De opkomst van autonome voertuigen en vliegtuigen lijkt een lange tijd een science fiction te zijn geweest, maar vandaag de dag worden deze technologieen steeds meer werkelijkheid. De discussie over de veiligheid en efficientie van deze autonome systemen strekt zich uit tot de wereld van cybersecurity. Net zoals autonome voertuigen en vliegtuigen de weg en lucht veiliger en efficienter maken, kan kunstmatige intelligentie, AI, ook de manier waarop we security beheren drastisch veranderen.

Er kunnen veel parallellen worden getrokken tussen autonome voertuigen en wat men het Autonomous Security Operations Center, ASOC, zou kunnen noemen. Hoewel dit nog ver weg is, duikt deze blog dieper in op de belangrijkste kenmerken die van het ASOC een realiteit zouden kunnen maken en wat dit zou kunnen betekenen voor het versnellen van autonome cybersecurity, gebaseerd op de niveaus van autonome voertuigen, niveau 0-5.

De overgang van autonome voertuigen naar autonome SOC s

In traditioneel vervoer is het gebruikelijk om een bestuurder voor een voertuig en een piloot voor een vliegtuig te zien. Hetzelfde geldt voor cybersecurity: een analist beheert een onderzoek of incident, net zoals een bestuurder een voertuig bestuurt of een piloot een vliegtuig. Met de opkomst van AI technologie kunnen we echter een verschuiving verwachten waarbij een cybersecurity analist meerdere incidenten tegelijkertijd beheert, vergelijkbaar met hoe een piloot meerdere vliegtuigen kan monitoren. De weg naar volledige automation in cybersecurity doorloopt, net als bij autonoom rijden, een aantal niveaus:

Niveaus van autonomie in cybersecurity

• Niveau 0: geen automatisering

Op niveau 0 zijn menselijke analisten volledig verantwoordelijk voor alle security. Dit omvat het identificeren, analyseren en reageren op dreigingen zonder enige ondersteuning van geautomatiseerde systemen. Basis cybersecurity, zoals firewalls en antivirussoftware, bieden enige bescherming, maar vereisen continu menselijke monitoring en aanpassing van regels. Dit niveau kan leiden tot problemen, zoals een overschot aan losse tools, een tekort aan gespecialiseerde vaardigheden en een groeiend aanvalsoppervlak.

• Niveau 1: assistentie voor analisten

Bij niveau 1 zien we enkele geautomatiseerde tools die analisten ondersteunen. Technologieen zoals security orchestration, automation, and response, SOAR, en hyper automatisering kunnen routinematige taken automatiseren, zoals patchbeheer en het prioriteren van waarschuwingen. Analisten moeten echter nog steeds toezicht houden op deze processen en ingrijpen tijdens uitzonderlijke of complexe situaties. De integratie van SOAR tools kan de efficientie verbeteren met automatische uitvoer van voorspelbare taken, maar de menselijke betrokkenheid blijft van groot belang.

Deze versturen we 3-4x per jaar.