:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gut informiert für mehr IT-Sicherheit ChatGPT als Mittäter bei Cyberangriffen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Wie können böswillige Akteure Künstliche Intelligenz (KI), auch bekannt als Artificial Intelligence (AI), für Angriffe nutzen? Inwiefern müssen Verteidigungsstrategien angepasst werden? IT-Sicherheitsexperten testen die Möglichkeiten generativer KI-Modelle wie ChatGPT in einem Golden-Ticket-Angriff einzusetzen. Dabei handelt es sich um ein Szenario, bei dem die Angreifer sich weitgehend unbegrenzten Zugriff auf die Domäne des Zielunternehmens verschaffen.
Generative KI-Modelle werden seit den 1950er Jahren entwickelt. Mit Durchbrüchen im Deep Learning hat sich die Technologie jedoch erheblich weiterentwickelt, allein in den letzten fünf Jahren von Modellen mit mehreren Millionen auf mehr als 100 Billionen Parameter im neuesten Modell GPT-4. Die Größe dieser Large-Language-Modelle (LLM) wird durch KI-Beschleuniger erreicht, die enorme Mengen an Textdaten aus dem Internet verarbeiten können. Die zunehmende Ähnlichkeit mit menschlichen Fähigkeiten beunruhigt Sicherheitsexperten: Sie untersuchen, welche Auswirkungen diese Fortschritte in der KI auf die Cybersicherheit haben können.
Dabei sind folgende Fragen von Bedeutung:
- Können böswillige Akteure KI-Technologien für erfolgreiche Angriffe nutzen?
- Wie müssen Verteidigungsstrategien an KI-gesteuerte Angreifer angepasst werden?
- Was sind die wahrscheinlichsten Szenarien?
Theorie und Praxis: KI für Cyberangriffe
Im Zeitalter generativer KI-Modelle ist die Besorgnis groß, was böswillige Akteure mit KI anrichten können. Angreifer nutzen KI-Modelle für Cyberangriffe, indem sie gefälschte Audio-, Video- und Bilddateien erstellen, um falsche Identitäten für Phishing, soziale Manipulation und Desinformation zu verwenden. Zahlreiche Dienste sind bereits in der Lage, Bild- und Tonaufnahmen von fiktiven Personen realistisch abzubilden. So setzen einige Unternehmen generative KI ein, um spezifische Personas herzustellen, die Merkmale ihrer Zielgruppen hinsichtlich Demografie oder Werteorientierung abbilden.
Phishing-E-Mails zu erstellen und Phishing-Köder zu versenden, sind unterschiedliche Vorgänge. KI-Modelle wie ChatGPT können komplexe Cyberangriffe zwar unterstützen, aber sie bisher noch nicht selbst durchführen. IT-Sicherheitsexperten haben getestet, wie weit Cyberkriminelle mit generativen KI-Modellen wie ChatGPT bei einem komplexen Manöver wie dem Golden-Ticket-Angriff kommen. Dafür nutzt das System Schwachstellen im Kerberos-Identitätsauthentifizierungsprotokoll aus, das für die Active-Directory-(AD)-Zugangsberechtigung verwendet wird.
Ein erfolgreicher Golden-Ticket-Angriff verläuft in fünf Phasen:
- Erstzugriff: Wird in der Regel durch Phishing erreicht
- Erkundung: Untersuchung und Sammlung von Informationen über die Domäne, zum Beispiel Domänenname, Domänensicherheitskennung und nützliche privilegierte Konten.
- Zugriff auf Anmeldeinformationen: Nachdem ein Angreifer Zugriff auf den Domänencontroller erhalten hat, stiehlt er einen NTLM-Hash des Active Directory Key Distribution Service Accounts (KRBTGT), um ihn zu entschlüsseln.
- Privilege Escalation: Mit dem Passwort für KRBTGT kann der Angreifer ein Kerberos Ticket Granting Ticket (TGT) erhalten.
- Dauerhafter Zugriff: Das TGT verschafft dem Angreifer praktisch unendlichen Zugriff auf Ressourcen im Netzwerk, da er als legitimer Benutzer mit einem gültigen Ticket auftritt.
Für das Experiment nutzten die IT-Sicherheitsexperten von Elastic ChatGPT (basierend auf GPT-4). Die KI wurde gebeten, eine Phishing-E-Mail zu verfassen. Jedoch antwortete sie nur, dass sie als ethische und verantwortungsbewusste Technologie nicht dazu programmiert wurde, bösartige Inhalte wie Phishing-E-Mails zu erstellen.
Trotz der Schutzmaßnahmen versuchten die Experten weiter, ChatGPT zu täuschen: Sie baten die KI, aus Schulungsgründen für die Mitarbeiter eine Phishing-E-Mail zu verfassen. Die KI generierte eine Antwort, allerdings ohne Inhalt, der für böswillige Zwecke verwendet werden konnte. Hier zeigte sich jedoch, dass eine geänderte Absicht oder harmlose Begründungen das Modell doch dazu brachten, schließlich eine Phishing-E-Mail zu schreiben.
Die Experten überprüften auch, ob ChatGPT in der Lage ist, zu erklären, wie bestimmte Schritte der Erkundungsphase durchgeführt werden, zum Beispiel die Suche nach der Computer-Domain als einer der Schritte bei einem Golden-Ticket-Angriff.
Das Ergebnis: Generative Modelle wie ChatGPT sind sehr gut darin, Inhalte auf der Grundlage von Mustern zu erstellen, die sie aus den Daten gelernt haben, auf denen sie trainiert wurden. Während sie in einigen Fällen in der Lage sind zu erkennen, dass bestimmte Informationen in einem böswilligen Kontext verwendet werden könnten, versagen sie bei anderen.
Im nächsten Schritt fragten die Experten die KI, ob sie helfen könne, ein für den Angriff benötigtes Werkzeug zu verschleiern. ChatGPT betonte daraufhin nochmals, dass die KI nicht für böswillige Zwecke programmiert wurde:
Beim Schreiben von Malware, der Entwicklung von Exploits oder der Erstellung von Skripten und Web-Shells war die KI kein erfolgreiches Instrument. Selbst nachdem der Schutz deaktiviert war, produzierte das Modell unbrauchbare Codes. Dennoch könnte sich dies in Zukunft aufgrund des raschen technologischen Fortschritts ändern.
KI: nützliches Instrument in den Händen der Verteidiger
Generative KI-Modelle wie GPT-4 haben großes Potenzial, das Verständnis für Sicherheitsereignisse zu verbessern und sie zu erklären. Durch den Zugriff auf institutionelles Wissen können sie bei verschiedenen wichtigen Aufgaben helfen, zum Beispiel bei der Schulung neuer Analysten, der Weiterentwicklung von Reaktionsprozessen, der Anleitung zur Host-Triage und der Interpretation von Ereignisabfolgen, um die zugrunde liegenden Ursachen zu erklären.
Es ist jedoch wichtig zu betonen, dass generative KI den menschlichen Teil unserer Sicherheitsgleichung nicht vollständig ersetzen kann. Dennoch wird diese Technologie wahrscheinlich dazu beitragen, dass jeder Einzelne in einem Sicherheitsteam besser informiert ist und selbstbewusster agiert.
Fazit
Dieses Experiment zeigt, dass aktuelle generative Modelle Angreifer durchaus unterstützen können. Es gibt jedoch mehrere Gründe, warum diese Modelle vermutlich nicht in der Lage sein werden, ausgefeilte Angriffe von Anfang bis Ende durchzuführen:
- Begrenzte Autonomie: Die Modelle können im Gegensatz zu einem menschlichen Angreifer nicht selbstständig planen und Strategien entwickeln. Wie die generierten Ergebnisse verwendet werden, liegt jedoch in der Verantwortung der Anwender.
- Fehlende Absicht: KI-Modelle haben keine eigene Absicht oder Motivation. Sie handeln auf der Grundlage menschlicher Präferenzen und spezifischer Aufgaben, für die sie trainiert wurden.
- Begrenzter Fokus: Generative Modelle lernen komplexe interne Darstellungen ausschließlich aus Daten, auf denen sie trainiert wurden. Sie verfügen nicht über die vielfältigen Fähigkeiten, die für anspruchsvolle Cyberangriffe erforderlich sind.
Letztlich ist die KI eine Technologie, die den Menschen unterstützt. Wie bei jeder Erfindung liegt es am Menschen, ob er sie zum Guten oder zum Bösen einsetzt. Es gibt bereits Präzedenzfälle für Dual-Use-Werkzeuge, die zwei oder mehr mögliche Anwendungsbereiche haben, in der Sicherheitswelt selbst:
- Mimikatz wurde ursprünglich entwickelt, um Schwachstellen im Windows-Authentifizierungsprozess aufzudecken. Angreifer können es verwenden, um Klartextpasswörter, Hashes und Kerberos-Tickets aus dem Speicher zu extrahieren.
- Metasploit ist ein Penetration Test Framework, mit dem Netzwerke und Systeme auf Schwachstellen getestet werden. Angreifer können damit Schwachstellen ausnutzen und Payloads platzieren.
Superintelligenzen oder starke KIs mögen unsere Zukunft sein – bis es aber so weit ist, liegt die Verantwortung bei uns: Wir müssen entscheiden, wie wir mit diesen Technologien umgehen.
Über den Autor: Thorben Jändling ist Principal Solutions Architect in der Global Security Specialist Group bei Elastic.
(ID:49777174)
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/a9/9ea922addbf6bb7686604dff6994eeb0/0111475794.jpeg "In seiner Keynote für die ISX ISX IT-Security Conference 2023 zeigt Candid Wüest von Acronis, wie Cyberkriminelle schon heute KI-Systeme für ihre Zwecke nutzen und beantwortet die Frage, ob wir schon bald mit einer sich selbst anpassenden Terminator-Ransomware rechnen müssen. (Bild: rufous - stock.adobe.com)")