Meer dan 15 jaar ervaring van ReliaQuest komt samen in AI Agent, die alledaagse Tier 1- en Tier 2-taken moet gaan afhandelen.
AI-agents zijn overal tegenwoordig. In de afgelopen weken alleen al zagen we ze bij Salesforce, Workday en Google voorbijkomen. ReliaQuest voegt er vandaag ook eentje toe. Deze AI Agent is echter gericht op Security Operations. Dat is voor organisaties een stuk spannender dan agents die helpen bij contact met klanten of medewerkers. Het gaat dan immers om de beveiliging en de veiligheid van een organisatie. Autonoom opererende agents beslissingen laten nemen hierover is voor veel organisaties een grote stap.
In een ideale wereld zouden AI-agents zoals die van ReliaQuest niet nodig zijn. Daar komen namelijk dermate weinig cyberdreigingen voor dat mensen dat prima aankunnen. Ook is de infrastructuur in zo’n wereld enorm overzichtelijk en is het volledig duidelijk waar men moet zoeken naar de data die nodig is om een melding snel af te kunnen handelen. We leven echter niet in een ideale wereld. Het aantal dreigingen blijft sterk toenemen, er is een tekort aan mensen en bij veel organisaties is er sprake van een behoorlijk complexe infrastructuur. Een zekere mate van autonomie is dus steeds harder nodig. Daarvoor zijn betrouwbare AI-agents simpelweg nodig.
ReliaQuest AI Agent
Met de toevoeging van AI Agent aan het eigen GreyMatter-platform is ReliaQuest naar eigen zeggen de eerste die een dergelijke AI-agent introduceert. Of dit ook echt zo is, kunnen we met het aanbod aan security-oplossingen in de markt lastig controleren. We kunnen niet met zekerheid zeggen dat er niet ergens in Israël een start-up is die dit ook doet. Verder heeft SentinelOne met Purple AI op het eerste gezicht ook een (deels) autonoom opererende toevoeging aan het eigen platform gedaan. Dit is echt wel een ander beestje dan wat ReliaQuest vandaag aankondigt, maar er is ook wel wat overlap, voor zover wij dat nu kunnen inschatten.
Of ReliaQuest nu wel of niet iets compleet nieuws heeft uitgebracht doet eigenlijk ook niet zo enorm ter zake. Het gaat in dit artikel vooral om wat de nieuwe AI Agent nu precies is. Om daar achter te komen, hebben we kort gesproken met Brian Foster van ReliaQuest. Hij is President of Product and Technical Operations bij het bedrijf, dat in 2007 is opgericht.
Menselijke expertise omzetten in AI
De 17 jaar die het bedrijf bestaat noemt Foster ook meteen als een belangrijke reden voor de ontwikkeling van de AI Agent. “Zonder de ervaring die we in die tijd hebben opgedaan, hadden we AI Agent niet kunnen ontwikkelen”, stelt hij onomwonden. De agent maakt namelijk gebruik van alle expertise die in die tijd is opgebouwd. Dit is expertise die is opgebouwd door mensen.
Bij ReliaQuest noemen ze het resultaat van al deze expertise de Cyber Analytics Methodology. Deze methodologie ligt aan de basis van de AI Agent. Onderdeel van de methodologie is een zogeheten planner. Die heeft toegang tot heel veel kleine tools. Die tools “lossen een eindig probleem op”, in de woorden van Foster. Dat wil zeggen, ReliaQuest heeft Security Operations in heel veel kleine problemen opgedeeld, die uit een vaststaand aantal componenten bestaan. Per probleem is er een tool beschikbaar voor de AI Agent.
Als voorbeeld van zo’n tool geeft Foster het zoeken naar artefacten van specifieke aanvallen. De AI Agent kan in het GreyMatter-platform van ReliaQuest zoeken naar incidenten die lijken op wat het heeft gevonden en daar conclusies aan verbinden. Dit zoeken en concluderen zelf is overigens zeker niet allemaal met behulp van hippe zaken zoals GenAI en LLM’s. Er wordt ook gewoon gebruikgemaakt van standaard queries. Dat is niet meer dan logisch, want in de basis gebruikt AI die natuurlijk ook gewoon. Dat wil zeggen, als je een vraag stelt aan een GenAI-tool, dan zet die de vraag ook om in een specifieke querytaal.
Artikel gaat verder onder kader
ReliaQuest
ReliaQuest is wat lastig in een standaard hokje te stoppen. Het is een Security Operations-platform en richt zich uitsluitend op grote organisaties. Het biedt MDR-diensten, maar het noemt zichzelf geen MDR-aanbieder. Verder gebruikt het bedrijf geen centrale locatie waar alle security data naartoe moet voor er iets mee gedaan kan worden. De data kan in de security tooling blijven die het genereert, ReliaQuest gaat hier op een zogeheten gefedereerde manier mee om. Organisaties kunnen hun bestaande security tooling blijven gebruiken. Er hoeven geen enorme nieuwe investeringen gedaan te worden.
Een van de voornaamste eigenschappen die ReliaQuest onderscheidt van de rest is volgens Foster dat het 100 procent transparant is. Dat geldt bijvoorbeeld ook voor de MDR-eigenschappen van het bedrijf. Het maakt ReliaQuest volgens hem bijzonder in de markt: “We zijn 100 procent transparant, geen zwarte doos, zoals de andere spelers het doen. Je kunt alles zien wat er gebeurt in het platform en bijvoorbeeld ook ingrijpen wanneer je dat wilt.” Dat geldt ook voor de AI Agent waar we het in de bodytekst van het artikel over hebben. Die is ook volledig transparant, iets wat voor de combinatie van cybersecurity en AI van cruciaal belang is. Vertrouwen is hier zo mogelijk nog belangrijker dan in andere omgevingen.
SOC-medewerkers werk uit handen nemen
Het opdelen van grote vraagstukken in veel kleine stappen is volgens Foster de voornaamste onderscheidende factor van de agentic benadering van AI Agent. Alleen dan is het mogelijk om een agent zelfstandig beslissingen te laten nemen. Want dat is uiteindelijk wel de bedoeling. Ook de analyse van de gevonden problemen moet door de agent gedaan worden. Met andere woorden, de AI Agent valt mensen niet lastig met de analyse van iets wat het heeft gevonden. Dat kan het prima zelf, is het idee. Hiervoor gebruikt het niet alleen eerdere analyses die zijn gedaan in het verleden, maar heeft het ook toegang tot externe threat intelligence bijvoorbeeld. Daarnaast zoeken mensen van ReliaQuest ook continu actief naar nieuwe dreigingen. Het is dus niet zo dat de AI Agent alleen bestaande en bekende zaken op kan sporen.
ReliaQuest wil met de AI Agent de Tier 1- en Tier 2-analyses uit handen nemen van de SOC-medewerker. Die kunnen ermee aan de slag nadat de AI Agent zijn werk heeft gedaan. Doordat ook deze component volledig transparant is, kunnen de medewerkers de analyses van de AI Agent goed beoordelen. Daarna kunnen ze meteen actie ondernemen.
Autonomie is de toekomst
Foster verwacht echter begin volgend jaar ook al wat meer geautomatiseerde acties vanuit de AI Agent. Daar moet de security-industrie als geheel sowieso meer naartoe. Met alleen menselijke SOC-medewerkers is het niet mogelijk om organisaties veilig te houden. Dat is makkelijker gezegd dan gedaan, ziet ook Foster: “Bedrijven zijn nerveus over geautomatiseerde acties.” Hij ziet echter ook dat het aantal geautomatiseerde acties die nu al mogelijk zijn ook per kwartaal 200 procent toeneemt. Dus die houding van organisaties lijkt te kantelen.
Uiteraard zullen er zaken zijn waarbij het nog lang zal duren voor een autonome agent/assistent/analist ze uit mag en kan voeren. Het is zelfs de vraag of dit voor alle onderdelen ook wenselijk is. Maar er zijn zat alledaagse dingen die prima geautomatiseerd kunnen worden. Als voorbeeld geeft Foster het resetten van het wachtwoord van een gebruiker die op een phishing-link heeft geklikt. Dat is in principe niet enorm disruptief, maar als je dat geautomatiseerd doet, kun je “grote stappen zetten”.
Grote stappen hebben organisaties en de security-industrie als geheel ook nodig als ze niet overspoeld willen worden door aanvallen en meldingen. In dat licht beschouwd is de aankondiging van ReliaQuest een zeer interessante. Er zullen ongetwijfeld nog veel securityspelers volgen, dus de AI-agent race lijkt ook in dit deel van de markt begonnen. We zijn vooral benieuwd wanneer de autonome component echt zijn intrede zal doen. Technisch lijkt er al veel mogelijk. Als nu ook de houding van organisaties fundamenteel verandert, kan het hard gaan. Er zijn bemoedigende signalen, maar de geschiedenis leert ons dat dit best nog weleens lang kan gaan duren.