DienstenProjectenProcesBlogsPartnersOver Ons
ROI ToolNeem Contact Op
ENNL
Alle Artikelen
Technologie6 min lezen

Stop met het spelen van mollen bij hackers: een 23% snellere weg naar herstel

Greg (Zvi) Uretzky

Founder & Full-Stack Developer

Delen
Illustration for: Stop Playing Whack-a-Mole with Hackers: A 23% Faster Path to Recovery

Stop met het spelen van Whack-a-Mole met hackers: een 23% snellere weg naar herstel

Het probleem dat u herkent

Uw systemen worden aangevallen. Waarschuwingen stromen binnen. Uw team moet haastig proberen te begrijpen wat er gebeurt, terwijl de aanvaller dieper doordringt. U reageert, in plaats van te reageren. Het gemiddelde bedrijf heeft meer dan 100 dagen nodig om volledig te herstellen van een cyberaanval. Elke minuut kost geld en vertrouwen. U heeft een snellere, slimmere manier nodig om terug te vechten.

Wat onderzoekers ontdekten

Onderzoekers van het KTH Koninklijk Instituut voor Technologie hebben iets anders gebouwd: een AI-agent die het hele incidentresponsproces afhandelt. Het leest logbestanden, ontdekt de aanval, plant een oplossing en handelt - allemaal zelfstandig. U kunt hun paper hier lezen: In-Context Autonomous Network Incident Response: An End-to-End Large Language Model Agent Approach.

Denk hierbij aan het trainen van één enkele, veelzijdige paramedicus in plaats van het inhuren van een andere specialist voor elke verwonding. Deze paramedicus kan de situatie beoordelen, het probleem diagnosticeren en de juiste behandeling toepassen - snel.

Hier zijn de dingen die het werk maken:

1. Het denkt voordat het handelt. De AI gokt niet zomaar. Het simuleert verschillende responsacties in zijn "hoofd" voordat het handelt. Het vraagt zich af: "Als ik deze server isoleer, wat gebeurt er dan? Als ik deze poort blokkeer, breekt het dan iets anders?" Pas dan kiest het de beste zet. Als de realiteit niet overeenkomt met zijn voorspelling, evalueert het onmiddellijk opnieuw.

2. Het weet precies waar u bent in het herstelproces. De AI volgt zes belangrijke fasen (zoals "aanval beperkt" of "bewijs bewaard") met een nauwkeurigheid van meer dan 99%. Het is alsof u een projectmanager heeft met een perfecte Gantt-chart. Het weet welke mijlpalen zijn voltooid en wat de voortgang blokkeert, zodat elke actie precies is.

3. Het is gespecialiseerd en efficiënt. Dit is geen reusachtig, duur model zoals GPT-5.2. Het is een kleiner, goedkoper model dat is afgestemd op één taak: beveiliging. In tests bereikte het hersteltijden die tot 23% sneller waren dan die van de leidende algemene modellen. U krijgt betere prestaties zonder supercomputers nodig te hebben.

Hoe u dit vandaag kunt toepassen

U hoeft niet te wachten op een commercieel product. U kunt deze functionaliteit nu beginnen integreren in uw beveiligingsoperaties. Hier zijn vijf concrete stappen.

Stap 1: Kaart uw herstelstaten

Voordat elke AI kan helpen, heeft u duidelijkheid nodig. Definieer wat "herstel" voor uw systemen betekent. Maak een checklist van 5-7 duidelijke, meetbare staten. Bijvoorbeeld:

  1. Aanval gedetecteerd – We weten dat er iets mis is.
  2. Omvang gedefinieerd – We weten welke systemen zijn aangetast.
  3. Beperking actief – De aanval is gestopt van het verspreiden.
  4. Bedreiging uitgeroeid – Malware is verwijderd, achterdeuren gesloten.
  5. Systemen hersteld – Schone diensten zijn weer online.
  6. Bewijs veiliggesteld – Logbestanden en artefacten zijn bewaard voor analyse.

Actie: Voer deze week een tafeltopoefening uit. Presenteer een eenvoudig aanvalsscenario (bijv. ransomware op een bestandsserver) en laat uw team elk stap documenteren dat ze nemen. Maak van die stappen uw officiële herstelstaatdefinities. Dit wordt de "Gantt-chart" van uw AI.

Stap 2: Bouw uw "vluchtsimulator" met historische gegevens

De AI moet oefenen. U heeft geen aangepaste, miljoenen kostende simulator nodig. Gebruik wat u al heeft: historische incidentlogbestanden.

Actie: Verzamel logbestanden van 3-5 voorgaande beveiligingsincidenten. Maak alle gevoelige gegevens anoniem. Voor elk incident maakt u een eenvoudig "playbook"-document dat antwoord geeft op:

  • Wat waren de initiële waarschuwingen?
  • Welke acties namen analisten (en in welke volgorde)?
  • Wat was het eindresultaat?

Deze log-playbook-combinatie is uw trainingsgegevens. Het leert de AI de link tussen signalen in uw omgeving en effectieve menselijke reacties.

Stap 3: Fine-tune een basismodel voor uw omgeving

Bouw geen AI van scratch. Begin met een efficiënt, open-source basismodel. De onderzoekers gebruikten modellen zoals DeepSeek. Fine-tune het specifiek voor uw beveiligingsgegevens met een kosteneffectieve methode zoals LoRA (Low-Rank Adaptation).

Actie:

  1. Kies een doelmodel (bijv. een kleinere variant van Llama 3 of DeepSeek).
  2. Gebruik uw voorbereide historische gegevens (Stap 2).
  3. Werk samen met uw datascience-team of een consultant om LoRA fine-tuning toe te passen. Dit past het model aan om uw logbestanden en uw herstelstaten te begrijpen zonder het hele enorme model opnieuw te trainen - het is sneller en goedkoper.

Het doel is een "beveiligingsco-piloot"-model dat uw omgevings taal begrijpt.

Stap 4: Implementeer de "denk-voordat-je-handelt"-lus

Dit is de kernlogica. Programmeer uw agent!!!!! om voor elke significante waarschuwing deze sequentie te volgen:

  1. Analyseer: Neem de relevante logbestanden en context in.
  2. Hypotheseer: Bepaal de huidige herstelstaat (bijv. "Aanval gedetecteerd").
  3. Simuleer: Stel intern 2-3 potentiële responsacties voor. Voor elke voorspel de volgende herstelstaat (bijv. "Als ik Server-A isoleer, zou de staat moeten veranderen in 'Beperking actief'").
  4. Handel & Verifieer: Voer de hoogst gerangschikte actie uit. Bewaak de logbestanden om te zien of de voorspelde staatverandering optreedt.
  5. Pas aan: Als de staat niet verandert zoals voorspeld, ga terug naar Stap 1 met de nieuwe gegevens.

Actie: Script deze lus eerst voor een enkel, gemeenschappelijk incidenttype (bijv. een brute-force-aanval op een SSH-server). Gebruik een eenvoudig automatiseringstool zoals Python met een OpenAI API of StackStorm om de logica (analyse, simulatie) te verbinden met eenvoudige acties (het uitvoeren van een script om een IP-adres te blokkeren).

Stap 5: Implementeer als human-in-the-loop co-piloot

Begin met augmentatie, in plaats van volledige automatisering. Positioneer de AI als een onvermoeibare junior-analist die plannen voorstelt.

Actie: Integreer de agent in uw Security Operations Center (SOC)-workflow. Wanneer een waarschuwing met hoge ernst optreedt, laat het:

  1. Een samenvatting genereren: "Dit lijkt een ransomware-implementatie op FILE-SRV-02 te zijn op basis van logbestanden X, Y, Z."
  2. Een sequentiële responsplan voorstellen: "Aanbevolen actievolgorde: 1. Isoleren van FILE-SRV-02 van het netwerk. 2. Initiëren van malware-scan op gerelateerde werkstations. 3. Implementeren van een vooraf goedgekeurde patch MS-1234."
  3. Dit presenteren aan een menselijke analist voor een enkele klik goedkeuring.
  4. Na goedkeuring, voer de eerste stap uit en rapporteer terug voor verificatie voordat u verdergaat.

Dit bouwt vertrouwen op en geeft u een controlemechanisme.

Waar u op moet letten

Deze aanpak is krachtig, maar wees realistisch over de beperkingen.

  • Het is geen Zero-Day-schild. Het systeem is getest op historische loggegevens. De prestaties tegen een compleet nieuwe, nog nooit eerder gezien aanval, zijn onbewezen. Het is een briljante responder voor bekende aanvalspatronen, geen alwetende voorspeller.
  • Externe modelafhankelijkheid. Het onderzoeksprototype vraagt soms een grotere, externe AI (zoals GPT-5.2) om hulp wanneer het in de war is. Dit creëert een kost- en latentieafhankelijkheid. Plan uw architectuur zodanig dat dit een fallback is, niet de primaire route.
  • Integratiecomplexiteit. De studie loste de integratie in real-time met alle dreigingsinformatiefeeds of het coördineren van reacties over uiteenlopende systemen (cloud, IoT, OT) niet op. Begin met een beperkt, kritisch systeem (zoals uw Active Directory-servers) om het concept te bewijzen.

Uw volgende stap

Begin met het in kaart brengen van uw herstelstaten. Deze enkele oefening zal!!!!!! gaten in uw eigen responsplaybooks blootleggen en de fundamentele structuur creëren die elke AI - of mens - nodig heeft om coherent te handelen.

Deze week, verzamel uw incidentresponsleider en een senior engineer. Schets de zes staten van detectie tot herstel voor uw meest kritieke asset. U zult waarschijnlijk ontdekken dat uw team het niet eens is over wat "beperking" betekent. Het oplossen van dit menselijke proces is de eerste en meest waardevolle stap naar intelligente automatisering.

Wat is het ene aanvalsscenario dat uw team 's nachts wakker houdt? Hoe zou u "succes" definiëren bij elke fase van het stoppen ervan?

cybersecurity AIincident responsefaster recoverybusiness securityAI for cybersecurity

Reacties

Loading...

Van Onderzoek Naar Resultaat

Bij Klevox Studio helpen we bedrijven om baanbrekend onderzoek om te zetten in praktische oplossingen. Of u nu AI-strategie, automatisering of maatwerksoftware nodig heeft — wij maken complexiteit tot concurrentievoordeel.

Neem Contact Op
Meer artikelen

Verder lezen

unsloth_new_wb_logo
01AI & Machine Learning

Bouw een aangepast AI-model deze week: een praktische gids zonder uitstel

Deze gids laat zien hoe u een taalmodel kunt fine-tunen met uw eigen gegevens in minder dan twee uur. Volg deze stappen om een werkend prototype te bouwen.

Figure 5. Overview of FlowPrefill.
02Technologie

Hoe premium AI-klanten te bedienen zonder dure GPU-tijd te verspillen

Een nieuwe planningsmethode laat u toe om snellere antwoorden te geven op hoogprioritaire verzoeken zonder uw hardware overmatig te dimensioneren. Hier leest u hoe u deze toepast.

Paper figure 1
03AI & Machine Learning

Hoe je je AI-agenten altijd aan de regels laat houden (Elke enkele keer)

Vertrouwen op prompts om AI te controleren is net zoiets als een nieuwe medewerker de kluiscode van het bedrijf geven na een gesprek van vijf minuten. Hier is de bewezen, systematische manier om uw beleid af te dwingen.

Klaar om te beginnen?

Neem Contact OpOnze Diensten