Verstärkte Verteidigung: KI geht über die Erkennung von Bedrohungen hinaus

Auch wenn die generative KI derzeit am sichtbarsten ist, ist sie bei weitem nicht die einzige spannende Entwicklung im Bereich der KI für die Cybersicherheit. Im ersten Blog dieser Reihe haben wir die Entwicklung der generativen KI und die Stand der KI in der Cybersicherheit. Seit mehr als einem Jahrzehnt wird maschinelles Lernen erfolgreich für die Erkennung von Bedrohungen eingesetzt: Anomalieerkennung, Malware-Erkennung, Phishing-Erkennung, Intrusion Detection, Endpunkt-Erkennung. Heute werden die meisten Erkennungssysteme zumindest teilweise durch maschinelles Lernen unterstützt.

KI-Funktionen zur Unterstützung von Verteidigern

Neben der Erkennung gibt es weitere, ebenso wertvolle Anwendungsfälle für maschinelles Lernen, die in den verschiedenen SecOps-Disziplinen auftreten. Der vielleicht stärkste gemeinsame Nenner dieser Anwendungen ist, dass sie sich darauf konzentrieren, die Leistungsfähigkeit von Bedrohungsdaten, Schwachstellendaten und anderen KI-Technologien auf bestimmte Organisationen zu beschränken. Der Einsatz von KI zur Modellierung und Vorhersage des Verhaltens von Angreifern ist in der Tat von entscheidender Bedeutung, aber das Verständnis von Bedrohungen ist nur die halbe Miete für die SecOps. Sicherheitsteams müssen in der Lage sein, die zu schützende Umgebung zu verstehen, und neue KI-Anwendungsfälle helfen genau dabei.

Kritikalität der Vermögenswerte

Das Führen einer aktuellen Liste kritischer Anlagen ist eine Aufgabe, die sich - so einfach sie auch klingt - für alle Unternehmen als unrealistisch erweist. Die IT-Landschaft wird immer komplexer und ändert sich häufig. Mithilfe von maschinellem Lernen können kritische Anlagen auf der Grundlage der Art und Weise, wie sie verbunden sind, wie und von wem sie genutzt werden und welche Prozesse sie ausführen, identifiziert werden. Dies ermöglicht eine automatisierte und kontinuierliche Identifizierung von kritischen Anlagen, die für jedes Unternehmen lokalisiert sind.

Behandlung von Vorfällen

Die richtige Priorisierung eines Vorfalls kann darüber entscheiden, ob ein "True Positive"-Alarm rechtzeitig erkannt wird oder irgendwo in der Warteschlange der "Benign Positives" stecken bleibt. Der Einsatz von maschinellem Lernen zur Vorhersage - unter Berücksichtigung der spezifischen Umgebung -, welche Vorfälle mit größerer Wahrscheinlichkeit echt positiv sind als andere, kann den Unterschied zwischen diesen beiden Szenarien ausmachen.

Antwort Automatisierung

Mithilfe des maschinellen Lernens können Reaktionsschritte und Aktionen für die Automatisierung ermittelt werden. Algorithmen können häufige Muster von Aktivitäten identifizieren, die erfahrene Vorfallbearbeiter bei Untersuchungen durchführen. Dies trägt zur Verbesserung der Genauigkeit und Effizienz bei der Auswahl der Teile der Reaktion bei, die automatisiert werden können.

Management von Schwachstellen

Bei der Verwaltung von Sicherheitslücken kann maschinelles Lernen zur Priorisierung eingesetzt werden. Algorithmen lernen aus früheren Angriffen und dem Systemverhalten, welche Schwachstellen am wahrscheinlichsten ausgenutzt werden, so dass ihre Behebung nach Priorität geordnet wird.

Ähnlich wie bei der generativen KI unterstützen diese Anwendungen des maschinellen Lernens die menschlichen Analysten dabei, bei ihren zeitaufwändigsten und am häufigsten ausgeführten Aufgaben effizienter und effektiver zu sein. Ein wichtiger Punkt dieser Anwendungen ist, dass sie SecOps auf die betrieblichen und strukturellen Besonderheiten einer Organisation zuschneiden können.

Ein zweischneidiges Schwert

Wie so viele Technologien hat auch die KI das Potenzial, nicht nur die Verteidiger, sondern auch die Angreifer zu stärken. Da Cyberkriminelle zunehmend auf KI zurückgreifen, müssen wir uns auf ein noch nie dagewesenes Maß an Raffinesse und Umfang gezielter Angriffe einstellen.

Phishing und Social Engineering

Genauso wie generative KI zur Erstellung von Trainingsdaten für die Phishing-Erkennung verwendet werden kann, lassen sich dieselben Techniken auch zur Erstellung äußerst gezielter und realistischer Phishing-Kampagnen einsetzen. Neben textbasierten Phishing-Kampagnen per E-Mail kann generative KI sogar dazu verwendet werden, Stimme und Video (auch bekannt als Deepfakes) so zu imitieren, dass sie vom Original kaum zu unterscheiden sind. Obwohl noch nicht weit verbreitet, wurden bereits erste Beispiele für erfolgreiche Social-Engineering-Angriffe mit Deepfakes gemeldet.

Generierung von Malware

Da generative KI in der Lage ist, Code zu generieren, besteht die Befürchtung, dass sie es weniger erfahrenen Cyberkriminellen ermöglicht, neue oder veränderte Malware zu erstellen. Wir haben zwar erfolgreiche Proof-of-Concepts gesehen, aber inwieweit dies Realität werden wird, ist derzeit unklar.

Offene Informationsquellen (OSINT)

Und schließlich kann generative KI eingesetzt werden, um große Mengen öffentlich verfügbarer Daten zu scannen und zu analysieren und so wertvolle Informationen über potenzielle Ziele zu gewinnen. Dies kann Angreifern viel Zeit ersparen, da sie Informationen schnell sammeln und zusammenfassen können - ein Prozess, der manuell Stunden oder Tage dauern würde.

Schlussfolgerung

Angesichts der bekannten und potenziellen Nutzung von KI durch Angreifer ist es von entscheidender Bedeutung, das Potenzial der Technologie auf der Verteidigungsseite zu nutzen - sowohl das, was heute bereits existiert, als auch das, was für die Zukunft schnell entwickelt wird. Die wirklich wertvollen Anwendungsfälle von KI in SecOps gehen weit über die Erkennung hinaus und sind diejenigen, die die Verteidigung verbessern, indem sie das Fachwissen und die organisatorischen Kenntnisse menschlicher Verteidiger mit der Geschwindigkeit und der Tiefe des Bewusstseins künstlicher Intelligenz kombinieren, die Leistung groß angelegter KI-Funktionen lokalisieren und sie auf die spezifische Umgebung einer Organisation zuschneiden.