James Johnson, Bitdefender: ‘AI maakt het dreigingslandschap steeds wilder’

Bitdefender is uitgegroeid tot een security-vendor die alles van mkb tot grote enterprise bedient, in de private en publieke sector, met inmiddels ruim 1.800 medewerkers en aanwezigheid in 170 landen. Hetzij zelf, hetzij via een distributeur en andere IT-aanbieders waar intensief mee samengewerkt wordt.

James Johnson, Regional Head of Sales - Northern Europe & Middle East, werkt pas een jaar bij Bitdefender. Maar hij durft zonder valse bescheidenheid te stellen dat als Bitdefenders Gravityzone op genoeg endpoints gebruikt zou worden, malware zoals Petya en WannaCry minder impact hadden gehad.

“Duizenden klanten die wij destijds al bedienden, waren ook echt veilig. Ik durf dat te claimen omdat Bitdefender destijds al technologie ontwikkelde met behulp van AI, toen nog gebundeld met machine learning. Zo konden we elk stukje malware ontleden en van alle kanten bekijken: hoe het werkte, de oorsprong.”

Welke sectoren zijn volgens jou het meest en het minst kwetsbaar in het huidige complexe cyberdreigingslandschap?

James Johnson: “Over alle sectoren bekeken zien we een erg ‘wild’ dreigingslandschap. Daarmee bedoel ik dat Machine Learning en gen AI steeds meer dit dreigingslandschap bepalen. Voorheen waren het vooral menselijke actoren die aanvallen uitvoerden, hetzij voor zichzelf, hetzij in opdracht. Nu krijg je steeds meer een dreigingslandschap waarin een AI-toepassing – ML of Gen AI - als een soort agent deze opdrachten uitvoert. En als je een miljoen regels kwaadaardige code gebruikt tegen een heleboel bedrijven, blijft er altijd wel wat plakken. Er zijn genoeg routes om uit te buiten, met DDOS-aanvallen tegen websites, ransomware-aanvallen tegen hele sectoren tot gespecialiseerde aanvallen gericht op één bedrijf.”

“Bedreigde sectoren zijn technologie zelf, zorg, transport, retail en productie. In de technologiesector heb je een heel breed aanvalsoppervlakte. Of het nou gaat om een bedrijf dat OT levert of een IT-aanbieder die diensten levert. Zo kun je als aanvaller de sectoren aanvallen die deze technologie gebruiken. Bij zorg gaat het vooral om disruptie en onzekerheid aanwakkeren, maar ook om de enorme hoeveelheden gevoelige en waardevolle data. Bij productie gaat het vaak om het verstoren van concurrentiekracht. Zodat een concurrent bijvoorbeeld in een gat kan stappen omdat een aangevallen producent niet aan de vraag kan voldoen.”

“Retail dan, dat is gewoon een makkelijk doelwit. Retailers werken vaak met hele kleine marges en kunnen minder investeren in zaken zoals security. En omdat er veel mensen in retail werken en mensen vaak de zwakste schakel zijn, is het vrij eenvoudig om iemand te manipuleren in het klikken op een link of een malafide bestand. De transportsector tot slot, die heeft het afgelopen jaar ook wereldwijd veel schade opgelopen door de verstoring van hun dienstverlening.”

Veel organisaties hebben het budget en de mensen niet om zich volledig te beschermen. Zij kijken hiervoor naar IT-aanbieders, die echter vaak ook met het probleem van onvoldoende kennis en capaciteit worstelen. Wat kan een aanbieder zoals Bitdefender hierin betekenen?

“Er zit een grote talent- en kenniskloof tussen IT-aanbieders en bedrijven die in staat zijn om bijvoorbeeld zelf SOC-analisten te betalen en in te huren, en de grote meerderheid die dit niet kan. Vendors zoals wij moeten partners helpen om deze kloof te dichten, in ieder geval op technologisch vlak. Wij krijgen wel eens te horen dat we niet zo actief zijn met marketing. Dat komt omdat we heel veel investeren in sales engineering en technical resource service-mensen die partners helpen. We leveren deze capaciteiten via ons Partner Advantage Network – PAN. Dat omvat onder meer Academy-training en zelftraining, met een grote diversiteit in cursussen en certificeringen. Verder hebben we elk kwartaal een Partner Roadshow waarbij we hands on technische mensen van partners trainen, zowel op bestaande als nieuwe oplossingen.”

“Verder ligt onze focus op het ondersteunen van partners via sales engineers, veel meer dan in directe verloop. Wij proberen directe verkoop te vermijden, halen er in principe een kanaalpartner bij voor de uitvoering. Alles loopt via de partner. Al onze technologie wordt ook uit hun naam, met hun merk erop ingezet. Voor partners hebben we een dedicated accountmanager die intensief met hen samenwerkt. In landen waar we zelf niet zitten, werken we hiervoor samen met een aangewezen distributeur of kanaalpartner.”

Jullie werken al lang met ML om jullie eigen producten en diensten beter te maken. Hoe doen jullie dit tegenwoordig, met de opkomst van Gen AI?

“Bitdefender werkt al sinds 2008 met ML voor malware-herkenning en heeft inmiddels honderden patenten. We zetten ML nog altijd veel in, onder meer als het gaat om feature extraction - waarbij ruwe data wordt omgezet in een vereenvoudigde en informatieve set van kenmerken of attributen. Zo kun je makkelijker herkennen hoe malware zich gedraagt en het gedrag en de signatuur van die malware in kaart brengen. Sinds 2001 hebben we vele miljarden datapunten op basis van ML-telemetrie verzameld om steeds verfijnder dat gedrag en die signatuur te bepalen, maar ook de modellen hiervoor te trainen. We werken er hard aan om ook alle nieuwe ontwikkelingen in kaart te brengen in het ‘wilde’ dreigingslandschap. Dat kan heel goed met onze bestaande data, want ook Gen AI baseert zijn gedrag op wat het al ‘weet’. Het kan niet voorspellen welke kwetsbaarheden volgende week zullen ontstaan, het kan niet zijn gedrag compleet veranderen zodat we het niet meer herkennen.”

“Ik wil een klein voorbehoud maken. Sommige security-vendors laten elementen uit het ‘wilde’ dreigingslandschap in hun datalake om hun algoritmen hierop te trainen. Dat is gevaarlijk. Je moet nooit iets externs toegang geven tot jouw datalake, ook niet als je denkt dat je zo sneller je algoritmes kunt doorontwikkelen om nieuwe dreigingen aan te pakken.”

Hoe pas je jullie AI-capaciteiten in jullie nieuwe oplossingen in?

"Op veel manieren, bijvoorbeeld om het aanvalsoppervlak te verkleinen. Denk aan een krachtige applicatie zoals PowerShell, die misschien maar één keer wordt gebruikt en daarna wordt vergeten. Onze tools identificeren en verwijderen automatisch dergelijke applicaties die niet meer worden gebruikt, zodat ze geen zwak punt vormen – met name voor gebruikers die niet weten hoe ze met die applicaties moeten omgaan. Vaak wordt dit vergeten, terwijl dit het aanvalsoppervlak vergroot.”

“Applicaties of processen met bevoorrechte toegang kunnen gevaarlijk zijn. Je zou een achttienjarige toch geen Ferrari geven? Die zou hem uiteindelijk in de kreukels rijden. En dit is iets dat we voortdurend monitoren op basis van het security-beleid van een organisatie. Hetzelfde geldt voor automatisch met behulp van AI verkeerd of kwaadaardig gebruik van software detecteren, ongeacht of het een kleine tool is of een Microsoft-toepassing. Zodat de toepassing in kwestie verwijderd wordt, de gebruiker tijdelijk geblokkeerd en de pc gereset.”

“We noemen dit Proactive Hardening & Attack Surface Reduction – PHASR: ons vlaggenschipproduct dat dynamisch en continu elk endpoint monitort, zodat beveiligingsconfiguraties precies aansluiten op de door de gebruiker beoogde privileges en gedragingen en zich continu aanpassen om het aanvalsoppervlak te verkleinen. Op deze manier helpen we veel MSP's die niet de capaciteit of het personeel hebben om deze continue, proactieve en dynamische monitoring uit te voeren als onderdeel van een alomvattende beveiligingsaanpak.

Je zit al heel lang in IT en security. Heb je het idee dat we steeds verder achteroplopen, of heb je er vertrouwen in dat jullie in de race met cybercriminelen in ieder geval gelijk op kunnen blijven gaan?

“Ik ben een realist. Ik denk dat we pas aan het begin van een nieuwe fase in de oorlog tussen cybersecurity en cybercrime staan. We hebben nog lang niet gezien waar AI-tools zoals ML toe in staat zijn.”