Cisco Identity Intelligence is het eerste product van Cisco dat volledig draait op een intern ontwikkeld AI-model. Dat laat het bedrijf deze week weten. Het model Foundation-sec-1.1-8B-Instruct analyseert identiteitsgedrag en detecteert bedreigingen die anders lastig op te sporen zijn.
Cisco Identity Intelligence helpt organisaties om identiteitsgerelateerde risico’s in kaart te brengen. Het systeem monitort wie inlogt, waar dat gebeurt en welk apparaat wordt gebruikt. Door post-authenticatiesignalen te analyseren, herkent de oplossing patronen die traditionele toegangscontroles vaak missen. Denk aan ongebruikelijke locaties, abnormaal gebruik van privileges, session hijacking en een zogeheten “MFA fatigue”-aanval. In die laatste vorm spammen aanvallers MFA-verzoeken naar een gebruiker, die regelmatig eraan toegeeft om maar af te zijn van de meldingen.
Wekelijks bundelt Cisco per e-mail de belangrijkste identity-gerelateerde gebeurtenissen aan gebruikers. Daarin komt opmerkelijke activiteit aan bod, risicotrends en opties om de cyberhygiëne te verhogen. Cisco stipt aan dat tweeduizend klanten hierop vertrouwen. Vanaf nu worden deze wekelijkse ‘digests’ door Cisco’s eigen Foundation AI-model. We hebben er zelf eerder uitgebreid over geschreven tijdens het jaarlijkse RSA Conference. Algemene AI-modellen kunnen weliswaar helpen, zegt Cisco, maar ze zijn niet altijd afgestemd op de nuance en precisie waar identity security om vraagt. Ook introduceren ze externe afhankelijkheden, waar het bedrijf logischerwijs niet van afhankelijk wil zijn. Het Cisco-model is specifiek getraind op cybersecurity- en identiteitsscenario’s, waardoor de redenering aansluit bij de werkwijze van SOC-analisten en identiteitsbeheerders.
Dit is een logische invulling van zeer domeinspecifiek AI-gebruik. Aangezien Cisco kan leunen op decennia aan securitydata en deze zelf kan selecteren voor AI-training, is een eigen model in potentie vaardiger in de applicaties en onderzoeksgebieden van Cisco zelf.
Dat brengt vanzelfsprekend ontwikkelkosten met zich mee, maar AI-modellen kunnen bij dergelijke beperkte doelgebieden doeltreffend zijn, zeker als hun ’temperatuur’ zo laag mogelijk is. Dat refereert aan de variabiliteit waarbinnen een generatief AI-model mag bewegen: bij een temperatuur van 0 is de output in theorie volledig voorspelbaar. In de praktijk is dit soms nog steeds niet volledig deterministisch vanwege floating point-berekeningen, maar de bandbreedte van antwoorden is via fine-tuning en feedback-rondes van werkelijke gebruikers in te perken. Een volledig ‘eigen’ model is het niet, wat we hieronder toelichten.
Betere afstemming op securityworkflows
Foundation-sec-1.1-8B-Instruct is het resultaat van nauwe samenwerking tussen het Cisco Identity Intelligence-team en het Cisco Foundation AI-team. Het model is gebaseerd op Llama 3.1 van Meta en bevat 8 miljard parameters. Het is getraind op een dataset van 5 miljard tokens, gedestilleerd uit 200 miljard tokens aan cybersecuritydata.
Omdat Cisco eigenaar is van het model, kan het worden aangepast voor specifieke use cases met een precisie die externe modellen niet bieden. Het model draait in beveiligde cloudomgevingen, on-premises installaties en andere gecontroleerde settings. Dat geeft Cisco en haar klanten flexibiliteit die past bij enterprise security- en compliancevereisten.
Van theorie naar praktijk
Het Foundation AI-team host en dient het model op via Amazon SageMaker. Hierdoor kunnen Duo-engineers het direct integreren in hun productiesystemen met sterke betrouwbaarheid en operationele controle. De bijgewerkte digest werd getest met drie klanten om prestaties in de echte wereld te valideren. Vroege feedback toonde betekenisvolle verbeteringen in nauwkeurigheid, relevantie en helderheid. Klanten reageerden positief op de verbeterde samenvattingen. Ze spraken daarnaast van snellere reviewtijden en duidelijkere identificatie van belangrijke identiteitsgebeurtenissen.
Voor klanten blijft de workflow exact hetzelfde, maar de inhoud wordt merkbaar sterker, belooft Cisco. Digest-samenvattingen worden helderder en consistenter. Prioritering verbetert, waardoor het makkelijker wordt om te zien wat directe aandacht vraagt. Inzichten voelen relevanter aan voor elke omgeving en aanbevelingen worden uitgedrukt op een actiebaardere manier.
Het is een verwezenlijking van wat Cisco “AI-native” security noemt. Het wil in simpele termen zeggen dat modellen nuttig zullen blijken in allerlei securityzaken, van identity zoals hier het geval is, netwerk-analytics, cloud security en analyse van beleid en regels.