In den letzten Jahren hat die generative künstliche Intelligenz (KI) die Bereiche KI und natürliche Sprachverarbeitung revolutioniert – besonders in Form von LLMs (Large Language Models) wie ChatGPT. Von der Automatisierung des Kundensupports bis hin zur Erstellung realistischer Chatbots: Wir nutzen viel mehr KI, als vielen von uns wahrscheinlich klar ist.
Und der Hype um KI hat in den letzten Monaten speziell im Zusammenhang mit Use Cases aus dem Bereich Cybersicherheit definitiv noch einmal neue Höhen erreicht. Dazu trug auch die Veröffentlichung folgender Tools bei:
- Stable Diffusion
- Midjourney
- DALL-E
- ChatGPT / GPT-3.5 / GPT-4
Leider konzentriert sich fast die gesamte Aufmerksamkeit auf die potenziell negativen Auswirkungen von KI, während nützliche Anwendungen, die Unternehmen beim Schutz ihrer Netzwerke helfen, ignoriert werden. Aber wir wissen ja: Katastrophen sorgen fast immer für höhere Einschaltquoten als niedliche Hundewelpen, und der Großteil der Berichterstattung ist recht reißerisch. Doch ist dieser ganze Negativ-Hype überhaupt gerechtfertigt?
Was meinen wir mit „generativer KI“?
Wir haben GPT-4 gebeten, „generative KI“ zu definieren, und erhielten folgende Antwort:
„Generative AI is a type of artificial intelligence that can make new stuff, like writing, pictures, or tunes, by learning from existing examples and making up its own creations based on what it's learned. It uses fancy techniques to make things that look real and original.“ (Generative KI ist eine Art künstliche Intelligenz, die neue Dinge wie Texte, Bilder oder Melodien schafft, indem sie aus vorhandenen Beispielen lernt und auf der Grundlage des Gelernten eigene Kreationen erstellt. Sie verwendet anspruchsvolle Techniken, um Dinge zu schaffen, die echt und authentisch wirken.)
Das klingt doch gut! Wir bei SURGe sind sehr gespannt auf die Möglichkeiten, die diese neuen KI-Tools Spezialisten zur Abwehr von Cyber-Bedrohungen bieten. Deshalb haben wir auch diesen Blog-Artikel geschrieben, um die neuen Vorteile und potenziellen Risiken im Hinblick auf Cybersecurity zu untersuchen. Sehen wir uns also an, wo generative KI in puncto Cybersecurity heute steht.
(Leseempfehlung: Unsere Einführung in generative KI)
KI-Trends und -Herausforderungen für die Cybersecurity
Wie erwähnt, wurde schon jede Menge über dieses Thema geschrieben. Beginnen wir damit, was die Leute sagen, worüber sie sich Sorgen machen und was sie (manchmal) sogar tun, wenn es um KI für die Cybersecurity geht.
KI vernichtet Arbeitsplätze
Ein beliebtes Thema in Berichten über generative KI ist, dass sie sich im nächsten Jahr auf einen bestimmten Prozentsatz von [beliebige Berufsbezeichnung hier einfügen] auswirken wird. Ähnliche Befürchtungen äußerten Autoren auch, als Johannes Gutenberg den Buchdruck erfand (Bi Sheng wäre hier wohl anderer Meinung): Sie könnten dann nicht mehr Monate lang Bücher von Hand kopieren.
Wird ChatGPT Autoren für Security-Bewusstsein arbeitslos machen, so wie die Druckerpresse Tausende von Mönchen arbeitslos gemacht hat? Wird es Detection Engineers überflüssig machen, so wie der Jacquard-Webstuhl einst viele Weber überflüssig machte? Vielleicht, vielleicht aber auch nicht.
Das Kräftemessen zwischen Bedrohungsakteuren und Verteidigern wird häufig als „Wettrüsten“ beschrieben, und um in diesem Wettrennen die Nase vorn zu haben, sind Innovationen erforderlich. KI eignet sich hervorragend zur Erweiterung, Automatisierung und Skalierung bestehender Fähigkeiten, kann jedoch (noch?) keine völlig neuen Techniken entwickeln. Es werden zwar eventuell einige Arbeitsplätze im Bereich Cybersicherheit reduziert oder sogar abgeschafft, doch der treibende Faktor hinter guter Security wird immer der Mensch sein – und wir alle wissen, wie gefragt Menschen in unserer Branche sind.
Blog-Autoren sollten sich allerdings warm anziehen: ChatGPT ist sehr gut darin, 800 bis 1200 Wörter lange Tiraden über Dinge zu verfassen, die die meisten Menschen sowieso nicht lesen werden.
KI schreibt Malware
Wenn neue Technologien aufkommen, versuchen die Menschen meistens, sie für alle möglichen Dinge zu nutzen, von denen viele nicht unbedingt positiv sind. Das ist bei ChatGPT genauso.
Verschiedenen Personen ist es gelungen, die eingebauten Sicherheitsvorkehrungen zu umgehen und ChatGPT dazu zu bringen, Malware für sie zu schreiben. CyberArk berichtet beispielsweise, man habe ChatGPT dazu gebracht, polymorphe Malware zu erstellen, also Malware, die Abwehrmaßnahmen aktiv umgehen kann. Zunächst weigerte sich ChatGPT, die Malware zu erstellen, aber nach einfallsreicheren Aufforderungen gab ChatGPT nach und schrieb die Malware.
Der Einsatz von KI zur Erstellung neuer Malware ist zweifellos besorgniserregend, doch wir sollten dabei auch einige wichtige Punkte beachten:
Man braucht keine KI, um neue Malware zu schreiben – nicht einmal als Nicht-Programmierer. Menschen sind bereits sehr erfolgreich beim Erstellen von Malware, und jeden Tag gibt es Tausende neue Beispiele dafür. Es wird sich zeigen, ob die Menge an KI-generierter Malware auch nur annähernd an die schiere Masse herankommen wird, die es jetzt schon gibt. Es ist jedoch ziemlich sicher, dass die Cyberkriminellen KI-Tools nutzen werden. Die Verteidiger müssen daher nicht nur wissen, wie KI eingesetzt werden kann, sondern sie müssen sie auch selbst nutzen, um ihre Fähigkeiten auszubauen.
Die Idee, einen Computer Malware schreiben zu lassen, ist außerdem nicht neu. Vor über 20 Jahren enthielt das gute alte Poison Ivy RAT einen Generator, mit dem selbst frischgebackene Bedrohungsakteure per Mausklick sowohl die Server- als auch die Client-Seite der Malware anpassen konnten.
Und nur weil die Malware von KI erstellt wurde, heißt das noch lange nicht, dass sie auch gut ist. Es gibt viele Faktoren, die man bei der Beurteilung der Qualität einer bestimmten Malware berücksichtigen sollte. Die wichtigsten Faktoren für unsere Zwecke sind die folgenden:
- Lässt sich der Code ausführen? Von KI generierter Code lässt sich anfangs oft nicht einmal korrekt kompilieren bzw. parsen.
- Tut die Malware, was sie soll? Der Code muss umfassend getestet werden, um sicherzustellen, dass er in verschiedenen Betriebssystemversionen und Benutzerumgebungen funktioniert.
- Kann die Malware vorhandene Antivirus- und andere Sicherheitsmaßnahmen umgehen?
Es ist eine Sache, KI „Malware schreiben zu lassen“, und eine ganz andere, diese auch wirklich einzusetzen.
KI kann Menschen durch ausgeklügeltes Spear-Phishing austricksen
Angreifer nutzen generative KI, um überzeugendere Phishing-E-Mails zu erstellen. Es gibt sogar Berichte über Angreifer, die mit KI-Tools realistische Deep-Fake-Stimmen und -Videos erzeugen, um Geld zu stehlen oder eingestellt zu werden. Da der Data Breach Investigations Report (DBIR) von Verizon aus dem Jahr 2022 zeigt, dass Phishing nach wie vor eine der wichtigsten Methoden ist, mit denen Angreifer in einem Netzwerk Fuß fassen, ist es sinnvoll, die Fortschritte der KI in diesem Bereich im Auge zu behalten.
Nach landläufiger Meinung ist die typische Phishing-E-Mail mit so heftigen Rechtschreib- und Grammatikfehlern gespickt, dass sie einen Fünfjährigen wie einen Pulitzer-Preisträger aussehen lassen würde. Auf diesen Phishing-Indikator kann man sich jedoch nicht mehr unbedingt verlassen. Vielmehr nimmt das allgemeine Niveau der Phishing-E-Mails zu, und das gilt auch für die Nachrichtentexte, die jetzt oftmals perfekt sind.
Außerdem gibt es Hinweise darauf, dass einige Rechtschreib- und Grammatikfehler möglicherweise beabsichtigt sein könnten, weil der Angreifer sicherstellen will, dass die Empfänger leichtgläubig genug sind und den Aufwand lohnen. Wenn dies der Fall ist, würden Angreifer mit der KI sowieso keine perfekten Nachrichten erstellen wollen.
Im Allgemeinen werden Phishing-Angriffe durch KI nicht plötzlich viel raffinierter, da sie bereits recht ausgefeilt sind. Es gibt jedoch Bereiche, in denen KI den Phishern helfen kann. So könnten Angreifer mit einer KI-gestützten Suchmaschine etwa innerhalb weniger Augenblicke detaillierte Informationen über ihr Ziel sammeln und eine ganze Kampagne perfekt ausarbeiten. Und die fehlerhaften englischen E-Mails, die man oft bei Phishing-Angriffen erhält, werden nun, da Angreifern Tools wie ChatGPT zur Verfügung stehen, höchstwahrscheinlich bald der Vergangenheit angehören.
Es gibt berechtigte Bedenken in puncto KI-Phishing, doch diese sehen vielleicht anders aus, als ihr glaubt.
Aufstand der Maschinen: Experimente mit generativer KI
Generative KI hat die Welt im Sturm erobert, aber haben sich die Maschinen gegen uns erhoben? Sollten wir langsam Sarah Connor hinzuziehen? Nicht nötig. Müssen wir mehr über die offensiven und defensiven Einsatzmöglichkeiten dieser Technologien wissen? Auf jeden Fall!
Wir freuen uns deshalb, euch eine neue Blogreihe unter dem Titel „Aufstand der Maschinen“ vorstellen zu können: In dieser Reihe werden wir unsere Experimente mit generativen KI-Tools präsentieren, die Cybersecurity-Profis helfen sollen, ihre Arbeit besser und schneller zu erledigen. Wir werden unsere Ergebnisse in unserem markenrechtlich geschützten (Spaß!), praktischen, unterhaltsamen und garantiert nicht reißerischen Format dokumentieren.
Wir möchten hier ausdrücklich darauf hinweisen, dass es sich dabei um Experimente und nicht um ausgefeilte Lösungen handelt. Es kann sein, dass manche davon hervorragend funktionieren, während andere spektakulär scheitern. Ihr werdet das im Vorhinein nicht wissen, das heißt, ihr müsst einfach die ganze Reihe lesen, um das herauszufinden! Doch ganz egal, ob wir Erfolg haben oder nicht, wir werden gemeinsam lernen, wie wir diese neuen Tools am besten einsetzen, um unsere Netzwerke zu schützen. Und keine Sorge, wir werden alle unsere Experimente in einer sicheren Umgebung durchführen, in der keine sensiblen Informationen verwendet werden.
Wir hoffen, dass ihr nicht nur Spaß an unseren KI-Erkundungen habt, sondern auch ein paar Anregungen dazu findet, wie ihr sicherstellen könnt, dass uns die Maschinen gewogen bleiben und nicht den Aufstand proben.
Wie üblich ist das Thema Security bei Splunk Teamwork. Dank an Autoren und Mitwirkende: Shannon Davis, David Bianco, Ryan Kovar
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
