonome AI-gebaseerde cyberaanvallen

In een tijd waarin AI-agenten overtuigende social engineering-campagnes kunnen opzetten, inloggegevens op grote schaal kunnen testen en de handmatige inspanningen die nodig zijn om aanvallen uit te voeren kunnen verminderen, worden AI-gebaseerde cyberaanvallen steeds meer geautomatiseerd. Het beschermen van zowel menselijke als niet-menselijke identiteiten (NHI’s) vereist nu meer dan alleen authenticatie; Organisaties moeten continue, contextbewuste gedragsanalyses en gedetailleerde toegangscontroles implementeren. Moderne Privileged Access Management (PAM)-oplossingen zoals Keeper consolideren gedragsanalyses, realtime sessiemonitoring en JIT-toegang om identiteiten in hybride en multi-cloudomgevingen te beveiligen.

Opmerking: Dit artikel is zorgvuldig geschreven en bijgedragen voor ons publiek door Ashley D’Andrea, Content Writer bij Keeper Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Trivy Security Scanner GitHub-acties geschonden, 75 tags gekaapt om CI/CD-geheimen te stelen

Magento PolyShell Flaw maakt niet-geverifieerde uploads, RCE en accountovername mogelijk

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]