Unit 42, het dreigingsonderzoeksteam van Palo Alto Networks, zet frontier AI in om hackers sneller te vinden en incidenten te beperken. De aanpak gaat vanaf begin mei wereldwijd live in de diensten voor incidentrespons en dreigingsjacht. Het doel is sneller inzicht, minder ruis en kortere hersteltijd voor klanten, ook in Nederland en de EU. Dit raakt aan de Europese AI-verordening (AI Act) en de AVG, vooral voor overheden en vitale sectoren.
Frontier AI versnelt analyse
Unit 42 gebruikt een combinatie van eigen modellen en grote taalmodellen (LLM’s) om dreigingen te duiden. Het systeem vat logboeken samen, herkent patronen en koppelt technieken aan MITRE ATT&CK, een publieke lijst van aanvalstactieken. Analisten krijgen zo sneller een duidelijk incidentbeeld in plaats van losse alarmen.
Bij malware-analyse helpt het model met het beschrijven van gedrag in gewone taal. Het markeert verdachte stappen, zoals laterale beweging of datadiefstal. Dit verkort handwerk, maar de eindbeoordeling blijft bij een mens.
Ook bij phishing en fraude kijkt het algoritme naar stijl en herkomst van berichten. Het vergelijkt tekst en links met bekende campagnes. Zo stijgt de kans dat nieuwe varianten vroeg worden gezien.
Frontier AI verwijst naar de meest geavanceerde AI-systemen van dit moment. Ze kunnen meer taken, met meer context en snelheid, dan eerdere generaties modellen.
Minder ruis in SOC-alarmering
Een Security Operations Center (SOC) bewaakt continu netwerken en systemen. In veel SOC’s is er te veel ruis: duizenden meldingen per dag, waarvan slechts een klein deel echt urgent is. Unit 42 laat AI meldingen clusteren, prioriteren en samenvatten tot minder, maar rijkere cases.
De modellen leren van eerdere incidenten en playbooks. Ze raden vervolgstappen aan, zoals isoleren van een endpoint of intrekken van tokens. Dit versnelt reageren, vooral buiten kantooruren.
Voor bestaande klanten van Palo Alto Networks sluit dit aan op platformen als Cortex voor detectie en automatisering. Organisaties die andere leveranciers gebruiken, kunnen AI-uitkomsten via standaarden (zoals STIX/TAXII) in hun eigen workflow opnemen.
Grenzen en risico’s blijven
AI kan halucineren: het model kan een verkeerde conclusie trekken of bewijs overschatten. Daarom blijft menselijke controle verplicht bij ingrijpende acties. Unit 42 zet drempels in, zoals verklaring per stap en logboek voor elke aanbeveling.
Aanvallers kunnen AI misleiden met tegenvoorbeelden of vergiftigde data. Daarom hoort modelbeveiliging bij het proces: inputfiltering, testsets met lastige randgevallen en hertraining. Ook moeten modellen niet blind vertrouwen op niet-geverifieerde open bronnen.
Volledige automatisering is niet verstandig bij complexe indringers, zoals APT-groepen. AI is hier vooral een versneller voor triage en rapportage. De beslissingen met hoog risico horen bij senior analisten.
Europese regels sturen inzet
Voor EU-klanten gelden de AVG en de AI-verordening. Logdata kunnen persoonsgegevens bevatten, zoals IP-adressen of gebruikersnamen. Dataminimalisatie, versleuteling en bewaarbeperking zijn nodig om rechtmatig te verwerken.
De AI-verordening vraagt om risicobeheer, documentatie en menselijk toezicht. Cybersecurity-ondersteuning valt meestal in de beperkte-risicoklasse. Maar als de AI zelfstandig kritieke infrastructuur aanstuurt, kan het richting hoog risico gaan met strengere eisen.
NIS2, die in 2024-2025 nationaal wordt ingevoerd, dwingt betere detectie en respons af. AI-gestuurde SOC’s kunnen helpen aan aantoonbare paraatheid, zoals 24/7 monitoring, incidentlogging en melding binnen termijnen. Leveranciers moeten duidelijk maken waar data staan en hoe modellen worden getoetst.
Gevolgen voor Nederlandse organisaties
Zorg, overheid en vitale bedrijven moeten vooraf een DPIA uitvoeren als veel persoonsdata worden verwerkt. Leg daarin vast welke data het model ziet, welk doel geldt en wie toegang heeft. Neem ook de foutmarges van het model op en het plan voor menselijk toezicht.
Voor inkoop loont het om te toetsen op integraties met bestaande tooling. Vraag naar export van uitleg en logs, auditrapporten en Europese datalocaties. Let op exitmogelijkheden om leverancierslock-in te voorkomen.
Voor mkb en onderwijs kan een managed dienst van Unit 42 de drempel verlagen. Start klein, bijvoorbeeld met AI voor triage, en meet korting op responstijd. Schaal pas op na bewijs van waarde en naleving van de AVG.
Concurrentie in security-AI
Grote spelers zetten vergelijkbare assistenten in, zoals Microsoft Security Copilot, Google Chronicle AI en CrowdStrike’s generatieve assistent. Het onderscheid ligt in kwaliteit van sensordata, integratie en uitlegbaarheid. Klanten vragen vooral om minder valse meldingen en betere forensische onderbouwing.
Open modellen bieden flexibiliteit, maar vragen meer eigen beveiliging en tuning. Gesloten modellen leveren vaak snellere integratie met het platform van de leverancier. Een hybride aanpak kan werken: open voor rapportage, gesloten voor real-time detectie.
Voor Europa wint transparantie terrein. Heldere modelkaarten, testresultaten en logdelingsopties worden een inkoopcriterium. Dat past bij de geest van de AI-verordening en maakt toezicht eenvoudiger.
