Arctic Wolf: ‘Wij maken van AI een hamer in de handen van onze klanten’

Na zijn komst bij Arctic Wolf ruim anderhalf jaar geleden, ging Dan Schiappa meteen aan de slag om de voordelen van AI en cybersecurity te maximaliseren. In het destijds opgerichte Arctic Wolf Labs bundelt de security operations aanbieder al zijn dreigingsdata en -onderzoek en kennis van zaken van detection & response met capaciteiten op AI-gebied.

“Ik ben al bezig met AI sinds de technologie echt relevant werd voor cybertechnologie en daarvoor al in andere sectoren. Het was al langer duidelijk en nu zie je het gebeuren: AI gaat onze samenleving en het bedrijfsleven ingrijpend veranderen. Net zoals internet dat met name sinds het begin van deze eeuw deed. Mensen waren destijds bijvoorbeeld bang voor het verdwijnen van veel banen. Dat gebeurde ook, maar er zijn veel nieuwe banen bij gekomen. Dergelijke verschuivingen zie je al sinds de Industriële Revolutie.”

Goed en kwaad
En net als bij voorgaande technologische aardverschuivingen zal ook de opkomst van (generatieve) AI een mix van goede en slechte zaken veroorzaken, verwacht Schiappa. “Ik ben zelf vrij optimistisch over wat AI ons kan brengen. Ik denk ook dat we sceptisch moeten zijn over de mate van negatieve ontwikkelingen door AI, maar dat we ons hier wel goed mee moeten bezighouden.”

Zo is de opkomst van nieuwe beroepen in veel gevallen een goede ontwikkeling die vooruitgang met zich meebrengt voor maatschappij én mensen. Tegelijkertijd kan de negatieve disruptieve impact van AI, mits niet goed gemitigeerd, erg groot zijn. “Veel hangt af van hoe je AI traint en de wijze waarop AI zelf kan gaan leren. En ook hier geldt: het ligt er maar net aan waar AI ‘op afgestuurd’ wordt.”

Pauze niet nuttig
Een pauze in de ontwikkeling van AI ziet Schiappa niet als oplossing om negatieve ontwikkelingen tegen te gaan. “Er zal ook geen pauze worden ingelast als het gaat om militaire ontwikkelingen. En groepen of landen met slechte intenties zullen dat evenmin doen. Het is niet realistisch te denken dat je de tijd kunt nemen om in alle rust structurele beperkingen in te bouwen.”

Bovendien, stelt Schiappa, bedrijven zoals Arctic Wolf zitten in de business van ‘verdediging’, ook tegen negatieve toepassingen van AI. “Als wij een pauze inlassen en cybercriminelen niet, dan ontstaat er een enorme onbalans in hoe ik klanten kan helpen zich tegen AI-gebaseerde aanvallen te verdedigingen. We zullen nooit in staat zijn om de ontwikkeling van AI volledig onder controle te houden. Dus moeten we er zo goed mogelijk in meegaan om zo de negatieve impact tegen te gaan.”

AI is namelijk al - en zal nog veel meer - een krachtig instrument worden voor hackers. Dat betekent dat bedrijven zoals Arctic Wolf in staat moeten zijn om hun klanten te helpen zich zo goed mogelijk tegen AI-gebaseerde malware en aanvallen te verweren, maar ook dat ze zelf AI-toepassingen hiertoe ontwikkelen.

AI niks nieuws
Het is volgens Schiappa overigens niet alsof de cybersecurity-sector nu pas de mogelijkheden van generatieve AI ontdekt. “We werken in de cybersecurity-sector al zeker 10 jaar met AI. Ik was al met OpenAI-toepassingen aan het werken voordat er de naam ChatGPT op geplakt werd. Maar pas het afgelopen jaar maakte het grote publiek kennis met de kracht van generatieve AI en werden de vele mogelijkheden voor hen duidelijk. Voor die tijd hadden de meeste, niet-technische, mensen geen directe interface met een AI-toepassing en was het voor hen een black box.”

Ook bij cybercriminelen zie je een tweedeling tussen de technisch competente cybercriminelen en staats gesponsorde hackers. De eerste groep maakte al langer gebruik van de mogelijkheden van AI, ook generatieve. Schiappa: “Maar met de opkomst van malware as a service zie je net als bij ChatGPT een enorme groei in het gebruik van generatieve AI-tools door mensen zonder technische kennis. Zij kunnen nu tools kopen of huren waarmee ze heel eenvoudig code voor malware-aanvallen kunnen maken. Dat maakt generatieve AI wel wat beangstigend.”

Welke AI-instrumenten gooien Schiappa en zijn mensen dan in de strijd tegen cybercriminelen? “Onder meer algoritmen waarmee we door de enorme massa cyber events kunnen spitten die dagelijks bij ons binnen komen. Dat moet wel geautomatiseerd worden, meer en meer met AI-ondersteuning. Alleen zo kunnen we uitfilteren wat echt belangrijk is om te melden – wat ook een van de USP’s is van ons security operations platform. De gemiddelde onderneming krijgt zo’n 10.000 meldingen per week van potentiële malware-gevaren, wij beperken dat tot zo’n 10. Dat is allemaal AI-gedreven.”

Modellen voortdurend verbeteren
De hiervoor gebruikte modellen worden voortdurend met nieuwe data gevoerd. “Zo ontstaat een vliegwieleffect”, schetst Schiappa. “Modellen worden gevoerd met meer data, kunnen zo beter relevante security-events vinden, gebruiken deze data om zichzelf te verbeteren en kunnen zo weer beter relevante security-events vinden. En ik denk dat wij het voordeel hebben van een data-omvang waar zelfs de meeste hackersgroepen niet aan kunnen tippen. Zo beperken we de hoeveelheid werk van onze klanten om te reageren op meldingen steeds verder, ondanks het sterke groeiende aantal malware-aanvallen.”

Ook zet Arctic Wolf LLM (large language models) en generatieve AI in om zijn security-expertise in handen te geven van mensen die deze expertise niet hebben. “Zo maken we meer natuurlijke taalgebaseerde interfaces voor onze klanten. Zij weten misschien niet hoe ze een query kunnen aanmaken, maar kunnen dat wel verwoorden.”

En natuurlijk wordt generatieve AI ingezet om security experts zoals SOC-medewerkers te ondersteunen. “Ook zij hebben nog altijd met veel signalen en meldingen te maken. Door het hen makkelijker te maken snel de juiste acties te ondernemen met eenvoudiger interfaces, maken we hen efficiënter. Met betere security-uitkomsten voor onze klanten als resultaat.”

Dit is iets dat niet alleen Arctic Wolf doet, maar veel concullega’s. Er zijn mondiaal misschien wel 1 miljoen onvervulde functies in de security-business. AI kan hier volgens Schiappa helpen door werk te automatiseren en zo het aantal functies te reduceren waarvoor geen mensen te vinden zijn. Of het kan gespecialiseerd security-werk vereenvoudigen, zodat mensen met minder vaardigheden op dit gebied ook ingezet kunnen worden. “Dit geldt echter meer voor klanten van security-aanbieders dan voor partijen zoals Arctic Wolf. Ook dit maakt AI tot een sterke hamer in de strijd tegen hackers.''

Niet meegaan in hype
Hoeven CIO’s en andere IT-beslissers zich dus niet druk te maken over de gevaren van AI? Zeker wel, benadrukt Schiappa, maar het is goed om niet mee te gaan in alle hype rondom ChatGPT en Bard. “Generatieve AI-toepassingen en hun mogelijkheden zijn eindeloos. En zeker niet alleen op security-gebied. Wees dus creatief. Mik niet op het wegbezuinigen van 10 banen, maar bedenk hoe je hen effectiever kunt maken, hun werk bevredigender.”

Maar ‘garbage in’ is nog altijd ‘garbage out’, stelt Schiappa tot slot. “Kijk dus goed uit met welke data je een AI-toepassing traint. Bovendien: elke keer dat ChatGPT code maakt, gebruikt hij publiek beschikbare data. Dat betekent elke keer een schending van iemands intellectuele eigendom. Voor ons is dat een extra reden om onze AI-modellen alleen met eigen data te trainen. Verkeerd gebruik kan juist een negatieve impact op je bedrijf hebben. Blijf dus ook altijd vertrouwen op de talenten in je organisatie, niet alleen op AI.”

Auteur: Martijn Kregting