Cyberbeveiliging

Cybersecurity verschuift van detectie naar AI‑veerkracht

mm
Gepubliceerd op

Met vrijwel alle activa, bedrijfsactiviteiten of waardevolle gegevens die digitaal worden vastgelegd, is continue toegang tot deze gegevens en IT‑systemen essentieel.

Dit is waar een afpersingsmethode genaamd ransomware op inspeelt. Het infiltreert een elektronisch apparaat of netwerk, sluit gebruikers uit van hun gegevens (meestal via encryptie) en eist vervolgens losgeld om de decryptiesleutel te leveren zodat de toegang wordt hersteld.

Ransomware is een snelgroeiende criminele activiteit, met wereldwijde schade die naar verwachting tegen 2031 jaarlijks meer dan USD 265 miljard zal bedragen.

De kwestie wordt kritiek, aangezien moderne ransomware‑campagnes nu niet alleen individuen, maar ook bedrijfsnetwerken, gemeentelijke systemen en kritieke infrastructuursectoren zoals gezondheidszorg, financiën en energie aanvallen.

“In 2024 registreerde de gezondheidszorgsector de hoogste kosten van datalekken van alle industrieën, gemiddeld USD 10,93 miljoen per incident, veroorzaakt door langdurige uitvaltijd, HIPAA‑gerelateerde boetes en de herstel van beschermde gezondheidsinformatie.”

Deze incidenten zijn ernstiger en omvatten grotere sommen losgeld, hoewel 88 % van alle ransomware‑incidenten gericht is op kleine en middelgrote ondernemingen (KMO’s).

“Organisaties die losgeld betaalden, rapporteerden een gemiddelde betaling van USD 2 miljoen, een stijging ten opzichte van USD 400.000 in 2023. Naast de directe kosten overschrijdt de gemiddelde uitvaltijd van een organisatie na een ransomware‑aanval nu drie weken, wat leidt tot samengestelde operationele en productiviteitsverliezen over bedrijfsunits.”

Ransomware‑methoden zijn steeds geavanceerder geworden, waardoor oudere, traditionele handtekening‑gebaseerde en louter discriminerende detectiebenaderingen geleidelijk ontoereikend worden. Het traceren van fondsen is ook moeilijker geworden, aangezien het losgeld tegenwoordig meestal in cryptocurrency moet worden betaald.

In het algemeen is AI zowel een probleem als een kans voor cybersecurity. Het kan helpen betere nep‑content voor phishing te genereren, de efficiëntie van social engineering verbeteren en nieuwe faalpunten in een systeemarchitectuur creëren.

Een nieuwe publicatie stelt ook dat generatieve AI kan helpen de cybersecurity‑dreigingen te verlichten. En dat dit vooral geldt bij ransomware‑aanvallen.

Het is geschreven door een onderzoeker aan de University of Cincinnati in het Journal of Information Security and Applications1, onder de titel “Rethinking ransomware defense in the age of generative AI”.

Hoe werkt ransomware?

Ransomware 101

De meeste ransomware zal na een beveiligingsinbreuk de gegevens vergrendelen via encryptie, waardoor de hacker een apparaat of netwerk kan binnendringen. In sommige gevallen kan het zelfs de gebruikersinterface van het apparaat volledig vergrendelen, in plaats van individuele bestanden te versleutelen.

De losgeldvraag wordt meestal gedaan met een eis tot betaling in cryptocurrency, met een strikte tijdslimiet om de gegevens te ontcijferen, waarna ze voor altijd in die staat blijven zitten.

In sommige gevallen, aangeduid als dubbele & triple afpersing, wordt gegevensencryptie gecombineerd met dreigingen om gestolen gegevens publiekelijk te lekken, of zelfs om uw klanten en partners aan te vallen als het losgeld niet wordt betaald.

Dit kan vooral problematisch zijn voor vertrouwelijke gegevens zoals bedrijfsinformatie, waardevolle intellectuele eigendommen, medische informatie van patiënten, enzovoort. En betalen voor decryptie, of decryptie op andere manieren bereiken, verwijdert de gestolen gegevens niet van de computers van de hacker, wat betekent dat deze dreiging blijft bestaan zelfs na decryptie.

In het algemeen adviseren cybersecurity‑experts en wetshandhavingsinstanties om geen losgeld te betalen, omdat dit geen garantie biedt voor het herstel van de gegevens en het slachtoffer vaak als een “goede” doelwit voor vervolgaanvallen kan bestempelen.

Verliezen door ransomware bestaan niet alleen uit het uiteindelijke losgeld, maar ook uit uitvaltijd en bedrijfsverstoring, reputatieschade, kostbare herstelprocedures en extra benodigde beveiliging, enzovoort.

“Organisaties die ransomware‑incidenten ervaren, krijgen vaak wantrouwen van klanten, investeerders en regelgevers. Klanten zien datalekken als een falen van due diligence, wat leidt tot verminderde loyaliteit en verhoogde churn. Investeerders kunnen de governance‑volwassenheid en risicobeheer van het bedrijf in twijfel trekken, wat bijdraagt aan waardedalingen.”

Hoe ransomware te voorkomen

Naast de generatieve AI‑methoden die in dit artikel worden voorgesteld, moeten enkele praktijken worden geïmplementeerd om de risico’s en de ernst van ransomware‑aanvallen te verminderen.

De eerste is een algemene adoptie van goede cybersecurity‑praktijken en voldoende financiering voor IT‑teams en training voor cybersecurity‑vaardigheden.

De tweede is het up‑to‑date houden en patchen van alle software, met een faalpunt ergens, wat potentieel kan leiden tot een toenemende kwetsbaarheid voor het hele systeem.

De derde is aandacht besteden aan beveiligde toegang en menselijke fouten, en training bieden om deze te vermijden, aangezien veel ransomware‑aanvallen beginnen met social engineering en het overtuigen van ten minste één gebruiker om een inbraak voor de hackers te openen.

Tot slot kan een serieus beleid voor back‑up en data‑archivering de impact van een ransomware‑aanval sterk verminderen door bijna actuele gegevens beschikbaar te hebben voor herstel.

Generatieve AI gebruiken om ransomware te bestrijden

De huidige aanpak van ransomware richt zich op handtekening‑gebaseerde antivirus‑tools, statische regel‑engines, of incorporeert slechts gedeeltelijk traditionele machine‑learning en deep‑learning modellen.

“Deze benaderingen vertrouwen sterk op gelabelde datasets en vooraf gedefinieerde aanvalssignaturen, waardoor organisaties blootgesteld blijven aan zero‑day exploits en polymorfe malware die hun code continu aanpassen om zelfs meerlagige detectiesystemen te omzeilen.”

Generatieve AI, hetzelfde type AI dat wordt gebruikt door systemen zoals ChatGPT, kan helpen deze beperkingen te verlichten. In het bijzonder kunnen verschillende soorten generatieve AI’s worden gebruikt:

  • Grote taalmodellen (LLM’s).
  • Generatieve adversariële netwerken (GAN’s).
  • Variationale auto‑encoders (VAE’s).
  • Diffusiemodellen.

Wat elk GenAI‑systeem kan doen?

LLM’s kunnen IT‑specialisten en gewone gebruikers helpen bij het analyseren van grote hoeveelheden systeemlogboeken, incidentrapporten en threat‑intelligence feeds om opkomende aanvalspatronen te identificeren of geautomatiseerde responsaanbevelingen te genereren.

GAN’s genereerden “nep‑” ransomware‑aanvallen die kunnen worden gebruikt om zich voor te bereiden op de echte zaak. Ze kunnen realistische ransomware‑varianten synthetiseren om detectie‑algoritmen te stress‑testen en opnieuw te trainen.

VAE’s kunnen latente gedragsrepresentaties leren die helpen onderscheid te maken tussen kwaadaardige en onschuldige systeemactiviteit.

Samen kunnen GAN’s en VAE’s helpen synthetische ransomware‑samples en onschuldige procesdata te genereren, waarmee de aanhoudende uitdaging van gegevensschaarste en klasse‑onevenwichtigheid in cybersecurity‑datasets wordt aangepakt.

In de praktijk zijn vertrouwen en interpreteerbaarheid cruciaal voor adoptie in echte security‑operations‑centers. Daarom moeten GenAI‑gebaseerde systemen niet alleen bedreigingen identificeren, maar ook hun output rechtvaardigen op een manier die begrijpelijk is voor menselijke analisten.

Implementatie & extra risico’s

Het implementeren van deze systemen vereist gekwalificeerde expertise, aangezien ze gevoelig zijn voor datakwaliteit, computationele latentie en retraining‑kosten.

Het moet ook worden opgemerkt dat deze systemen met zorg en passende governance‑maatregelen moeten worden geïmplementeerd.

Extra risico’s omvatten model‑extraction‑aanvallen, prompt‑manipulatie van LLM‑ondersteunde beveiligingstools, en adversarial poisoning van telemetrie die tijdens retraining‑cycli wordt gebruikt, die allemaal de betrouwbaarheid van AI‑ondersteunde cyberverdediging kunnen ondermijnen.

Dezelfde technologie die kan helpen tegen ransomware‑aanvallen kan ook worden gemilitariseerd om phishing‑campagnes te automatiseren, polymorfe malware te creëren, of legitiem systeemgedrag na te bootsen om detectie te ontwijken.

Beleidsaanbevelingen

Het gebruik van generatieve AI voor cybersecurity moet worden opgenomen in het bredere kader van AI‑beleid, zowel op bedrijfs‑/instellingsniveau als nationaal niveau.

Dit omvat ethisch toezicht en beleidsafstemming, waarbij wordt gegarandeerd dat AI‑gebruik voldoet aan privacy‑, beveiligings‑ en verantwoordingsnormen.

Technische aandacht moet ook worden besteed aan veerkrachtplanning, inclusief herstel‑testen, back‑uppolicy’s en systeem‑redundantie.

Bestaande kaders moeten helpen bij het begeleiden van de implementatie van GenAI in ransomware‑ en bredere cybersecurity‑inspanningen, zoals ISO/IEC 42001, NIST AI Risk Management Framework en EU AI Act‑compliance richtlijnen.

Organisatorische capaciteit moet ook in overweging worden genomen, met een progressieve integratie van generatieve AI op het niveau van cybersecurity‑expertise dat in een bepaalde organisatie aanwezig is, de belangrijkste beperkende factor.

Over het geheel genomen is de ideale strategie er een van continu leren, waarbij organisatorische kennis van incidenten wordt geïntegreerd in AI‑retraining‑pijplijnen.

Investeerders conclusie

Naarmate AI‑technologie vordert naast de steeds meer voorkomende digitalisering, doen zowel de dreigingen als de tools om ze tegen te gaan mee.

Als geheel verschuift ransomware‑bescherming van endpoint‑detectie naar bredere AI‑geïntegreerde veerkrachtplatformen die detectie, simulatie, governance en mens‑in‑de‑lus‑respons combineren.

Dit zou moeten leiden tot een geïntegreerd, holistisch cybersecurity‑systeem dat dergelijke AI‑tools soepel kan integreren, en de AI‑modellen van de data en omgeving voorziet die ze nodig hebben om hun volledige potentieel te benutten.

Investeren in AI-gebaseerde cybersecurity

Crowdstrike

(CRWD )

CrowdStrike werd opgericht in 2012 met een cloud‑first benadering van cybersecurity, met een sterke focus op B2B‑markten.

CrowdStrike’s vroege stap naar de cloud stelde het in staat om voorop te lopen bij het beschermen van dit type gegevens, en bleek een groot concurrentievoordeel om haar groei te stimuleren naarmate steeds meer bedrijven overstapten van zelfbeveiligde, on‑site servers naar cloud‑servers.

Een belangrijk punt van CrowdStrike’s aanbod is dat het in een cloud‑omgeving samenbrengt wat voorheen een extreem gefragmenteerd landschap van beveiligingsoplossingen was die met elkaar geïntegreerd moesten worden. Het bedrijf kan beveiliging bieden aan alle niveaus van de organisatie, van individuele apparaten tot de volledige IT‑infrastructuur van een bedrijf.

Omdat cybersecurity iets is dat diep geïntegreerd moet worden in de bedrijfsvoering van een bedrijf, is het kiezen van een cybersecurity‑leverancier een langetermijnbeslissing.

Dit resulteert in zeer voorspelbare inkomsten voor CrowdStrike, met een bruto‑retentie van 98 % van haar gebruikersaccounts. In H2 2026 verwacht het bedrijf een groei van 40 % van de netto‑nieuwe ARR (annual recurring revenues).

Het bedrijf is nu een vroege speler in AI‑agent‑gedreven cybersecurity, net zoals het in het verleden een vroege speler was in cloud‑gebaseerde cybersecurity, en heeft al agent‑gedreven verdediging op alle niveaus van zijn systemen geïntegreerd.

Een belangrijk element zal ook zijn om beveiliging te bieden aan AI‑agents die door gebruikers voor persoonlijke en zakelijke taken worden gebruikt. Terwijl ze de productiviteit verhogen, vormen deze agents ook een nieuw aanvalsvector voor hackers en malware, en systemen zoals die van CrowdStrike zullen steeds meer een must‑have worden om het gebruik van AI‑agents te beveiligen.

Al met al biedt dit het bedrijf een enorme groeikans, vooral omdat het een dominante positie heeft in het cloud‑cybersecurity‑segment, dat het meest waarschijnlijk de schaal en kwaliteit van data levert die nodig zijn om generatieve AI en andere AI‑technologieën effectief in te zetten voor digitale veiligheid.

Laatste CrowdStrike (CRWD) aandelen nieuws en ontwikkelingen

Gerefereerde studie

1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. Volume 101, september 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547

mm

Jonathan is een voormalig onderzoeker in de biochemie die werkte aan genetische analyse en klinische onderzoeken. Hij is nu een aandelenanalist en financieel schrijver met een focus op innovatie, marktcycli en geopolitiek in zijn publicatie The Eurasian Century.