Generative KI-Angriffe überlisten

Nir Givol von Morphisec erklärt die Herausforderungen bei der Verteidigung von Systemen gegen hochentwickelte KI-gesteuerte Techniken und gibt ein paar Tipps, wie man die nächste Generation von Gegnern besiegen kann

Cybertech | 1.08.2023

Foto: Imago Images über Reuters Connect

Da die Komplexität von Tools der künstlichen Intelligenz (KI) wie ChatGPT, Copilot, Bard und anderen immer weiter zunimmt, stellen sie ein größeres Risiko für Sicherheitsverteidiger dar – und eine größere Belohnung für Angreifer, die KI-gesteuerte Angriffstechniken einsetzen.

Als Sicherheitsexperte müssen Sie ein vielfältiges Ökosystem aus mehreren Betriebssystemen (OS) verteidigen, die im Laufe der Zeit aufgebaut wurden, um das Erbe aufrechtzuerhalten und gleichzeitig neue und moderne B2B- und B2C-Schnittstellen mit hoher Skalierbarkeit, hoher Geschwindigkeit und datenreichen Daten einzuführen. Sie suchen nach den neuesten und besten Sicherheitsprodukten und verlassen sich darauf, um Angreifer abzuwehren.

Im Vergleich zu ausgefeilten KI-gesteuerten Techniken fehlt den bestehenden Sicherheitsprodukten und -praktiken jedoch ein entscheidendes Verteidigungselement: eine Technologie, die in der Lage ist, die nächste Generation maschinenbetriebener und mit künstlicher Intelligenz ausgestatteter Gegner zu besiegen, die sich auf maschinelles Lernen spezialisiert haben, um neue adaptive Systeme zu schaffen Exploits in halsbrecherischer Geschwindigkeit und Größe.

Es zeichnet sich ein klares Muster hinsichtlich der wichtigsten Bedenken ab, die sich speziell auf generative KI-Systeme und deren Fähigkeit beziehen, Erkennungs- und Präventionstechnologien zu verletzen.

InfoSec-Experten sind besorgt, dass generative KI ausgenutzt werden kann, um:

Die Perspektive des Verteidigers

Künstliche Intelligenz (KI) mit ihren Teilbereichen Machine Learning (ML) und Deep Learning (DL) ist ein wesentlicher Bestandteil moderner Endpoint Protection-Plattformen (EPP) und Endpoint Detection and Response (EDR)-Produkte.

Diese Technologien funktionieren, indem sie aus riesigen Datenmengen über bekannte bösartige und harmlose Verhaltensweisen oder Codemuster lernen. Dieses Lernen ermöglicht es ihnen, Modelle zu erstellen, die bisher ungesehene Bedrohungen vorhersagen und identifizieren können.

Konkret kann KI verwendet werden, um:

Der Einsatz von KI wird mittlerweile zum De-facto-Standard, um Fehlalarme zu reduzieren, indem der Kontext eines Vorfalls identifiziert und das Verhalten des Endpunkts verstanden wird, um Warnungen auszublenden und falsch klassifizierte Informationen rückwirkend mithilfe einer Fülle zuvor gesendeter Telemetriedaten zu korrigieren.

Die Perspektive des Angreifers

Da sich die KI weiterentwickelt und immer ausgefeilter wird, werden Angreifer neue Wege finden, diese Technologien zu ihrem Vorteil zu nutzen und die Entwicklung von Bedrohungen zu beschleunigen, die in der Lage sind, KI-basierte Endpunktschutzlösungen zu umgehen.

Zu den Methoden, mit denen Angreifer KI nutzen können, um Ziele zu kompromittieren, gehören:

Wir gehen davon aus, dass Angreifer KI aktiv nutzen werden, um das Scannen von Schwachstellen zu automatisieren, überzeugende Phishing-Nachrichten zu generieren, Schwachstellen in KI-basierten Sicherheitssystemen zu finden, neue Exploits zu generieren und Passwörter zu knacken. Da sich KI und maschinelles Lernen weiterentwickeln, müssen Unternehmen wachsam bleiben und mit den neuesten Entwicklungen bei KI-basierten Angriffen Schritt halten, um sich vor diesen Bedrohungen zu schützen.

Organisationen, die KI-basierte Systeme verwenden, müssen die Robustheit und Sicherheit ihrer zugrunde liegenden Datensätze, Trainingssätze und der Maschinen, die diesen Lernprozess implementieren, in Frage stellen und die Systeme vor unbefugtem und potenziell waffenfähigem Schadcode schützen. Entdeckte oder in die Modelle KI-basierter Sicherheitslösungen eingespeiste Schwachstellen können zu einer globalen Umgehung ihres Schutzes führen.

Morphisec hat bereits in der Vergangenheit raffinierte Angriffe von hochqualifizierten und gut ausgestatteten Bedrohungsakteuren beobachtet, beispielsweise nationalstaatlichen Akteuren, organisierten Kriminalitätsgruppen oder fortgeschrittenen Hacking-Gruppen. Die Fortschritte bei KI-basierten Technologien können die Eintrittsbarrieren für die Entwicklung komplexer Bedrohungen senken, indem sie die Erstellung polymorpher und ausweichender Malware automatisieren.

Dies ist nicht nur eine Sorge für die Zukunft.

Der Einsatz von KI ist nicht erforderlich, um die heutigen Endpunkt-Sicherheitslösungen zu umgehen. Taktiken und Techniken zur Umgehung der Erkennung durch EDRs und EPPs sind gut dokumentiert, insbesondere bei Speichermanipulationen und dateiloser Malware. Laut Picus Security machen Ausweich- und In-Memory-Techniken über 30 % der häufigsten Techniken aus, die bei in freier Wildbahn vorkommender Malware zum Einsatz kommen.

Ein weiteres wichtiges Problem ist der reaktive Charakter von EPPs und EDRs, da ihre Erkennung häufig erst nach einem Verstoß erfolgt und die Behebung nicht vollständig automatisiert erfolgt. Laut dem IBM Data Breach-Bericht 2023 erhöhte sich die durchschnittliche Zeit zur Erkennung und Eindämmung eines Verstoßes auf 322 Tage. Durch den umfassenden Einsatz von Sicherheits-KI und Automatisierung konnte dieser Zeitraum auf 214 Tage verkürzt werden, noch lange nachdem die Angreifer Persistenz aufgebaut hatten und möglicherweise in der Lage waren, wertvolle Informationen herauszufiltern.

Es ist Zeit, über ein anderes Paradigma nachzudenken

In einem nie endenden Wettrüsten werden Angreifer KI nutzen, um Bedrohungen zu erzeugen, die in der Lage sind, KI-basierte Schutzlösungen zu umgehen. Damit alle Angriffe erfolgreich sind, müssen sie jedoch eine Ressource auf einem Zielsystem gefährden.

Wenn die Zielressource nicht existiert oder ständig verändert (verschoben) wird, verringert sich die Chance, ein System anzugreifen, um eine Größenordnung.

Stellen Sie sich zum Beispiel einen gut ausgebildeten und äußerst intelligenten Scharfschützen vor, der versucht, ein Ziel zu kompromittieren. Wenn das Ziel verborgen ist oder sich ständig bewegt, verringern sich die Erfolgsaussichten des Scharfschützen und können den Scharfschützen durch wiederholte Fehlschüsse an falschen Orten sogar gefährden.

Nutzung von AMTD, um generative KI-Angriffe zu stoppen

Hier kommen AMTD-Systeme (Automated Moving Target Defense) zum Einsatz, die komplexe Angriffe durch Morphing-Randomisierung von Systemressourcen verhindern sollen – also das Ziel bewegen.

Die Prevention-First-Sicherheit von Morphisec (unterstützt von AMTD) nutzt eine patentierte Zero-Trust-At-Execution-Technologie, um Umgehungsangriffe proaktiv zu blockieren. Wenn eine Anwendung immer mehr Speicherplatz beansprucht, verändert und verbirgt die Technologie Prozessstrukturen und andere Systemressourcen und setzt leichte Skelettfallen ein, um Angreifer zu täuschen. Da der Zugriff auf Originalressourcen nicht möglich ist, schlägt bösartiger Code fehl, wodurch Angriffe mit allen forensischen Details gestoppt und protokolliert werden.

Geschrieben von Nir Givol, Director of Product Management bei Morphisec.

Lesen Sie den vollständigen Artikel