Je basis is je antwoord op AI

Vorige week kondigde Anthropic Project Glasswing aan. Met een nog niet publiek uitgebracht model, Claude Mythos Preview, identificeerde Anthropic in korte tijd duizenden zero-day kwetsbaarheden in elk groot besturingssysteem en elke grote webbrowser. Het model is zo krachtig dat Anthropic het bewust niet publiek uitbrengt. Claude Mythos Preview heeft een niveau bereikt waarop het op het gebied van het vinden en exploiteren van kwetsbaarheden vrijwel alle mensen overtreft.

Glasswing is defensief bedoeld. Maar de aankondiging zegt ook iets anders: er ligt een betekenisvolle backlog van ernstige, niet-bekendgemaakte kwetsbaarheden. En capabilities zoals deze zijn gevoelig genoeg dat brede publieke uitgifte momenteel onverantwoord zou zijn.

Dat is het punt. Als een defensief ingezet model dit al kan, is hetzelfde gereedschap in verkeerde handen een kwalitatieve sprong in aanvalscapaciteit. Frontier AI-capabilities zullen de komende maanden substantieel toenemen. Voor organisaties die voorop willen blijven, is er nu geen ruimte meer voor uitstel.

De vraag is dus niet of AI de beveiliging verbetert. De vraag is wat jij doet als het speelveld versnelt.

Het antwoord is simpel. Zorg dat je basis op orde is.

Waarom de basis er toe doet

AI-gestuurde aanvallen zijn effectief niet omdat ze magisch zijn, maar omdat ze schaalbaar inspelen op bekende zwakheden. Onbeheerde systemen. Ongepatchte kwetsbaarheden. Slecht gesegmenteerde netwerken. Geen van deze aanvalsvectoren is nieuw. Wat nieuw is, is de snelheid en de schaal.

Dat maakt onvoltooide basismaatregelen acuter dan ooit.

Vier domeinen die het verschil maken

Asset management is het vertrekpunt. Je kunt niet beschermen wat je niet kent. Een assetregister dat achterloopt, schaduw-IT buiten scope, cloudworkloads zonder beheer: dat zijn de blinde vlekken waar aanvallers binnenkomen.

AI speelt hier een dubbelzinnige rol. Aan de verdedigingskant maakt het goed asset management krachtiger: continue discovery, correlatie tussen bronnen, anomaliedetectie op gedrag. Aan de aanvalskant vinden aanvallers jouw blinde vlekken met dezelfde tools, sneller dan jij ze zelf kent. Slecht asset management wordt er gevaarlijker van. De governance erachter blijft mensenwerk.

Patchmanagement is tijdkritisch geworden. AI-ondersteunde exploitatie verkort het venster tussen CVE-publicatie en actief misbruik drastisch. Bovendien worden oude kwetsbaarheden plotseling relevant: wat jarenlang onbekend was, kan morgen gevonden en uitgebuit worden.

Deze race duurt geen weken meer. Hij duurt dagen, misschien maar uren. Kijk naar je eigen organisatie: hoe lang duurt het voordat een kritieke patch geïnstalleerd is? Als het antwoord weken is, is dat geen acceptabel risico. Het is een open uitnodiging. Patchen is geen IT-taak. Het is een organisatiebeslissing met directe veiligheidsconsequenties. Behandel het ook zo.

Security incident management bepaalt wat er gebeurt als detectie iets vindt. Laterale beweging die vroeger uren kostte, duurt nu minuten. De vraag is niet of je ooit geraakt wordt. De vraag is of je organisatie voorbereid is als het gebeurt. Zijn rollen belegd, draaiboeken actueel, is er geoefend? Detectie zonder georganiseerde respons is geen verdediging. Het is toeschouwer zijn bij je eigen incident.

Business continuity management sluit de cirkel. Ransomware is effectief omdat organisaties worden geraakt op het moment dat niemand weet wie beslist, wat de terugvaloptie is of hoe lang ze het volhouden. Een actuele BIA, geteste herstelplannen en heldere besluitvorming over hersteltijden zijn geen verzekeringstechnische exercitie. Het is het verschil tussen gecontroleerd herstel en crisis. Weet jij wat er morgen gebeurt als je primaire systemen uitvallen?

De kern

Snellere discovery heeft alleen waarde als je organisatie effectief kan prioriteren, snel kan remediëren en kan aantonen dat de fix de echte blootstelling heeft verminderd. Anders is het resultaat slechts meer volume en meer ruis.

Geen detectiesysteem compenseert een onbekende inventaris. Geen SIEM helpt zonder georganiseerde respons. Geen AI vervangt een herstelplan dat nooit getest is.

En als het toch misgaat, want dat gebeurt, is de kwaliteit van je incidentrespons bepalend voor de schade. Niet de vraag of je aangevallen bent, maar hoe snel je het herkent, hoe georganiseerd je reageert en hoe snel je herstelt. Dat vereist voorbereiding, niet improvisatie. Rollen belegd, draaiboeken actueel, geoefend. Een incident is het verkeerde moment om daar voor het eerst over na te denken.

De meest weerbare organisaties zijn niet de organisaties met de meest geavanceerde tooling. Het zijn de organisaties die weten wat ze hebben, hun systemen bijhouden, weten hoe te reageren en weten wat te doen als het misgaat.

De basis was altijd al het antwoord. Mythos maakt het urgent.