Wat als AI de beste hacker ter wereld wordt?
In deze aflevering van 52 Topics gaan we in gesprek met Maxim Deweerdt, Solution Architect bij het gespecialiseerde cybersecuritybedrijf NVISO. Het gesprek draait rond een centrale vraag: hoe verandert AI de regels van het spel in cybersecurity? En hoe bereid je je organisatie daar vandaag al op voor?
Snelle links 🔗:
Mythos: het ChatGPT-moment voor cybersecurity
Anthropic liet onlangs de wereld kennismaken met Mythos, een nieuw AI-model dat specifiek sterk scoort op het gebied van kwetsbaarhedenonderzoek en exploitatie. Maxim omschrijft het als het “ChatGPT-moment” voor de cybersecuritywereld: een doorbraak die iedereen wakker schudt.
Â
Wat maakt Mythos zo bijzonder? Het model werkt niet alleen als hulpmiddel bij het zoeken naar kwetsbaarheden, het kan ook zelfstandig exploits schrijven, bouwen en uitvoeren. Zoals een echte penetration tester of red teamer zou doen, maar dan autonoom en op grote schaal.
"Ze hebben stel je voor de beste hacker in de wereld. Die minds, dat brain hebben ze er toch wel in geslaagd om in een model te gieten."
In een testomgeving die volledig was gehardend met de nieuwste patches en als “textbook secure” werd beschouwd, slaagde Mythos er toch in om uit te breken. Via 32 opeenvolgende stappen vond het model zijn weg naar buiten. Geen eerder model slaagde hierin.
Â
Nog opmerkelijker: het model vond een kwetsbaarheid in OpenBSD die al 20 jaar onopgemerkt aanwezig was. Mythos zoekt niet alleen bekende zwaktes op, het is in staat om zelf nieuwe te ontdekken.
- Het model is te krachtig om zonder voorzorgen vrij te geven
- Via Project Glasswing krijgen grote techbedrijven al toegang om hun broncode te scannen en te patchen
- Anthropic wil vermijden dat het model in verkeerde handen valt voordat verdedigingsmechanismen klaarstaan
Het einde van traditioneel patch management
De komst van modellen zoals Mythos heeft directe gevolgen voor hoe organisaties omgaan met kwetsbaarheden. Het klassieke model, waarbij een scan op vaste intervallen plaatsvindt en patches na uitgebreid testen worden uitgerold, voldoet niet meer.
"De standaard van wekelijks of maandelijks scannen en dan wachten tot we eerst testen of er niks kapotgaat? Vergeet het."
Maxim introduceert het concept van attack paths: het visueel in kaart brengen van het pad dat een aanvaller zou afleggen om bij de kroonjuwelen van een organisatie te geraken. Door die paden te kennen, weet je welke systemen en kwetsbaarheden als eerste geprioritiseerd moeten worden bij patching, ongeacht hun technisch risicoscore.
Â
Drie pijlers van modern kwetsbaarhedenbeheer:
Asset visibility
Alles wat je niet weet dat je hebt, kan aangevallen worden zonder dat je het merkt
Business impact
Hoe kritiek is dit systeem voor ons bedrijf?
Attack path analyse
Welke kwetsbaarheden liggen op het pad naar onze kroonjuwelen?
Snelle detectie boven perfecte preventie
Een van de krachtigste inzichten uit het gesprek: de focus op preventie alleen is niet langer voldoende. Zeker niet in een tijdperk waarin AI-modellen razendsnel nieuwe aanvalswegen kunnen bedenken en uitvoeren.
Â
Maxim pleit voor een verschuiving in mindset. Niet “hoe zorgen we dat niemand binnenkomt”, maar “hoe zorgen we dat we het zo snel mogelijk merken als iemand binnenkomt en hoe handelen we meteen?”
"Iemand zal binnengeraken op veel meer manieren dan het vandaag kan. De vraag is hoe snel je dat detecteert en hoe snel je reageert."
Die rapid response is geen luxe meer. Met AI die autonoom en snel kwetsbaarheden uitbuit, is elke dag vertraging een risico. Preventie blijft nodig, maar detectie en respons worden de échte onderscheidende factor.
De mens als zwakste schakel: een ander perspectief
Phishing-tests, awareness-campagnes, gebruikers die op de vingers getikt worden wanneer ze op een foute link klikken. Het zijn vertrouwde instrumenten in het cybersecurity-arsenaal. Maar Maxim daagt dit patroon uit.
"Ik vind dat cybersecurity zou moeten zorgen dat de gebruiker op een veilige manier fouten kan maken."
Zijn standpunt is helder: stop met het culpabiliseren van gebruikers. Als iemand toch op een phishing-link klikt, zelfs als het wachtwoord wordt meegegeven, dan zijn er vandaag voldoende technische maatregelen om de schade te beperken zonder de gebruiker te bestraffen.
Â
De verantwoordelijkheid ligt bij de organisatie en haar technische inrichting, niet bij de individuele medewerker. Social engineering en fysieke beveiliging blijven reële risico’s, maar de oplossing zit in robuuste systemen, niet in eindeloze bewustmakingssessies.
AI-agents, governance en identiteitsbeheer
Organisaties beginnen steeds meer AI-agents in te zetten die autonoom taken uitvoeren. Dat brengt een nieuw vraagstuk mee: hoe beheers je de rechten en acties van een entiteit die geen mens is?
Â
Microsoft loopt hier op in met het concept van non-human identities in hun governance-model voor Copilot 365 en Azure Foundry. Een agent krijgt een eigen identiteit, gebonden aan dezelfde compliance-regels als een menselijke medewerker. Zo ontstaat een “risky agent” naast de bekende “risky user”.
"Een agent die vandaag taken doet die eigenlijk een digitale medewerker is, geef dat gewoon een identiteit. Die entiteit volgt gewoon alles wat vandaag in uw governance zit."
Een ander aandachtspunt: als een incident response agent bij elke actie goedkeuring moet vragen, verliest hij zijn waarde. De organisatie moet vooraf duidelijke guardrails instellen: welke data mag een agent raadplegen, welke acties mag hij uitvoeren, en waar stopt zijn autonomie?
Risico kwantificeren op een manier die telt
Klassieke risicomodellen werken met kleurcodes: rood, oranje, groen. Hoog, medium, laag. Maar wat betekent “medium risk” concreet voor een organisatie? Maxim vindt deze aanpak te abstract om echt bruikbaar te zijn.
Â
Zijn voorkeur gaat naar een meer kwantitatieve benadering: druk risico’s uit in percentages en in geldbedragen.
"20% kans dat we €500.000 verliezen als dit gebeurt. Dan wordt het gesprek helemaal anders dan 'we hebben hier een medium risk'."
Ook de perceptie van “wij zijn niet interessant genoeg voor hackers” is een gevaarlijke misvatting. Middelgrote organisaties zijn net aantrekkelijk: groot genoeg om geld uit te halen, klein genoeg om onder de radar te vliegen. Een hacker is een opportunist. Wie het makkelijkste doelwit is, wordt het vaakst getroffen.
Gerelateerde artikelen
Klaar om uw cybersecuritystrategie te versterken?
Onze experts staan voor u klaar om u te begeleiden en te adviseren op maat van uw organisatie.