Het nieuwe AI-model Mythos Preview is niet per se beter in losse hacktaken, maar wel veel gevaarlijker in het combineren van die taken tot complete, meertraps cyberaanvallen. Dit betekent dat de dreiging van geautomatiseerde, AI-gedreven aanvallen voor ondernemers steeds reëler wordt, omdat een enkele aanval nu meerdere verdedigingslagen kan doorbreken.
Wat er aan de hand is
Het Britse AI Security Institute (AISI) heeft onafhankelijk onderzoek gepubliceerd naar de cyberaanvalscapaciteiten van het nieuwe AI-model Mythos Preview van Anthropic. Het model is momenteel beperkt beschikbaar voor een selecte groep partners in kritieke industrieën. Uit de tests blijkt dat Mythos Preview meer dan 85% kan voltooien van zogenaamde ‘Apprentice’-niveau Capture the Flag-uitdagingen. Dit zijn gestandaardiseerde cyberbeveiligingstaken. Waar eerdere modellen, zoals GPT-3.5 Turbo, hier nog moeite mee hadden, laat Mythos een gestage vooruitgang zien. Het belangrijkste verschil zit volgens het AISI niet in het beter uitvoeren van individuele taken, maar in het vermogen om deze taken effectief aan elkaar te knopen tot een reeks stappen die nodig zijn om een systeem volledig binnen te dringen.
Wat dit betekent
Voor ondernemers en professionals betekent dit een verschuiving in de AI-cyberdreiging. Het gevaar schuilt niet langer alleen in een AI die een wachtwoord kan raden of een phishingmail kan schrijven. Het gevaar wordt nu een AI die zelfstandig een complete aanval kan plannen en uitvoeren: eerst een kwetsbaarheid vinden, dan toegang krijgen, zich vervolgens verplaatsen in het netwerk en ten slotte data stelen of systemen blokkeren. Dit maakt geautomatiseerde aanvallen toegankelijker en effectiever, ook voor aanvallers met minder technische expertise. Vooral voor het MKB, dat vaak beperkte beveiligingscapaciteiten heeft, wordt de dreiging hierdoor concreter. Het is niet langer een ver-van-mijn-bedshow, maar een ontwikkeling waar je je op moet voorbereiden.
Hoe je dit kunt toepassen
De praktische toepassing hangt af van jouw situatie. De kern van het nieuws is dat AI-aanvallen complexer en meer geautomatiseerd worden. Je verdediging moet daarom niet alleen gericht zijn op het blokkeren van één aanval, maar op het doorbreken van de keten van stappen die een aanvaller moet zetten.
Als je een webshop of online platform runt… richt je dan niet alleen op het beveiligen van de login-pagina. Een AI-gedreven aanval kan via een andere ingang beginnen. Zorg voor monitoring die ongebruikelijke activiteit detecteert, zoals een gebruiker of proces dat zich onverwacht naar een andere server verplaatst. Dit kan een teken zijn van de ’lateral movement’ waar het AISI-rapport over spreekt.
Als je een klein team aanstuurt zonder IT-specialist… investeer dan in basisprincipes die een aanvalsketen doorbreken. Dit begint bij het instellen van multi-factor authenticatie (MFA) voor alle belangrijke accounts. Dit alleen al breekt vaak de eerste stap in de keten. Zorg er daarnaast voor dat software-updates automatisch worden uitgevoerd, om kwetsbaarheden te dichten waar een AI mogelijk op zou kunnen scannen.
Als je gevoelige klant- of bedrijfsdata beheert… overweeg dan om je data te segmenteren. Niet iedereen in het netwerk hoeft bij alle data te kunnen. Door toegang te beperken (het principe van ’least privilege’) maak je het voor een aanvaller, of een AI-tool, veel moeilijker om zich na een eerste inbraak toegang te verschaffen tot de meest waardevolle informatie. Dit verstoort de latere stappen in een meertrapsaanval.
Als je diensten levert aan andere bedrijven (B2B)… wees je bewust van je plek in de keten. Een aanval op jouw minder goed beveiligde systeem kan een springplank zijn naar je grotere klanten. Zorg voor een basisniveau van beveiliging en communiceer hier transparant over. Dit wordt steeds vaker een vereiste in contracten en een onderdeel van due diligence.
Bron: Arstechnica