Met Agentic AI kunnen cybercriminelen digitale aanvallen autonoom, iteratief en aanzienlijk sneller uit te voeren. Dat blijkt uit het nieuwste Global Incident Response Report van Unit 42, de onderzoekstak van Palo Alto Networks. Volgens het rapport is de gemiddelde tijd tussen eerste toegang tot een systeem en datadiefstal gedaald naar twee dagen, met in 20 procent van de gevallen een duur van minder dan één uur. In een interne simulatie slaagde een AI-systeem erin een volledige ransomware-aanval uit te voeren binnen 25 minuten.
De technologie, aangeduid als Agentic AI, omvat zelfstandige AI-agents die in staat zijn om zonder menselijke tussenkomst een aanval te plannen, uit te voeren en aan te passen. De werkwijze wordt door Unit 42 beschreven aan de hand van een zogenoemde Agentic AI Attack Chain, waarin verschillende gespecialiseerde agents samenwerken binnen de klassieke fasen van een cyberaanval.
In de eerste fase verzamelen de agents informatie over doelwitten via open bronnen en passen hun strategie aan op basis van actuele gegevens, bijvoorbeeld bij het detecteren van een nieuwe vacature die informatie prijsgeeft over gebruikte systemen. De toegang tot netwerken wordt verkregen via gepersonaliseerde phishingaanvallen via uiteenlopende communicatiekanalen. De malware kiest vervolgens contextspecifieke aanvalsmethoden en blijft actief door automatisch herstel van geblokkeerde toegangspunten. Detectie wordt omzeild door directe hercodering en aanpassing van gedrag. Binnen het netwerk analyseren de agents gebruikerspatronen om waardevolle systemen te lokaliseren. Tot slot vindt gegevensdiefstal plaats via vertrouwde kanalen zoals Slack of OneDrive; bij blokkade schakelt het systeem automatisch over op alternatieven.
Volgens Unit 42 vormt Agentic AI een fundamentele verandering in het dreigingslandschap. Door de snelheid en autonomie van deze systemen is het voor traditionele verdedigingsmiddelen steeds moeilijker om aanvallen tijdig te detecteren en te stoppen. De organisatie adviseert bedrijven daarom om cybersecuritystrategieën te herzien en in te zetten op AI-gedreven detectie en respons, evenals op zogenoemde purple teaming-oefeningen, waarbij aanvallende en verdedigende teams samenwerken om kwetsbaarheden bloot te leggen.
