Een exclusief kijkje in het geheime cyber inlichtingencentrum van Microsoft

Foto AP

In een stil grijs gebouw monitort Microsoft dagelijks 100 biljoen signalen om wereldwijde cyberaanvallen te detecteren, waarmee het zichzelf positioneert om de strijd tegen AI-beveiliging te leiden, schrijft Ynet.

Seattle is het grootste deel van het jaar een grijze, regenachtige stad, gelegen in een uithoek van de VS, bijna op de grens met Canada. Er zijn geen historische monumenten of gerenommeerde culturele instellingen, en de belangrijkste toeristische attractie - de Space Needle - streeft ernaar de Eiffeltoren van de stad te zijn, maar is slechts half zo hoog. Toch herbergt deze plek een van de grootste cyberinlichtingencentra ter wereld, misschien wel het grootste van allemaal.

Dit is wat de "Digital Crimes Unit" (DCU) wordt genoemd - een centrum dat al het dataverkeer over het wereldwijde netwerk monitort. Het wordt beheerd door Microsoft, niet het eerste bedrijf waar je aan denkt in de context van cyberbeveiliging.

Het is de moeite waard om aan dit idee te wennen: Microsoft is bezig met een reorganisatie om cyberbeveiliging serieus te nemen, met een sterke focus op de verdediging tegen op AI gebaseerde cyberaanvallen, die een tastbare en directe bedreiging vormen.

Tijdens de Ignite-conferentie vorige week in San Francisco presenteerde Microsoft een uitgebreide end-to-end cybersecurity showcase. Het bedrijf upgradede bestaande systemen, introduceerde nieuwe en ontwikkelde een enorm platform dat klanten de boodschap geeft: vergeet oude cybersecuritybedrijven, nieuwe startups en opkomende bedreigingen – laat het maar aan ons over. Elk aspect, elke zorg en elke nieuwe behoefte wordt op ons platform afgehandeld. Microsoft is geen bedrijf dat technologische doorbraken brengt. Van de tijd van DOS en BASIC, via Windows, Excel, Word en Internet Explorer, tot AI Copilot – Microsoft neemt ideeën van anderen over.

Laat het maar aan ons over. Ignite-conferentie. Foto Microsoft

Wat het bedrijf echter uitzonderlijk goed doet, is de meest veelbelovende technologiesectoren met het grootste commerciële potentieel identificeren en daar voluit op inspelen – soms in samenwerking met bestaande bedrijven, soms ten koste van hen. Zo word je een bedrijf dat $ 3,5 biljoen waard is.

En dit alles vormt de basis voor de enorme trend waar Microsoft zich nu op richt: cyberbeveiliging van AI-systemen en verdediging tegen AI-gestuurde aanvallen.

De omwenteling in de zakelijke en economische wereld als gevolg van AI behoeft geen uitleg. Wat minder aandacht krijgt, zijn de vele nieuwe risico's, kwetsbaarheden en zwakheden die AI creëert. Iedereen heeft het tegenwoordig over AI-agenten en hun enorme zakelijke potentieel voor bedrijven.

Voor cybersecurity-experts vertegenwoordigt dit vooral een enorm potentieel voor datalekken en ransomware-aanvallen op ongekende schaal. Microsoft begrijpt dat gigantische bedrijven AI willen gebruiken om de omzet te verhogen en het personeelsbestand te verkleinen, en het enige dat hen tegenhoudt, is de angst voor cyberaanvallen. Hier ligt een marktkans die Microsoft met volle kracht betreedt.

Sue Jackel, Corporate VP en hoofd van Microsoft Security, verantwoordelijk voor een budget van 20 miljard dollar dat afkomstig is van de huidige cybersecurityactiviteiten, vertelt verslaggevers dat Microsoft momenteel voor de grootste uitdagingen in de sector staat: overmatige gegevensuitwisseling en -lekken, niet-naleving van regelgeving, de opkomst van AI-agents en talloze kwetsbaarheden die door AI-systemen worden geïntroduceerd.

De grootste bedreiging, aldus Jackel, zijn de medewerkers van bedrijven. Vroeger kenden we termen als 'social engineering' en 'phishing', waarbij medewerkers werden misleid om inloggegevens te onthullen. In het AI-tijdperk zijn deze een nog groter gevaar geworden.

Volgens Microsoft vindt 20% van de datalekken bij bedrijven plaats via werknemersaccounts.

Hun gebruik van AI voor legitieme doeleinden heeft geleid tot een toename van 80% in het aantal datalekken bij bedrijven. Zoals altijd is de menselijke factor het probleem.

Het antwoord van Microsoft is een end-to-end AI-gestuurd cybersecurityplatform dat zich richt op de verdediging tegen AI. Hoe wordt dit gedaan? Ten eerste via cyberdreigingsinformatie die dagelijks 100 biljoen signalen verzamelt in het DCU-centrum in Seattle.

Ten tweede via het nieuwe platform van het bedrijf, dat verschillende systemen omvat die verschillende cybersecuritysectoren afhandelen: Defender, Entra, Purview en Foundry Control Panel. Tegelijkertijd zijn productiviteitstools zoals Microsoft 365 en Work IQ geïntegreerd om de efficiëntie te verbeteren.

Proberen de overstroming te stoppen. Microsoft DCU-centrum. Foto: Microsoft

Microsoft voorspelt dat bedrijven in 2028 zo'n 1,3 miljard AI-agents zullen inzetten. De meeste organisaties zijn nog steeds niet uitgerust om deze agents te monitoren, beveiligen of beheren. Zonder goed beheer zouden AI-agents schaduw-IT kunnen worden, zowel onderbenut als een potentieel aanvalsdoelwit.

Microsoft richt zich niet alleen op grote ondernemingen. Ze willen alle gebruikers bereiken, groot en klein. CEO Satya Nadella verklaarde onlangs dat de nieuwe strategische richting van het bedrijf is om Windows om te vormen tot een AI-werkomgeving. AI-agenten zullen daarbinnen opereren, onze activiteiten monitoren en taken voor ons uitvoeren - documenten samenvatten, e-mails versturen, naar informatie zoeken en deze organiseren.

Binnen het besturingssysteem zullen nieuwe AI-agent-gebaseerde functies gebruikers binnenkort proactief ondersteunen, zelfs als ze er niet om gevraagd hebben. "Deze veranderingen vormen de belangrijkste architectuurevolutie in Windows sinds de introductie van het moderne beveiligingsmodel. Gebruikers kunnen nu het gewenste resultaat beschrijven en de agents voeren alle vereiste taken uit", aldus Pavan Davuluri, President Windows and Devices bij Microsoft.

Op dit moment stuit Microsoft op enige scepsis bij klanten. Aankondigingen over de nieuwe richting hebben online tot kritische reacties geleid. Gebruikers waren boos dat Microsoft niet reageerde op verzoeken om softwareaanpassingen, maar in plaats daarvan nieuwe AI-functies toevoegde. "Niemand zit hierop te wachten", schreef een gebruiker.

Toch kunnen de nieuwe AI-functies oude problemen waar gebruikers over klaagden oplossen met ongekende AI-prestaties – of ze kunnen nutteloos blijken. Het antwoord zal in de loop van de tijd duidelijk worden.

De DCU van Microsoft is verborgen in een gewoon kantoorgebouw op de uitgestrekte, groene Microsoft-campus in Redmond, vlakbij Seattle. Maar direct bij de ingang merk je het verschil: de meeste medewerkers mogen niet naar binnen, en degenen die binnenkomen – gasten en journalisten – doen dat alleen onder nauwlettend toezicht van DCU-personeel.

Zelfs na het invoeren en bekijken van de gegevens die Microsoft presenteert, wordt het duidelijk dat dit precies is wat het lijkt: presentaties, cijfers, zelfs simulaties van cyberaanvallen, maar geen van de daadwerkelijke, echte operaties van het centrum.

Bezoekers ervaren een soort cybersecurity-Disneyland, zonder toegang tot de echte wereld, waar voortdurend agressieve cyberaanvallen plaatsvinden, enorme losgeldbedragen aan criminelen worden betaald en geheime informatie herhaaldelijk wordt gelekt.

Volgens Steve Masada, Senior Director bij de DCU, beschikt een particulier bedrijf als Microsoft niet over de handhavingsmiddelen van staatscybereenheden of internationale autoriteiten, maar beschikt het wel over juridische mogelijkheden en veel samenwerkingsverbanden met overheidsinstanties. Hierdoor kan het bedrijf niet alleen cyberdreigingen detecteren, maar ook optreden tegen cybercriminaliteit.

"Ambtenaren van de FBI, Binnenlandse Veiligheid en inlichtingendiensten komen hier een paar keer per week langs", zegt hij. "Sommige van deze diensten opereren vanuit hier. Het geeft ze toegang tot gegevens die elders niet beschikbaar zijn."

Overheidspartners zijn niet alleen Amerikaans - ook handhavingsinstanties uit het Verenigd Koninkrijk, Australië en verschillende Europese landen komen regelmatig langs. "Zelfs onze concurrenten, zoals Google en Amazon, werken met ons samen. We werken ook met hen samen."

Tools die bij DCU zijn ontwikkeld, maken het mogelijk cybercriminelen te identificeren, hun locaties en operationele kenmerken te identificeren, de infrastructuur die ze gebruiken te volgen, cryptotransacties te volgen en acties te initiëren om ze te stoppen. Andere experts reverse-engineeren kwaadaardige cyberapplicaties om precies te begrijpen hoe ze werken.

"Cybercriminaliteit blijft zich ontwikkelen", zegt Masada. "Criminelen worden slimmer en het is aan ons – de publieke en private sector – om samen te werken en de beste manier te vinden om cybercriminaliteit te stoppen."

Hij presenteert gegevens waaruit blijkt dat er tussen 2000 en 2023 voor 1,1 miljard dollar aan losgeld is betaald aan organisaties in Rusland en Iran. Hij geeft echter toe dat dit gedeeltelijke gegevens zijn: "Ransomware is waarschijnlijk de meest ondergerapporteerde vorm van cybercriminaliteit. Het werkelijke aantal ligt exponentieel hoger."

In 2024 dwong een enkele ransomware-aanval een bedrijf tot het betalen van 75 miljoen dollar om weer toegang tot zijn systemen te krijgen. "Je begrijpt de enorme impact op het bedrijf. Je begrijpt ook waarom er steeds meer cybercriminelen instappen. Het is enorm winstgevend", zegt hij.

Masada merkt op dat er een vervaging is tussen financieel en politiek gemotiveerde misdaden: "Cybercriminelen met economische motieven werken samen met overheden en delen tools en technieken om beide doelen te dienen." In de aanloop naar de verkiezingen in het Verenigd Koninkrijk en de VS heeft het centrum verschillende door de staat gesteunde aanvalsnetwerken ontmanteld die gericht waren op de integriteit van verkiezingen.

De dataverzameling van DCU is grotendeels gebaseerd op het nauwlettend monitoren van het dataverkeer via de klanten die het beschermt. Masada beschrijft het als een taskforce van 34.000 fulltime beveiligingstechnici.

Deze wereldwijde inlichtingenoperatie filtert biljoenen datapunten en monitort de datapunten met risicokenmerken. In dergelijke gevallen kunnen bronnen en zelfs aanvalsinfrastructuur worden gevolgd zodra ze worden vastgesteld.

Momenteel houdt de DCU 1500 actieve dreigingsgroepen, 600.000 aanvallen per dag en 72 miljard preventieve acties per dag bij. In sommige gevallen, wanneer daders worden geïdentificeerd, initieert Microsoft arrestaties en vervolging. Een andere techniek, de zogenaamde "sinkhole", laat de IP-adressen van criminelen actief in een beschermd systeem om verdere activiteiten te volgen en meer daders te arresteren.

Enkele dagen voor Ignite publiceerde Microsoft zijn halfjaarlijkse "Secure Future Initiative" (SFI)-rapport, nu in de derde editie, dat binnen het bedrijf zeer gewaardeerd wordt. Het initiatief startte nadat Chinese hackers in 2023 bedrijfssystemen hadden gehackt. Het Amerikaanse ministerie van Binnenlandse Veiligheid concludeerde dat Microsoft "een reeks beveiligingsfouten" had waardoor aanvallers toegang konden krijgen tot e-mailaccounts bij 22 klantorganisaties, waaronder diverse federale overheidsinstanties.

David Weston, Corporate VP voor Enterprise and Operating System Security, vertelde verslaggevers: "Ik vind het SFI-rapport enorm belangrijk, vooral omdat klanten zich tot Microsoft wenden op basis van vertrouwen. Ze moeten vertrouwen hebben in hoe wij werken en in onze beveiliging. Voor mij bewijst SFI onze toewijding om cybersecurity voorop te stellen in alles wat we doen, zowel in onze producten als in alle producten die onze klanten gebruiken. Zo zorgen we ervoor dat onze systemen evolueren om aanvallen een stap voor te blijven."

David Weston. Foto familie

Weston houdt ook toezicht op de "Red Teams" van Microsoft, die aanvallen op systemen simuleren om beveiligingsmanagers van bedrijven te helpen hun organisaties beter te beschermen. "Red Teams simuleren cyberaanvallen, identificeren zwakke plekken en we hebben teams over de hele wereld, ook in Israël."

Zullen deze nieuwe systemen menselijke cybersecurity-experts vervangen?

"We kampen nog steeds met een tekort aan cybersecuritypersoneel, vooral in hooggekwalificeerde sectoren zoals die in Herzliya. Omdat de middelen beperkt zijn, willen we ze voor iedereen beschikbaar maken, en AI is een uitstekende manier om dat te bereiken: gebruik menselijke vaardigheden en expertise en train AI-modellen dienovereenkomstig."

Is er zakelijk potentieel voor AI-agenten die werknemers vervangen?

"Ik denk niet dat AI een wondermiddel is, maar er zijn zeker gebieden waar het wonderbaarlijk werkt. Wij en het team besteden veel tijd aan het identificeren van waar het goed werkt en waar niet. Gaan AI-agenten cybersecurity-experts vandaag de dag vervangen? Nee. Maar kunnen ze experts uren aan repetitieve taken besparen? Absoluut."

Wat is de bijdrage van Israëlische teams aan jouw werk?

"Israël heeft geweldige startups in cybersecurity. Wanneer ik in Israël ben, ben ik altijd weer verbaasd over het niveau van innovatie en klantgerichte probleemoplossing. Het is een combinatie van technisch talent, ondernemerschap en durfkapitaal.

"Het ecosysteem is uitstekend. Voor Microsoft hebben we uitstekend talent dat we in Israël kunnen werven, en dankzij hun aanwezigheid kunnen we klanten in Israël - inclusief kritieke infrastructuur - de mogelijkheid bieden om aanvallen te detecteren en erop te reageren."