Het zijn spannende tijden voor security, nu zowel AI als de geopolitiek de wereld op zijn kop zetten. Data News sprak met Helmut Reisinger, CEO bij Palo Alto Networks voor EMEA en Latijns-Amerika, over welke stappen zijn bedrijf daarin neemt.
De wereld wordt de laatste maanden opgeschrikt door verschillende geopolitieke spanningen. Heeft dat een impact op wat jullie doen?
Helmut Reisinger: Als we kijken naar het dreigingslandschap, dan zien we nu elke dag zo’n 2,3 miljoen nieuwe aanvallen. Een jaar geleden waren dat er 1,6 miljoen. Er is dus duidelijk een versnelling aan de gang wat betreft nieuwe aanvallen en dreigingen. Dat wordt deels gevoed door AI, dat nu door veel criminelen wordt gebruikt. Maar er zijn ook andere factoren, zoals de geopolitieke situatie.
Als je kijkt naar conflicten die we zien in Oost-Europa, daar heb je staatsactoren die er actief zijn. Die zoeken meestal naar een vorm van disruptie. Je hebt ook criminele elementen die vooral op zoek zijn naar financieel gewin. Maar de staatsactoren willen niet alleen zaken overhoop gooien, ze willen ook spioneren, ze zoeken intellectuele eigendom. Denk dan bijvoorbeeld aan ontwikkelingen die kunnen gebruikt worden in wapens, of in automatisering. Tot slot heb je natuurlijk ook nog de nerds die gewoon willen bewijzen dat ze het kunnen, en de activisten. Waar milieu-activisten zich hier aan het asfalt vastkleven, zie je in bijvoorbeeld Latijns-Amerika hacktivisten die online aanvallen organiseren. Vorig jaar haalden zij bijvoorbeeld een bedrijf neer dat gaspijplijnen uitbaat in Ecuador, Peru en Colombia.
Geopolitieke spanningen gaan de cybersecuritywereld zeker niet veiliger maken, maar ze hebben momenteel geen al te grote impact op ons als bedrijf. De grootste factor die we op dit moment zien is AI die gebruikt wordt door onze tegenstanders.
AI kan door tegenstanders, maar ook door jullie worden gebruikt. Hoe beïnvloedt dat de securitysector?
Reisinger: Het betekent dat je sneller moet reageren. We gaan onder meer met onze klanten werken om de reactietijd te verbeteren. De ‘Mean Time to Remediate’, of de tijd die je nodig hebt om op een dreiging te reageren moet omhoog. Waarom is dat belangrijk? Omdat de aanvallers steeds meer machine learning en AI gebruiken. De tijd tussen het initiële compromitteren van een organisatie en de exfiltratie van data is daarmee sterk gedaald. Twee jaar geleden duurde dat gemiddeld negen dagen. Nu is dat in de helft van de gevallen die we zien minder dan een dag.
Geeft AI die tegenstanders ook geen nieuwe kwetsbaarheden om aan te vallen? Denk bijvoorbeeld aan medewerkers die hun mails door ChatGPT laten schrijven.
Reisinger: De vraag met AI is, hoe kan je zorgen dat je bijvoorbeeld zo’n openbron large language model niet aan het voeden bent met je gevoelige data. Stel dat je een jonge marketeer hebt, en die wil zijn of haar deadline halen voor een campagne over een nieuw financieel product dat je over enkele weken gaat lanceren. En die voegt die gevoelige gegevens,waarmee je misschien een competitief voordeel wilt halen, in zo’n extern model. Ik sprak onlangs met de CEO en CTO van een groot Europees infrastructuurbedrijf en zij vertelden dat ze dat soort onderwerpen gewoon niet toelieten in een extern model. Het probleem is dat je dat niet kan garanderen.
Want niet iedereen gebruikt alleen wat het IT-departement hen aanbiedt.
Reisinger: Inderdaad. De uitdaging is dat je momenteel zo’n zeshonderd LLM’s hebt. Er zijn er voor vertalingen, voor het maken van teksten, er zijn LLM’s die je helpen programmeren enzovoort. Iedereen heeft het over ChatGPT maar dat is maar één van velen.
‘Geopolitieke spanningen gaan de cybersecuritywereld zeker niet veiliger maken, maar ze hebben momenteel geen al te grote impact op ons als bedrijf’
Een van de dingen die wij daar voor bieden als oplossing zit in onze Precision AI. We bieden onze klanten een extra abonnement aan, een vakje dat je aanvinkt bij de zero trust modules en dat activeert IoT Security for AI Access. Het idee daarachter is om je meer overzicht en controle te geven over de AI die in je bedrijf wordt gebruikt. Er is een module als AI Access, die zorgt dat alleen de mensen met de nodige rechten de kans hebben om specifieke LLM’s te gebruiken die jij hebt goedgekeurd. Daarnaast is er Security Posture Management, dat je een overzicht geeft van wie wat gebruikt en wie welke rechten heeft. En de derde is AI Runtime Security, dat helpt je ervoor zorgen dat wanneer mensen software of applicaties gebruiken die op zich bijdragen aan machine learning, dat er daardoor niets in gevaar komt. Ik denk dat we op die manier de toon zetten rond hoe goede beveiliging er uitziet aan de defensieve kant van AI.
Er komen meerdere wetten uit, zoals NIS2 en de AI Act, die AI en beveiliging gaan reguleren. Welke impact heeft dat?
Reisinger: We geloven dat dat de gemeenschap meer weerbaar gaat maken. Europa was een van de eersten om AI aan te pakken. Niet door het te verbieden, maar door ervoor te zorgen dat er op een gezonde manier gebruik van wordt gemaakt, zonder de maatschappij of bedrijven of zelfs individuele burgers in gevaar te brengen. We denken dat het een goede start is.
Palo Alto Networks werkt vaak voor de grotere enterprise accounts. Hoe zit dat in Europa dat toch traditioneel meer kmo’s heeft?
Reisinger: We hebben natuurlijk enkele grote prestigieuze klanten. Maar ik kom zelf uit Oostenrijk en Europa is inderdaad een landschap dat meer gedomineerd wordt door kleinere en middelgrote bedrijven. Die hebben dezelfde dreigingen als grote bedrijven, natuurlijk. Daarom zien we daar een goeie groei, ook in het kmo-segment. En gezien de meeste van onze oplossingen software-gebaseerd zijn, past dat ook. We werken in België daarnaast samen met partners, zoals Proximus, dat sterk staat in de markt voor kmo’s. Afhankelijk van het land zullen we altijd proberen te werken met partners die ons kunnen helpen schalen.
Enkele jaren geleden zijn jullie begonnen met het aanbieden van security operation services, met een platform voor automatisering van SOC’s. Hoe is dat geëvolueerd?
Reisinger: Daar hebben we twee innovaties doorgevoerd. Ten eerste de SIEM-functie. Dat staat voor Security Incident Event Management. Historisch gezien is de industrie daarop gebouwd, op het verzamelen van logs. En als je dacht dat er een incident was, dan ging je naar die logs kijken en moest je uitvissen wat er op die datum met die server was gebeurd. We hebben ondertussen een andere aanpak geïntegreerd. Omdat we zoveel telemetriedata hebben, kunnen we de logs constant analyseren op beveiligingsproblemen. Daarnaast gaan we machine learningmodellen gebruiken voor de SOC. We noemen dat Playbooks. We gaan van klanten die drie en een halve dag hadden om een incident te vinden, tot minder dan een uur. Een SoC-expert zijn is een stressvolle job dezer dagen. Maar die modellen helpen daarbij.
Heeft een SoC nog een toekomst als u alles door AI vervangt?
reisinger: Absoluut. We geloven sterk dat het denkwerk van mensen nodig is en dat het kan worden uitgebreid en ondersteund door AI. We willen geen business case maken voor het kleiner maken van je SoC, voor minder mensen. Je moet constant uitbreiden en deze software gaat dat verbeteren.
Fout opgemerkt of meer nieuws? Meld het hier