Computerscherm waarop een programma draait
Inzicht8 juli · 21:047 min leestijd

Als een AI-agent zelfstandig kan hacken en gijzelen, is jouw incidentrespons te traag ontworpen

In de eerste door een AI-agent gedraaide ransomware herstelde het model een mislukte login in 31 seconden, zonder mens. Respons die op uren rekent, verliest. Wat standhoudt is architectuur vooraf, niet oplettendheid achteraf.

Het verontrustendste getal in de eerste volledig door een AI-agent gedraaide ransomware-aanval is niet 1.342. Zoveel databaseconfiguraties versleutelde het model voordat het de oorspronkelijke tabellen weggooide. Het getal dat je wakker zou moeten houden is 31. Toen een door de agent aangemaakt achterdeuraccount niet wilde inloggen, stelde het binnen 31 seconden zelf de oorzaak vast, koos een andere aanpak en probeerde het opnieuw, met succes. Geen mens die tussenbeide kwam. Geen incidentrespons-team ter wereld werkt op die snelheid.

Mijn stelling is simpel. De cyberbeveiliging van het gemiddelde MKB is nog altijd ontworpen rond een menselijke klok. De aanname eronder: een aanval duurt uren tot dagen, en er zit een mens achter die aarzelt, moe wordt en fouten maakt. Nu een agent die hele keten zelf afdraait, is niet de malware je grootste risico, maar díe aanname. Een verdediging die leunt op reageren, heeft al verloren voordat iemand de melding openklikt.

Autonome AI-ransomware breekt de kernaanname onder klassieke beveiliging: dat je tijd hebt om een aanval op te merken en te stoppen. Een agent scant, exploiteert en versleutelt in één aaneengesloten reeks, sneller dan een alarm een mens bereikt. Daardoor verschuift de echte verdediging van reageren naar architectuur: niet sneller opmerken, maar de zetten die een aanvaller nodig heeft van tevoren onmogelijk maken.

De klok waar je verdediging op draait, bestaat niet meer

Bijna elke beveiligingsaanpak die je kent, koopt tijd. Een SOC dat meldingen bekijkt, een back-up die je 's nachts terugzet, een leverancier met een reactie-SLA van vier uur: allemaal gaan ze ervan uit dat er een raampje zit tussen inbraak en schade waarin een mens kan ingrijpen. Dat raampje krimpt al jaren. De gemiddelde 'breakout time' van cybercrime, de tijd tussen een eerste voet aan de grond en het uitwaaieren over het netwerk, is gedaald tot 29 minuten, 65 procent sneller dan een jaar eerder, met een snelst gemeten tijd van 27 seconden. En versleutelen zelf gaat hard: in een vergelijkend onderzoek lag de mediane tijd om een systeem te versleutelen rond de 42 minuten, met de snelste familie op zo'n zes.

Zet daar de realiteit van een klein bedrijf naast. Geen 24/7-bewaking, hooguit een uitbestede IT-partij die overdag reageert, en in de praktijk vaak het model dat ik het vaakst tegenkom: we merken het als er iets stuk is. Dat is een reactietijd van uren, soms dagen.

En nu draait er een tegenstander die niet in uren denkt maar in seconden. Toen een AI-agent voor het eerst de complete afpersingsketen van inbraak tot versleuteling in één run zelf uitvoerde, telden onderzoekers ruim 600 doelgerichte acties op rij, inclusief die zelfcorrectie van 31 seconden. Als de aanval klaar is voordat je melding is gelezen, is elke euro die je in sneller reageren hebt gestopt, aan de verkeerde kant van het probleem uitgegeven. Je kunt een machine niet aftroeven op reactiesnelheid. Dat is geen kwestie van beter je best doen; het is rekenkunde.

"Wij zijn te klein om een doelwit te zijn" was altijd al een economische aanname

De tweede aanname die breekt, hoor ik in bijna elk gesprek met een ondernemer: wij zijn te klein, er valt bij ons niks te halen. Daar zit een verborgen logica onder. Een gerichte aanval kostte tot nu toe een vaardige mens en uren handwerk, en die tijd is duur. Dus richtte een aanvaller zich op doelwitten waar de buit de moeite loonde. Klein zijn was bescherming, niet omdat je onzichtbaar was, maar omdat je niet rendabel was.

Autonomie haalt precies die schaarste weg. Wat een expert kostte, draait nu als een model tegen machinekosten, en dat kun je duizend keer tegelijk loslaten. Het is geen toeval dat dezelfde jaarcijfers ook een stijging van 89 procent in aanvallen door AI-gedreven tegenstanders laten zien. En het doelwit in de eerste agent-aanval was veelzeggend gewoon: een verouderde, aan het internet blootgestelde installatie van een AI-tool, precies het soort ding dat een klein bedrijf snel opzet voor een demo en daarna vergeet. De vijf grote cyberinlichtingendiensten van de Five Eyes vonden het nodig om in een zeldzame gezamenlijke verklaring te waarschuwen dat krachtige AI-aanvallen maanden weg zijn, geen jaren, met als boodschap aan bestuurders: handel nu. Als een reactiemodel al te traag is voor de mens achter een aanval, wordt het ronduit zinloos zodra de aanvaller zichzelf kan vermenigvuldigen.

Wat wél standhoudt is architectuur, niet oplettendheid

Als je een machine niet kunt aftroeven op snelheid, dan is de verdediging die overblijft er een die niet afhangt van reageren. Je haalt de zetten weg die een aanvaller nodig heeft, voordat er iemand aanklopt, mens of agent. Dat klinkt abstract, dus maak ik het concreet aan de aanval zelf. De agent kwam binnen via een lek waar ruim een jaar een patch voor beschikbaar was en dat al maanden op de lijst van actief misbruikte kwetsbaarheden stond. Hij vond een opslagdienst die nog op het standaardwachtwoord stond. Hij sprong van de ene machine naar de volgende omdat niets die sprong tegenhield.

Stuk voor stuk zijn dat dingen die je vooraf dichttimmert, niet achteraf detecteert. Een gepatchte tool heeft geen voordeur. Credentials die gescheiden zijn van processen die vanaf het web bereikbaar zijn, leveren niets op als zo'n proces wordt gekraakt. Egress-controle, die voorkomt dat een besmette host zomaar naar buiten belt of een interne database bereikt, breekt precies de pivot die deze agent maakte. Wie een gestructureerde manier wil om dit soort ketens dicht te zetten, vindt die in een aanpak om je AI-stack tegen supply chain-aanvallen te beveiligen en in de vijf lagen die je zelf kunt nalopen. Dat zijn geen detectiemaatregelen. Het zijn maatregelen die maken dat er niks te ketenen valt.

Hier zit ook de ironie die je moet zien. Dezelfde autonomie die een AI-agent op je eigen servers zo waardevol maakt, maakt hem in verkeerde handen zo gevaarlijk. De agent die jij inzet om werk over te nemen, en de agent die een aanvaller inzet om jou leeg te halen, vragen dezelfde discipline: behandel je AI-infrastructuur als productiesoftware, met dezelfde patchdruk, wachtwoordhygiëne en toegangsscheiding die je op je financiële systeem loslaat. Doe je dat niet, dan is de flow-builder die je voor het gemak even open liet staan, straks de voordeur.

Om eerlijk te zijn: deze aanval was niet zo autonoom als de kop suggereert

Het sterkste tegenargument komt van de onderzoekers zelf. Toen de eerste opwinding was gezakt, verduidelijkte beveiligingsbedrijf Sysdig dat een mens nog altijd het doelwit koos, de aanvalsinfrastructuur opzette en de vooraf gestolen inloggegevens aanleverde. Alleen de technische uitvoering liep zelfstandig. En geen van de gebruikte trucs was nieuw: een oud lek, een standaardwachtwoord, een blootgestelde database. Het blijft dus een hybride dreiging met een hoge instapdrempel, en dezelfde basishygiëne die het origineel had gestopt, breekt ook deze variant. Waarom dan je hele beveiligingsmodel omgooien?

Dat is een eerlijk punt, en ik neem het serieus. Maar het weerlegt mijn stelling niet, het bevestigt hem. Kijk wat het tegenargument precies zegt: reageren had deze aanval niet gestopt, alleen vooraf ingrijpen wel. Dat is exact mijn punt. En de menselijke schakels die nu nog resten, doelwitkeuze, opzet, toegang, zijn precies de stappen die als volgende worden geautomatiseerd. Daarom waarschuwen inlichtingendiensten in maanden, niet in jaren. "Basishygiëne is genoeg" en "je reactiemodel is achterhaald" zijn niet twee tegengestelde standpunten. Het is dezelfde zin, twee keer gezegd. Zelfs het versleutelonderzoek dat de snelheid mat, concludeerde dat je links van de knal moet ingrijpen met patchen, segmentatie en meervoudige authenticatie in plaats van te vertrouwen op detectie achteraf.

De machine wacht niet tot maandag

Terug naar die 31 seconden. Het model werd niet moe, ging niet naar huis, wachtte niet op iemand die de melding zou zien. Dat is de verschuiving waar het echt om draait, en die groter is dan één ransomware-familie. Beveiliging stopt met een vraag te zijn over hoe snel je kijkt, en wordt een vraag over wat je al onmogelijk hebt gemaakt.

De MKB'er die de volgende aanval overleeft, is niet degene met het mooiste dashboard of de kortste reactie-SLA. Het is degene die minder zetten op het bord had laten staan. Reageren is menselijk, en dat is precies het probleem. De verdediging die het houdt tegen een tegenstander zonder klok, is de verdediging die al klaar stond voordat hij aanklopte.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Beveiliging in het ontwerp

Ik denk met je mee, ontwerp en bouw AI-agents en zelf-gehoste systemen zo dat de zetten die een aanvaller nodig heeft er simpelweg niet zijn: toegang gescheiden, credentials afgeschermd, alles als productiesoftware behandeld. Van eerste opzet tot een systeem dat live staat.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Een AI-agent draait nu zelf de complete ransomware-aanval
Nieuws
5 min

2 jul 12:33

Een AI-agent draait nu zelf de complete ransomware-aanval

Voor het eerst is gedocumenteerd dat een AI-agent zelfstandig een volledige ransomware-aanval uitvoert. Sysdig volgde JADEPUFFER, dat via een oud Langflow-lek inbrak en een productiedatabase versleutelde. Een governance-vraag voor elk bedrijf met AI-agents.

Verkopen op bol.com en Amazon, of een eigen webshop: waar je marge écht blijft
Inzicht
7 min

7 jul 13:04

Verkopen op bol.com en Amazon, of een eigen webshop: waar je marge écht blijft

Elke verkoop op bol.com of Amazon voelt als winst. Maar een marktplaats is een verkoopkanaal, geen margestrategie: je koopt bereik en huurt je klant. Wanneer je marktplaats, eigen kanaal of allebei kiest, in één helder kader.

Broncode-escrow en documentatie-overdracht bij AI-geschreven maatwerksoftware: een checklist
Gids
8 min

2 jul 13:05

Broncode-escrow en documentatie-overdracht bij AI-geschreven maatwerksoftware: een checklist

Je maatwerksoftware werkt, maar zit je vast aan een enkele bouwer? Zo leg je broncode-eigendom, escrow, verificatie en documentatie-overdracht vast, zodat AI-geschreven software ook zonder de maker verder kan.

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt
Gids
8 min

1 jul 17:45

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt

Vendor lock-in is de situatie waarin overstappen zo duur of ingewikkeld is dat je vastzit. Wat het is, hoe het eruitziet per softwarecategorie, en een zelftest plus beslisboom naar je volgende stap.

AI als overdrachtswaarde: waarom een bedrijf zonder jou meer waard is
Inzicht
7 min

28 jun 15:03

AI als overdrachtswaarde: waarom een bedrijf zonder jou meer waard is

De vaardigheid die je vandaag onmisbaar maakt, maakt je bedrijf morgen goedkoper. Waarom overdraagbaarheid de grootste verborgen hefboom op je bedrijfswaarde is, en hoe AI die opbouwt in plaats van ondermijnt.

AI-kwaliteitscontrole en predictief onderhoud in de maakindustrie
Gids
8 min

27 jun 13:05

AI-kwaliteitscontrole en predictief onderhoud in de maakindustrie

De camera boven je lijn en de sensoren in je machines produceren al genoeg data voor AI. Zo zet je in vijf stappen kwaliteitscontrole en predictief onderhoud op, zonder data-wetenschapper, van eerste pilot tot een onderhoudsschema dat zichzelf bijwerkt.