Machinesnelheid, menselijke beslissingen: Cyber van ondernemingen in het tijdperk van door AI geleide kwetsbaarheidsontdekking

"Het risico was er altijd. Wat veranderd is, is hoe snel het gevonden kan worden."

Al meer dan tien jaar draaien de gesprekken over cybersecurity om bekende problemen: onbeveiligde systemen, latente kwetsbaarheden en opgebouwde technische schulden. Dit waren geen hypothetische risico's. Er werden commissies geïnformeerd en routekaarten opgesteld. De onderliggende overtuiging was dat blootstelling zich in menselijk tempo voltrok, waardoor er tijd was om te prioriteren, plannen en te reageren.

In het tijdperk van door AI geleide cyberaanvallen geldt dat geloof niet meer.

Recente ontwikkelingen rond het nieuwe Mythos AI-model markeren een verschuiving, niet alleen in welke risico's er zijn, maar ook in hoe snel ze naar voren komen. Langdurige zwaktes, waaronder aangepaste code, configuratiebeslissingen, geërfde afhankelijkheden en jarenlange architecturale compromittering, kunnen nu continu en uitvoerig worden onderzocht door autonome systemen die op machinesnelheid werken. Het verschil is dat deze systemen geen vermoeidheid, blinde vlekken of afwegingen ondervinden.

Discovery nu sneller dan besluitvorming. Omdat de aannames achter de huidige kwetsbaarheidsbeheerpraktijken en cyberoperationele modellen zijn gebaseerd op menselijke snelheid, zijn ze steeds minder in lijn met de realiteit waarmee organisaties te maken hebben.

Het kantelpunt

Hoewel de technische mogelijkheid nieuw is, is ook de manier waarop deze wordt behandeld nieuw geweest. Toen Mythos de training had afgerond, beperkten de makers bewust de toegang, waardoor het beperkt bleef tot een reeks organisaties die zich op defensief gebruik richtten. Wanneer grenssystemen met voorzichtigheid worden behandeld door hun eigen makers, geeft dat aan dat de balans tussen ontdekking, exploitatie en controle is verschoven.

Tot nu toe is de opkomst van Mythos met voorzichtigheid behandeld, maar die beperking zal waarschijnlijk niet blijvend zijn. Modellen die getraind zijn op vergelijkbare technieken, data en doelstellingen halen snel bij, vaak zonder dezelfde waarborgen of toegangscontroles. OpenAI's Spud en DeepSeek's V4 zouden beide bijna uitgebracht worden en mogelijk vergelijkbare mogelijkheden hebben als Mythos. Binnen deze context van krachtige opkomende modellen is bescherming door beleidsbeslissingen hooguit tijdelijk.

Het resultaat is een wereld waarin kwetsbaarheidsontdekking zich verloopt op machinesnelheid, niet op menselijk tempo.

Wat is er veranderd en wat niet

Sommige basisprincipes zijn intact. Kwetsbaarheden hebben altijd al bestaan in bedrijfsomgevingen, en perfecte code is nooit de norm geweest.

Wat veranderd is, is het venster tussen ontdekking en exploitatie, dat snel is ingestort. Eerst van maanden naar weken, en nu van weken naar uren.

Dit is belangrijk omdat kwetsbaarheidsbeheerprogramma's zijn ontworpen voor een wereld van schaarse bevindingen en menselijk tempo uitbuiting. Die architectuur schaalt niet wanneer AI-modellen kritieke fouten continu kunnen identificeren, valideren en contextualiseren, wat zowel volume als snelheid drastisch verhoogt. 

Waarom dit anders is:

• Discovery snelheid is exponentieel toegenomen.
• De organisatorische paraatheid is niet bij gegaan.
• De verwachtingen vanRegulatory en bestuur stijgen, met een scherpere focus op verantwoording: Wanneer wist you het? Hoe snel handelde you ?

Waar het risico zich nu concentreert

De nieuwste AI-modellen kunnen kritieke kwetsbaarheden vinden en binnen enkele uren manieren om deze te benutten, terwijl de meeste organisaties er nog weken over doen om ze te verhelpen. De groeiende kloof tussen identificatie, herstel en risicoacceptatie is waar het materiële cyberrisico zich nu concentreert.

Deze kloof wordt zelden veroorzaakt door gebrek aan inzicht, maar door organisatorische beperkingen: testcycli, goedkeuringen, deploymentvensters, fragiele legacy-omgevingen en onduidelijke beslissingsrechten. Besluitvorming en uitvoering zijn de beperkende factor geworden bij risicoreductie.

Als gevolg hiervan beginnen de compliance-houding en de werkelijke risicoblootstelling uit elkaar te lopen. Kaders en werkingsritmes die zijn ontworpen voor menselijke snelheidsdreigingen hebben moeite in een wereld met machinesnelheid, waar de "acceptabele" responstijdlijnen van vorig jaar mogelijk geen controle meer doorstaan.

Waarom dit niet alleen een gereedschapsprobleem is

De instinctieve reactie op snellere ontdekking is om snellere tools te kopen. Maar reageren op door AI versnelde kwetsbaarheidsontdekking vereist een veel bredere heroverweging. Dit is een uitdaging voor mensen, processen en technologie.

Naarmate AI ontdekking opschaalt, verschuift de talentenpremium naar het nemen van snelle, bedrijfsbewuste beslissingen op grote schaal. Beveiligingsteams moeten uitgerust zijn om op grote schaal te triageren, de impact van het bedrijfsleven te beoordelen en prioriteiten duidelijk te communiceren aan technologie- en bedrijfsleiders.

Traditionele kwetsbaarheidsbeheermodellen vallen onder continue, grootschalige ontdekking. Kwartaalcycli en statische SLA's verliezen hun relevantie. Organisaties hebben operationele modellen nodig die zijn ontworpen voor continue respons, met expliciete escalatiepaden, duidelijke risicocriteria en de mogelijkheid om binnen 48 uur beslissingen te nemen over kritieke bevindingen.

In de praktijk betekent dit verschuiven:

• Van vinden tot beslissen
• Van kwartaalcycli naar continue respons
• Van scannen tot orkestratie

Gelaagde verdedigingen blijven van belang. Frontier AI kan ontdekking versnellen, maar verdediging in diepte (segmentatie, grensversterking en toegangscontroles) blijft veerkrachtig zijn, zelfs tegen geavanceerde technieken. 

Van snelheid naar snelheid overgaan

De meest veerkrachtige organisaties bewegen snel met doelgerichtheid, geworteld in sterke fundamenten en duidelijke prioriteiten.

In plaats van op elk signaal te reageren, herontwerpen toonaangevende organisaties strategisch kwetsbaarheids- en aanvalsoppervlaktebeheerprogramma's.

Belangrijke vragen zijn onder andere:

• Zichtbaarheid en inventaris: Weet you welke software in jouw omgeving draait, wat erin zit en wie het bezit? Kan you een actuele softwarelijst voor kritieke systemen opstellen?
• Beslissingssnelheid: Kunnen you binnen 48 uur van "nieuwe kritische bevinding" naar "risico geaccepteerd of hersteld" gaan? Wie heeft de bevoegdheid om te beslissen? En werkt het escalatiepad onder druk?
• Remediëringssnelheid: Wat is uw werkelijke gemiddelde tijd om kritieke kwetsbaarheden te verhelpen? Zijn veranderings- en testprocessen ontworpen voor het volume en de snelheid die vooruit liggen?
• Segmentatie en harding: Voor systemen you niet snel kunnen patchen, zijn compenserende controles dan voldoende om de explosieradius te beperken?
• Pipeline-integratie: Is AI-gedreven beveiligingsbeoordeling ingebed in ontwikkelings- en implementatiepijplijnen, niet elk kwartaal toegevoegd?
• Gereedheid van de raad en regelgevende instanties: Kunnen you duidelijk houding, prioriteiten en risicoacceptatiebeslissingen verwoorden naarmate de verantwoordelijkheid toeneemt?
• Soevereiniteit en controle: Voor uw meest kritieke cybercapaciteiten, wie beheerst uiteindelijk de modellen, data, escalatiepaden en vangrails? Als prioriteiten onder druk uiteenlopen, kan uw organisatie dan onafhankelijk handelen en in lijn met Canadese regelgeving en zakelijke verwachtingen?

Deze vragen verleggen het gesprek van tools naar een werkmodel, van snelheid naar snelheid. 

Hoe begin je

De meest effectieve benaderingen om veerkracht op te bouwen zijn pragmatisch en gefaseerd, met een duidelijke focus op wat daadwerkelijk risico's vermindert. Dat gezegd hebbende, moeten de tijdlijnen mogelijk sneller verlopen dan verwacht, omdat geavanceerde AI-mogelijkheden toegankelijker worden door bredere release, snelle replicatie of onbedoelde blootstelling.

Naast de technische stappen die in deze sectie worden beschreven, zijn ook verschillende bijbehorende activiteiten verstandig:

• Herzien uw crisis- en veerkrachtplannen;
• samenwerking binnen de sector zoeken om best practices te delen; en
• Bekijk de verzekeringspolissen van uw organisatie en bevestig de toepasbaarheid ervan.

U wilt misschien ook kapitaal reserveren voor grote sanering in geval van een cyberincident. 

Waar moet ik me nu op richten (de komende 30 dagen)

Begin met duidelijkheid krijgen en de basis aanscherpen. Het doel in de eerste maand is te begrijpen waar youhet meest blootgesteld bent en problemen aan te pakken die het risico snel kunnen laten escaleren.

Stel noodwijzigingen in werking zodat kritieke reparaties niet vastlopen in het proces. Maak een inventaris van je software en ecosysteem van derden om precies je meest kritieke activa (of "kroonjuwelen") en de blootstellingen die het belangrijkst zijn voor je bedrijf te identificeren. Hoewel het Anthropic Glasswing-project ertoe zal leiden dat geselecteerde technologiebedrijven (onderdeel van het weefsel van het internet) hun eigen kwetsbaarheden herstellen, zullen andere organisaties ook eigen-, derdepartij- en open-source software hebben die gerepareerd moet worden. Deze zullen niet de primaire focus van Glasswing zijn.

Versterk identiteitsfundamenten door statische credentials te elimineren en MFA af te dwingen, en vertaal regelgeving en compliance-eisen naar een duidelijk beeld van hoe ze van toepassing zijn op je werkelijke omgeving.

Binnen de komende 90 dagen zult you proactief uw eigen code moeten scannen en corrigeren en enige begrip (of nog beter, garantie) moeten zoeken dat uw andere software- en oplossingsleveranciers hetzelfde doen. Je hoeft niet te wachten op een bredere release van Mythos om AI-gedreven kwetsbaarheidsbeheeroplossingen te integreren, want er zijn nu andere modellen en tools beschikbaar om te you .

Zorg ervoor dat you binnen de eerste 30 dagen prioriteit geeft waar en hoe dit zal gebeuren om je organisatie succesvol te maken. 

Wat we nu moeten aanpakken (de komende 90 dagen)

Zodra you zichtbaarheid hebt, richt je aandacht dan op sanering en schaal. Hier kunnen organisaties betekenisvolle indruk maken op de exposure als ze bewust zijn.

Verwacht dat het volume kwetsbaarheidsontdekking sterk zal groeien en schaal je managementprogramma dienovereenkomstig op. Bouw zichtbaarheid van softwarecomposities op voor kritieke systemen zodat you begrijpt wat er draait en wat er risico loopt. Zet beveiliging eerder in CI/CD-pijplijnen, herbeoordeel de blootstelling van derden via leverancierssystemen en begin proactief interne code te scannen. 

Wat je later moet plannen (de komende 180 dagen)

Met de fundamenten op orde is het tijd om strategisch te resetten en te investeren in capaciteiten die de veerkracht op de lange termijn verbeteren. Denk vooruit en streef ernaar een omgeving te creëren die air-gaped is en de infrastructuur en data die cruciaal zijn voor uw bedrijf kan ondersteunen. Langdurige veerkracht kan het uitbreiden van microsegmentatie omvatten, evenals het bepalen van wat uw "minimum levensvatbare bedrijf" is (de essentiële versie van uw bedrijfsvoering die nodig is om als organisatie te functioneren).

Versterk beveiligingsoperaties met AI, breid zero-trust-architecturen uit met sterke authenticatie en autorisatie, en introduceer continu red teaming en threat hunting. Vernieuw de gereedheid voor incidentrespons zodat teams voorbereid zijn op meerdere, overlappende gebeurtenissen, waaronder materialiteits- en openbaarmakingsoverwegingen. Waar mogelijk, verminder het risico van verouderde of niet-ondersteunde systemen door de explosieradius te beperken via diepteverdediging.

Het resultaat van dit plan is een duidelijk begrip van uw werkelijke risicopositie, meetbare verminderingen van de blootstelling en een praktische weg vooruit om risicobeheer binnen de organisatie te ontwikkelen. 

Handel nu voordat het venster sluit

Geen enkele organisatie zal de structurele asymmetrie tussen aanvallers en verdedigers opheffen. Maar degenen die nu handelen kunnen hun positie materieel verbeteren.

Risk groeit snel wanneer ontdekkingen verder reiken dan de organisatie. Of het nu gaat om toevallige blootstelling, gedeeld onderzoek of een lek, kwetsbaarheidsinformatie kan zich sneller verspreiden dan de responsteams kunnen handelen. In die momenten wordt risico bepaald door hoe snel de informatie zich verspreidt en wie er als eerste bij komt.

Investeer in zichtbaarheid, beslissingssnelheid en gedisciplineerde uitvoering voor een wereld waar tegenstanders continu en op machinesnelheid opereren. Menselijke beslissingen, sneller, dichter bij het bedrijf en met duidelijkere intentie, bepalen wie voorop blijft. 

Hoe Deloitte u kan helpen

Deloitte ondersteunt organisaties van begin tot eind terwijl AI zowel het tempo als de impact van cyberrisico's verandert. Met tientallen jaren ervaring in complexe, gereguleerde ondernemingen helpen wij klanten om kernfundamenten van cyber te versterken, meer zichtbaarheid en context te bieden aan hun meest kritieke activa en afhankelijkheden, en technische blootstelling te vertalen naar duidelijke zakelijke beslissingen. Onze focus ligt op opschalen en automatiseren waar het ertoe doet, het effectief prioriteren van inspanning en het mogelijk maken van snellere, zelfverzekerdere acties om de veerkracht van de organisatie te verbeteren.

Nu AI cyberrisico's blijft verschuiven naar machinesnelheid, zetten we ons in om onze klanten en gemeenschappen samen te brengen om de samenwerking binnen het ecosysteem te versterken. Samen kunnen we de veerkracht en paraatheid verbeteren naarmate cyberdreigingen blijven evolueren.