"I'm sorry Dave, I'm afraid I can't do that"

Mensen zullen niet snel (volledig) verdwijnen uit de SOC's. Wel verwacht ik dat de Tier 1 analysten op korte termijn gaan verdwijnen want dat gebeurd nu al. Hun werk kan steeds meer worden opgevangen met machine learning en automatisering. Misschien dat Tier 2 ook steeds minder nodig zal zijn maar daarvoor moet het vervangen van de analysten wel succesvol blijken.

De Illusie van Autonome Beveiliging: Waarom AI het SOC-personeel niet zal vervangen

Ah, daar gaan we weer. TNO is er weer met een glanzende voorspelling: kunstmatige intelligentie (AI) zal het personeel van Security Operations Centers (SOCs) vervangen. Volgens hun laatste position paper is de enige manier om ons adequaat te verdedigen tegen cyberaanvallen via autonome systemen. Berry Vetjens van TNO verdedigt deze stelling door te stellen dat "in de race tegen kwaadwillenden in het digitale domein de mens een complicerende factor is".

Laten we even pauzeren. Is het niet ironisch dat dezelfde menselijke factoren die technologie hebben ontwikkeld, nu als "complicerend" worden beschouwd? Het beweren dat mensen het probleem zijn, is zowel simplistisch als misleidend.

Vetjens wijst erop dat menselijke operators in SOCs het kwaad nog steeds met de hand proberen te bestrijden, en dat we moeten accepteren dat systemen volledig autonoom moeten worden. Hij beweert dat het overlaten van meer menselijke beslissingen aan AI een soort veiligheidsnet is. Echter, iedereen met enige ervaring in de branche weet dat een volledig autonoom systeem de deur openzet voor talloze problemen, zoals ongecontroleerde feedback loops, ethische dilemma's en onvoorziene fouten.

TNO beweert dat het menselijk brein simpelweg niet in staat is om de benodigde data snel genoeg te verwerken voor adequate reacties. De suggestie hier is dat machines geen fouten maken, of op zijn minst minder fouten dan mensen. Dit is een gevaarlijke veronderstelling. Zelfs de meest geavanceerde AI-systemen zijn nog steeds vatbaar voor manipulatie, bias en fouten, vooral als ze worden geconfronteerd met complexe, real-world scenario's.

Vetjens pleit voor een "human before the loop" aanpak, waarbij de mens slechts een ontwerper is en het systeem autonoom nadenkt en handelt. Dit klinkt meer als een scenario uit een dystopische sciencefictionfilm dan als een haalbare toekomst voor cybersecurity.

Maar hier komt de kicker: TNO heeft een systeem genaamd 'Athena' ontwikkeld dat bedoeld is om autonoom beveiligingstaken uit te voeren. Dus, het is niet verrassend dat ze een toekomst propageren waarin hun eigen product centraal staat.

Voor nu blijft het een feit dat mensen essentieel zijn in het cybersecurity landschap. We moeten voorzichtig zijn met het blindelings omarmen van AI als de ultieme oplossing, vooral wanneer het een eigen belang dient. Het idee dat machines de mens volledig kunnen vervangen in het complexe en steeds veranderende landschap van cybersecurity is, op zijn zachtst gezegd, naïef.

De functie zal zeker veranderen met de komst van AI. Maar AI zal zichzelf niet kunnen fixen. Daar zullen altijd mensen bij nodig zijn. Daarbij zal een AI ook gecontroleerd / gestuurd moeten worden. Dus dan krijg je een functie SOC AI specialist.

De Illusie van een Autonome SOC: Waarom TNO de Bal Mis lijkt te Slaan

In een wereld waarin technologie de grenzen van mogelijkheden blijft verleggen, waarbij kunstmatige intelligentie op de voorgrond treedt van talloze industrieën, heeft TNO recentelijk de prikkelende suggestie gedaan dat de dagen van menselijke experts in Security Operations Centers (SOCs) geteld zijn. Een wereld van autonome cybersecurity - een interessante visie, maar is het wel geaard in de realiteit? Als we de stellingen van TNO tegen het licht houden, moeten we ons serieus afvragen: Begrijpt TNO werkelijk wat er diep in het hart van een SOC gebeurt?

Menselijke Vaardigheden: Niet Zomaar te Vervangen

Het lijkt erop dat TNO wellicht over het hoofd ziet dat het werk in een SOC niet slechts reactief of procedureel is. Inderdaad, er zijn routineprocedures en checklists, maar het werk van een SOC-analist gaat veel verder dan dat. Denk aan het gebruik van Open Source Intelligence (OSINT) en Threat Intelligence. Deze professionals zijn constant bezig met het scannen van de horizon voor nieuwe dreigingen, het traceren van nieuwe actoren en het anticiperen op mogelijke aanvalsvectoren. Ze baseren hun analyses niet alleen op gegevens en patronen maar gebruiken ook hun menselijke intuïtie, jarenlange ervaring, en hun vermogen om complexe verbanden te zien die voor AI ongrijpbaar zijn.

De Proactieve Kant van SOCs

Het meest intrigerende aspect van een SOC is misschien wel het proactieve karakter. SOC-analisten zijn niet alleen passieve waarnemers; ze zijn actief betrokken bij het veiliger maken van hun organisaties. Ze voeren penetratietests uit, bedenken aanvalsscenario's en dagen hun eigen systemen uit om zwakke punten te vinden en te versterken. Dit vereist niet alleen technische kennis, maar ook creativiteit, inzicht en het vermogen om zich in de schoenen van een aanvaller te plaatsen.

Een van de cruciale aspecten van proactieve verdediging is het netwerk van relaties dat SOC-analisten opbouwen. Dit zijn vertrouwensbanden met vakgenoten binnen en buiten hun organisatie, waar ze waardevolle informatie mee delen over dreigingen, tactieken en landschapswijzigingen. Deze banden zijn geworteld in jarenlange samenwerking, gedeelde ervaringen en wederzijds vertrouwen. Denkt TNO echt dat een AI die relaties, die vaak gebaseerd zijn op subtiele menselijke interacties, gemakkelijk kan repliceren?

Bovendien kijken SOC-analisten niet alleen naar wat er in hun eigen systemen gebeurt. Ze hebben ook hun ogen gericht op de buitenwereld, soms met gebruikmaking van informatiebronnen die niet publiekelijk beschikbaar zijn en die niet in geautomatiseerde feeds verschijnen. Dit zijn vaak inzichten die voortkomen uit persoonlijke contacten, off-the-record gesprekken en jaren van opgebouwde expertise.

Een Simplistisch Beeld?

De visie die TNO lijkt te hebben op de wereld van SOCs suggereert een zeer gestroomlijnde, bijna fabrieksmatige benadering van cybersecurity. Maar dit doet geen recht aan de complexiteit, diepgang en menselijkheid van het werk dat dagelijks in deze centra wordt gedaan. Is TNO's beeld van een SOC werkelijk gebaseerd op een diep inzicht in de sector, of is het eerder een oversimplificatie, gedreven door de glans van nieuwe technologie?

Conclusie

Terwijl kunstmatige intelligentie ongetwijfeld een rol zal spelen in de toekomst van cybersecurity, is het cruciaal dat we de unieke, onvervangbare waarde van menselijke SOC-experts niet onderschatten. Voordat we ons haasten om de mens uit de vergelijking te halen, laten we ons eerst diepgaand verdiepen in wat de mens daadwerkelijk toevoegt. En als de recente opmerkingen van TNO enige indicatie zijn, hebben we misschien nog een lange weg te gaan voordat we daar echt zijn.

De paranoia van de niet technisch onderlegde managers zal er voor zorgen dat zeker te weten er nooit een onbemande post is. En laten we eerlijk zijn meeste SOCs gebruikten al enorm veel automatisering. Ik zie eerder dat de NOC,s volledig onbemand worden op mischien 1 of twee op afroep basis per dc voor de hardware rondes.

Elke generatie heeft met dit soort beroeps veranderingen te maken hoort erbij.

Angloeufemismes. Zoals ondertussen kretologie als "position paper". Die vind ik ook zorgwekkend.

Ook zonder hulp van kunstmatige intelligenties blijft er wat jeuken als ik het weer lees. Ze lijken erop gericht om stop zelf maar met nadenken af te dwingen. Want darth vader wint toch altijd.

Wat in mijn intuïtie duidt op een zekere onzekerheid in de gebruikers van dergelijke kretologie, dus dan word je automatisch wat voorzichtiger met wat ze beweren.

Ik heb zelf jaren bij TNO gewerkt en het geloof in technologie en een maakbare wereld is daar bij velen oneindig (de zachtere kant wordt daarbij genegeerd of ook als maakbaar beschouwd...). Het probleem is nu vooral dat we iets aan het oplossen zijn dat we volledig zelf hebben gecreëerd door juist te weinig na te denken. Techneuten denken nog steeds te veel in de happy flow en zien vooral de positieve kanten. Kritische denkers worden in al die innovatieve trajecten al snel uitgekotst en ja, dan betaal je daar later de prijs voor.

Denk eens na over de singulariteit en A.I.

Verder over Artificiële Intelligentie,
die de transhumane cyborgjes kan gaan aansturen,
want van individuele mensen met zelfbeschikking,
is dan geen sprake meer.

Toekomstbeeld, al in zekere zin gearriveerd.

Nog is onze creativiteit het laatste obstakel.

Wie controleert en bepaalt onze aansturing?
Wie zijn onze elitaire custodians?
Net zoiets als de koninklijke kaste in het oude Rome?
Er is niets nieuws onder de zon, zegt het profetische woord.

Weet en onthoudt dit en ken het lot, dat op u allen wacht.
Laat het geen fatum zijn of iets uit de doos van Pandora,
waar ook straks de hoop uitzal zijn ver- of ge-vlogen.

#webproxy

Onze familie heeft een eigen SOC opgericht, alwaar de beveiliging van de familieleden (phishing, malware) wordt gemonitord. Bij verdachte bestanden wordt dit via de personal SOC nagetrokken en heeft tot nu toe goede resultaten gehad. Of AI iets gaat veranderen weet ik op dit moment niet, maar 1 ding is zeker: een personal SOC werkt ook heel goed.

Onze volksvertegenwoordigers en de uiteenlopende lobbyclubs grossieren ‘position paper’. Zoekresultaten: 9.252

https://www.tweedekamer.nl/zoeken?qry=position+paper

Actually, the position of TNO is much more nuanced than described here.
This is a position paper to put an idea out there and get the conversation going. No, it's not possible to replace all SOC analysts within the coming 1-2 decennia, not only for technological but also legal reasons. But it is indeed necessary to automate as much as reasonably possible and push for this change to happen!

De laatste zin is hier wel van belang.
Een korreltje zout is dus op z’n plaats.

Laten we a.u.b in het nederlands communiceren, aan de reactie te zien kan je dat.

Bij deze de vertaling via DuckDuckGo vertaling:

"Eigenlijk is de positie van TNO veel genuanceerder dan hier beschreven. Dit is een position paper om een idee naar buiten te brengen en het gesprek op gang te brengen. Nee, het is niet mogelijk om alle SOC-analisten binnen de komende 1-2 decennia te vervangen, niet alleen om technologische maar ook om juridische redenen. Maar het is inderdaad noodzakelijk om zoveel mogelijk te automatiseren en aan te dringen op deze verandering!"

Er zullen vanwege AI wel een groot aantal mensen hun baan gaan verliezen. Dat worden dan volgens de WEF-filosofie onnutte bankhangers, die zich onledig houden met computerspelletjes etc.

Wat doe je dan met zo'n overcompleet? Er daagt een rare wereld voor de meesten van ons. Apocalyptisch?

Dus het vergrijzing argument in het westen t.b.v. migratie is ook onwezenlijk. Het dient dus uiteindelijk een geheel ander doel.

Wie vertelt eens hoe ze het dan echt willen 'inplannen'?

Ach, vroegah ging alles geoutsourced worden, want alles centraal was goedkoper dan zelf mensen opleiden en structureren.
Toen bleek dat outsourcing duurder was, er geen feeling met de business was en dat er van opleiden en structuur geen sprake was.
Toen moest alles naar india, want die konden (naar alle waarschijnlijkheid corrup) heel veel gecertificeerde mensen leveren..
Mensen die geen idee hadden waar ze mee bezig waren, maar wel een papiertje hadden, dus goed bij grote organisaties.
Toen bleek dat ze alleen maar ja als antwoord konden geven en nee niet bestond, ook al was het antwoord nee... en dat het engels dat ze spraken wel op engels leek maar zelfs britten er geen kaas van konden maken.
En dat directe mensen zoals nederlanders het probleem alleen maar erger maakten.

Dus toen moest alles in de cloud, want een eigen datacenter, is zo 1980... want bij systemen kunnen binnen enkele seconden is zo niet nodig... en dus alles bij de cloud providers, op internet... systemen die daar nooit voor bedoeld waren, met systemen die internet=delen als doel hadden, nooit security by design... en dat werkte ook niet....

Nu moet alles maar AI worden, want die AI hoeft niet geleerd te worden met veranderen omstandigheden om te kunnen gaan...
Sorry dave, maar je MOET windows-E doen voor een nieuw verkennerscherm... ook al heb je een CLI-only ubuntu server... ja, ik de AI ben getraind op Windows 3.11 for workgroups, dus dat gaan we toepassen...

Net als dat AI's getraind op kanker alle foto's met een lineaal default flaggen als kanker. Want ze zijn gevoed met medische foto's.... Dus een monitor-AI die gevoed is met whatsupgold, gaat alle verkeerslichten uitschakelen wanneer ze rood zijn geworden...

Is het een idee om die AI in te zetten om de kwaliteit van de IT-landschappen wat te verhogen? Het merendeel van de hacks is allemaal niet zo spannend, gewoon 20 jaar gepruts op elkaar stapelen en niemand die er nog iets van begrijpt. Zorg dat die troep wordt opgeruimd en met die relatief schone lei is het ook weer te begrijpen voor de gemiddelde systeembeheerder. Scheelt flink in de kosten voor een SOC (AI of niet).

Zou je een AI omgeving van een SOC niet kunnen hacken? Ik denk meer de analyse van de meldingen.

Als je AI nodig hebt om je te verdedigen dan gaan de aanvallers ook AI gebruiken om jou en anderen aan te vallen, en als je pech hebt ook nog met een zeroday (minusday?) waar alleen hun AI weet van heeft.

Wie heeft er meer geld, tijd en creativiteit? SOC's, IT-dienstverleners, ICT'rs, een groot of klein bedrijf, je buren, of hen die in de inmiddels miljarden business zitten van digitale criminaliteit (ook state actors) en hele dagen niets anders doen, op allerlei manieren. Minstens maandelijks gaan er NCSC High/High Beveiligingsmeldingen af, dat zijn dus hoge risico/schade veiligheidsincidenten die niemand wereldwijd voorzien/ontdekt en tijdig voorkomen had.

Bewustwording en training van gebruikers en IT'rs scheelt al, evenals het opwerpen van drempels en canaries, moderne beveiligingsmiddelen met goede logging die je specialisten van haver tot gort kennen zodat ze afwijkingen (al of niet geautomatiseerd) beter en sneller herkennen, hardening, security 101 alles wat niet expliciet is toegestaan is expliciet verboden, updates eerst in OTAP uitrollen zodat je "gedragsveranderingen" leert kennen, en... enfin, hoef ik hier niet allemaal uit te leggen.

Er zijn heel veel drempels, vertragingen, detecties en wat al niet meer uit te rollen. Bij de gemiddelde pre onboarding van een nieuwe klantomgeving kleurt de helft van de monitoring al rood. Eerst dat maar eens opkrikken voor we je echt kunnen helpen.

MTTR, Mean Time To Recognize, Mean Time To Repair, Mean Time To Recover. Denk na over wat je over het hoofd ziet, wat je verzuimt, waar je onnodig teveel tijd en moeite in steekt. Leer. Bewijs jezelf dat je fout denkend was. Periodieke Disaster Recovery met af en toe "from the ground up" realistische scenario's, het helpt allemaal om het hoofd koel te houden en vertrouwen te hebben in het vermogen tot herstel, ongeacht wat.

Genezen is beter dan voorkomen, maar bewezen weten dat je kunt genezen ook na niet kunnen voorkomen maakt je des te zekerder.

Een AI kan alleen maar werken binnen de grenzen van het mogelijke waarmee het gevoed is, en derhalve tot een geheel andere "conclusie" komen, en daarop volgende acties, dan jouw broodwinning kan overleven. Een aanvallende AI (of creatieve aanvaller, of simpelweg een aanvaller die weet heeft van een lek waarvan jij niet eens het bestaan vermoed) hoeft daar niet noodzakelijk rekening mee te houden, en kan ransomware, lateral movement, info stealing, CEO Fraud, noem maar op, gericht zijn. Jouw AI moet dat allemaal maar doorhebben, zonder dusdanig (onnodig) fout in te grijpen dat het je meer kost dan je lief is. Gaat u aan uw werkgever uitleggen, ik chargeer, ja, we hebben een AI SOC en deze heeft om nog onbekende redenen onze main database gewist en het gros van onze devices in isolatie gezet, over 11 uur zijn we failliet, en we hebben geen idee hoe we dat binnen die 11 uur gaan voorkomen, want we hebben nooit nagedacht hoe we gaan herstellen van een AI NOC die op basis van false positives rogue is gegaan, noch hebben we rekening gehouden met een disgruntled employee die soortgelijke schade aanricht. U weet niet binnen hoeveel tijd u failliet bent bij system down? Dan zeker geen AI SOC overwegen. Want u weet niet waar u dan aan begint, anders dan schijnveiligheid.

Er op vertrouwen dat AI vakspecialisten kunnen vervangen is als vertrouwen dat politici zich aan hun verkiezingsprogramma zullen houden, of überhaupt dat die politici echt verstand hebben van de materie waarmee ze bezig zijn. Politici doen wat ze doen binnen wat ze verteld wordt, wat ze denken te weten en te begrijpen, een AI eveneens. Ze zijn besloten binnen hun wereldje, een vakspecialist niet noodzakelijkerwijs, een groep vakspecialisten nog minder.

En de regel die ook nog steeds geldt: als jouw noot harder te kraken is dan die van je buurman, dan zal diegene die uit is om jouw ellende om te zetten in eigen gewin altijd kiezen voor een makkelijker doelwit.

Of broodnuchter zakelijk: ik accepteer een totaalverlies van een week omzet eens in de vijf jaar, richt alles zo in dat we ongeacht de meeste en vaakst voorkomende rampen in onze en andere branches desnoods van de grond af opnieuw kunnen beginnen met maximaal een verlies van een week omzet en bijkomende herstelkosten tot maximaal x bedrag met maximaal 5% foutmarge. Bewijs dat je dat kunt minstens jaarlijks. Kost dat investering? Ja. Geeft je dat meer zekerheid van voortgang van je bedrijfsvoering, vaak vele malen beter dan die van je concurrentie? Ja. Heeft dat voordelen? Welzeker als zeg een tiende van je concurrentie gedeeltelijk of grotendeels omvalt en jij niet (bijvoorbeeld bij een supply chain attack; heb je nagedacht over, en voorbereid en getest op fallback procedures?). Gaat er in de toekomst geheid iets plat? Ga daar maar vanuit, dus dan dien je je er op voor te bereiden. Net zoals dat sleutelfunctionarissen plotseling om kunnen vallen om wat voor reden dan ook.

Vergelijk het met overvallen worden. Als je op dat moment al je liquide middelen bij je hebt en geen enkele reserve waar dan ook, dan ga je op dat moment goed nat. Is het op een moment dat je hooguit 10% verliest en daarna vrolijk fluitend, maar des te wijzer, verder kunt, dan is dat te overkomen. Kan iemand je garanderen dat je nooit overvallen wordt? Nee. Dus bereid je daarop voor, en wordt daar steeds beter in, zodat de kans kleiner wordt, en tegelijkertijd de potentiele schadekans minder. Gaat zelfs je solvabiliteit helpen.

Gaat AI je daartegen beschermen? Wel... de aanjagers daarvan, hoeveel daarvan "put their money where their mouth is" middels daadwerkelijk in keiharde, altijd verhaalbare, 100% dekkend, in zeer korte tijd, clausules? Of krijgt u dan slechts dat "ja maar" gejammer? Als u dan nog niet weet, dan kan weinig u nog helpen.

Vooralsnog is AI hooguit een hulpmiddel, niet iets waar je de zaak op inzet, helemaal als je alle mogelijke risico's voor eigen rekening voor lief neemt in blind vertrouwen. Vraag het bijvoorbeeld studenten die hun thesis daarop hebben ingezet en inmiddels door de mand zijn gevallen. Naïviteit kent haar prijs.

Slecht plan. Dan leidt je dus geen mensen meer op die weten wat ze er vervolgens mee moeten doen want ze begrijpen de inhoud niet meer.

Position paper: Zienswijze heet dat in goed Nederlands.

Als ik zie hoe gebrekkig organisaties omgaan met informatieclassificatie en risicoinventarisatie, schat ik dat de kans bijzonder groot is dat een AI gestuurd autonoom SOC niet de de juiste informatie ter beschikking heeft om prioriteiten te stellen bij het treffen van maatregelen.

Volgens Murphy (die meestal iets eerder dan gewenst gelijk krijgt) gaat dit leiden tot hoogst ongewenste situaties op een tijdstip dat dit het slechtst uitkomt, met desastreuze bedrijfsmatige gevolgen.
Ik wacht rustig af tot murphy's wet weer eens wordt bewaarheid..

De monitoring wordt ingekocht en het tool wordt blindelings gevolgd. Het is al de gangbare realiteit.
Humor van een anoniem Het is dichterbij wat al gaande is.