Van ondersteunend naar agentisch: de AI-verschuiving die bedreigingsbeheer opnieuw definieert

Cyberbeveiliging
Van ondersteunend naar agentisch: de AI-verschuiving die bedreigingsbeheer opnieuw definieert

Invoering

Het gemiddelde bedrijfsbeveiligingsteam beschikt over 40 of meer beveiligingstools, die veel inzicht geven in interne telemetrie- en activagegevens. Maar vaak werken deze tools in silo’s en genereren ze (overlappende) waarschuwingen en gegevens. En toch blijven de verblijftijden van inbreuken hardnekkig lang (~43 dagen), blijven de reactievensters sluiten voordat teams kunnen handelen, en kunnen analisten de triage-ruis wegwerken in plaats van bedreigingen tegen te houden.

Het probleem is niet de inspanning. Het is architectuur.

Beveiligingsprogramma’s zijn gebouwd voor een wereld waarin bedreigingen zich langzaam genoeg verplaatsen zodat mensen de reacties handmatig kunnen coördineren. Die wereld bestaat niet meer. Met de manier waarop AI-capaciteiten worden ontwikkeld en gebruikt, vooral met grensverleggende AI-tools, is een veel proactievere houding ten aanzien van beveiliging nodig, evenals een reactiesnelheid van de machine om snel bewegende tegenstanders te bestrijden. Het Continuous Threat Exposure Management (CTEM)-framework van Gartner helpt deze verschuiving van reactieve, point-in-time beoordelingen naar een continue, iteratieve cyclus van scoping, ontdekking, prioritering, validatie en mobilisatie. Maar voor de meeste organisaties is het end-to-end operationeel maken van CTEM buiten bereik gebleven, omdat de tools die daarvoor nodig zijn nog steeds niet met elkaar communiceren.

Het architectuurprobleem achter elk beveiligingsgat

Moderne beveiligingsstacks zijn verzamelingen gespecialiseerde tools: hier een platform voor informatie over bedreigingen, daar een kwetsbaarheidsscanner, een afzonderlijke BAS-tool (breach and aanval simulatie) en een SIEM die alles aan elkaar probeert te koppelen. Elk genereert gegevens. Geen van hen sluit de cirkel.

Tegen de tijd dat de inlichtingen zijn gecorreleerd, blootstellingen zijn geprioriteerd, de validatie is uitgevoerd en er actie is ondernomen op een herstelticket, is de tegenstander vaak al in beweging. Het knelpunt is niet één enkel instrument. Het is de witte ruimte ertussen.

Dit is het architectuurprobleem dat beveiligingsleiders ’s nachts wakker houdt, en het is het probleem dat generieke AI-assistenten, gekoppeld aan bestaande workflows, feitelijk niet oplossen. Het is nuttig om een ​​chatbot te vragen een dreigingsrapport samen te vatten. Het is niet hetzelfde als het hebben van een AI-systeem dat de rapportage autonoom correleert met uw live-blootstellingsoppervlak, valideert of uw controles stand houden en prioriteit geeft aan wat als eerste moet worden opgelost.

Wat ‘Agentic’ eigenlijk betekent en waarom het er nu toe doet

De term ‘AI’ is in de beveiligingsmarketing zo overbelast geraakt dat het de moeite waard is om nauwkeurig te zijn over wat agentische AI ​​in deze context eigenlijk betekent.

Assistieve AI wacht totdat er om gevraagd wordt. Het vat samen, vertaalt en haalt op. Het zorgt ervoor dat analisten sneller dezelfde dingen kunnen doen die ze al deden.

Agentische AI ​​handelt. Het begrijpt de context, stelt autonoom prioriteiten en voert meerstapsworkflows uit op verschillende systemen, niet als een eenmalige zoekopdracht, maar continu, op de achtergrond, op machinesnelheid.

Het onderscheid is van belang omdat de dreigingsomgeving ook steeds meer op machinesnelheid werkt. Met de snelle vooruitgang in grensverleggende AI-modellen worden de tijdlijnen tussen ontdekking en exploitatie aanzienlijk korter. De beveiligingsteams die voorop blijven lopen, zullen niet de teams zijn met de meeste analisten. Zij zullen degenen zijn wiens AI-infrastructuur dat tempo autonoom kan evenaren.

Specifiek voor CTEM betekent dit dat drie functies niet langer afzonderlijke workflows moeten zijn:

  1. Operationaliseren van informatie over bedreigingen: het voortdurend opnemen, structureren en contextualiseren van gegevens over bedreigingen, blootstellingen en kwetsbaarheden in uw omgeving. Begrijpen Wat tegenstanders doen en welke activa en infrastructuur zijn mogelijk blootgesteld aan deze risico’s.
  2. Testen en valideren van uw beveiligingshouding: voortdurend testen of uw controles, teams en processen daadwerkelijk bestand zijn tegen het gedrag van de tegenstander dat u volgt
  3. Mobiliserende respons: het automatisch prioriteren en routeren van herstelacties op basis van gevalideerd, op inlichtingen gebaseerd bewijsmateriaal en risico’s.

Wanneer deze drie functies als een gesloten lus functioneren, waarbij AI-agenten informatie en beslissingen tussen hen verplaatsen zonder te wachten op menselijke overdracht, is een CTEM-programma niet langer een raamwerk op een glijbaan, maar begint het een operationele realiteit te worden.

Agentische AI ​​om CTEM en proactieve beveiliging te operationaliseren

Een Agentic-architectuur voor bedreigingsbeheer maakt het verschil tussen een CTEM-framework dat in een strategiedocument leeft en een raamwerk dat continu op de achtergrond draait. Dit vereist een speciale AI-orkestratielaag die fungeert als een fundamentele, contextuele laag met onderling verbonden agenten. In plaats van dat analisten dreigingsinformatie handmatig koppelen aan blootstellingsvalidatie, doen agenten het zware werk continu en met de juiste context en redenering. De hele workflow is autonoom, waarbij agenten taken van de ene naar de andere en tussen producten overdragen, terwijl ze nog steeds de mens op de hoogte houden van de uiteindelijke besluitvorming. Analisten kunnen werkelijk de orkestrator worden van op inlichtingen gebaseerde acties.

De beveiligingsteams die deze mogelijkheid bouwen, wachten niet op een perfecte toolset. Ze bouwen eerst het operationele model en laten de architectuur inhalen. Degenen die daar als eerste aankomen, zullen een structureel voordeel hebben dat in de loop van de tijd alleen maar groter wordt: betere gegevens, betere analyses, beter bewijsmateriaal en bovendien beter afgestemde AI. LLM’s voor algemene doeleinden zijn hier niet voor geschikt; het vereist context en productgebaseerde knowhow.

De organisaties die dit het snelst afronden, zijn degenen die CTEM als een operationeel model beschouwen, en niet als een enkel instrument, en kiezen voor een AI-infrastructuur die speciaal is gebouwd om het end-to-end uit te voeren. U kunt het operationele model aan het werk zien met XTM One CTEM Assistant.

Bekijk het in de praktijk: Live Webinar

Filigran voert een livesessie uit waarin wordt uitgelegd hoe dit er in de praktijk uitziet: hoe beveiligingsteams agentische AI ​​gebruiken om intelligentie, blootstellingsvalidatie en respons te verbinden in één continue workflow, zonder de overdrachtsgaten die elke stap daartussen vertragen.

De sessie zal betrekking hebben op:

  • Waarom de verschuiving naar agentische AI ​​het operationele model voor beveiligingsprogramma’s verandert, en niet alleen de tooling
  • Waar speciaal gebouwde agenten beter presteren dan AI voor algemene doeleinden wanneer precisie belangrijk is
  • Hoe u een agentische AI-infrastructuur voor uw eigen programma kunt evalueren

Meld u aan voor een livesessie of ontvang de opname:

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Salesforce schakelt Klue-app-integratie uit nadat misbruik van OAuth-tokens klantgegevens openbaar maakt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]