Detection Research mit LLMs So helfen Chatbots bei der Abwehr von Cyberangriffen

Anbieter zum Thema

Cisco Systems GmbH

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

Cisco Talos hat anhand von drei Thesen untersucht, ob generative Sprachmodelle IT-Security-Teams bei der Erkennung von Cyberbedrohungen helfen können. Die Ergebnisse sind vielversprechend.

In der heutigen Bedrohungslandschaft stehen CISOs und ihre Teams vor großen Herausforderungen. Sie müssen sich gegen neue Malware-Arten behaupten und ihre Erkennung für KI-Angriffe anpassen. Vor diesem Hintergrund haben sich die Experten von Cisco Talos gefragt, ob und wie Large Language Models (LLMs) wie ChatGPT den Sicherheitsspezialisten helfen kann.

„KI-gestützte Cyberangriffe erfordern auch KI bei der Abwehr“, sagt Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. „Große Sprachmodelle besitzen ein hohes Potenzial für die Cyberabwehr, insbesondere bei der Erkennung und Abwehr von Bedrohungen. Wir wollten darum in der Praxis testen, inwieweit LLMs heute Security-Teams helfen können, komplexe Erkennungsregeln zu verstehen, zu prüfen und zu optimieren sowie die Cybersicherheit der IT-Netzwerke durch die Simulation von Angriffstechniken zu verbessern.“

Folgende drei Hypothesen haben die Experten von Cisco Talos untersucht:

• 1. LLMs können Erkennungsregeln genau beschreiben.

• 2. LLMs können erklären, wie man Angreiferverhalten simuliert, um Regeln zu testen.

• 3. LLMs können alternative Angreifertechniken generieren, die Regeln umgehen.

Neue Serie: KI in der IT-Sicherheit

So funktionieren Large Language Models (LLMs)

Verständnis für Erkennungsregeln

LLMs wie GPT-3.5 sind in der Lage, die Logik hinter komplexen Regeln zur Bedrohungserkennung in natürlicher Sprache zu erklären. Die Analysen von Cisco Talos ergaben, dass die Modelle, sofern sie mit vollständigen Regeltexten arbeiten, oft präzise und verständliche Beschreibungen liefern. Gelegentlich würden sie jedoch „halluzinieren“ und falsche Regeln liefern oder bestehende falsch interpretieren.

Strategien für den Einsatz von Large Language Models

LLMs für Cybersecurity-Aufgaben nutzen

Schnellere Bedrohungssimulation

Hinsichtlich der Bedrohungssimulation würden sich LLMs generell dazu eignen, gezielt Verhaltensweisen zu erzeugen, die Sicherheitsregeln auslösen. Damit sollen sie simulieren, wie ein Cyberangriff aussehen könnte. Allerdings ergaben die Analysen von Cisco Talos, dass Security-Teams hierfür die Sicherheitsvorkehrungen von GPT-3.5 umgehen müssen. Die erzeugten bösartigen Befehle, die eine Erkennung auslösen sollten, waren in den Untersuchungen oft technisch korrekt. Sie mussten jedoch oft angepasst werden, damit sie in bestimmten Umgebungen oder in einem bestimmten System richtig funktionieren.

Wie Cyberkriminelle KI für Ihre Zwecke nutzen

Drei KI-basierte Angriffsvarianten, die Sie kennen müssen

Umgehung von Erkennungsregeln

Grundsätzlich sind LLMs Cisco Talos zufolge in der Lage, bösartige Verhaltensweisen vorzuschalgen, um Erkennungsregeln zu umgehen. Auch hier waren die Vorschläge der Modelle oft technisch korrekt, in der Praxis für Cyberangreifer aber meist nicht umsetzbar, da sie leicht zu erkennen wären. Daher sei GPT-3.5 in diesem Bereich nur selten hilfreich.

„Trotz einiger Probleme mit GPT-3.5 als Assistent für die Erkennung von Bedrohungen, kann er in einigen Bereichen sehr hilfreich sein: durch natürliche Sprache, umfangreiche Informationen und die Übersetzungsfunktionen“, resümiert Thorsten Rosendahl. „Viele der LLM-Ideen sind zwar trivial, aber gelegentlich kommt doch ein kreativer Vorschlag. Bei weiterer Forschung und Verfeinerung ist das Konzept der LLM-Unterstützung für die Erkennungsforschung sicher vielversprechend.“ Hier finden Sie den vollständigen Bericht „Effectiveness of LLMs for Detection Research“ von Cisco Talos.

Ein Blick auf die neuen OWASP Top 10 for LLM

Risiken generativer KI und Large Language Models (LLM)

(ID:50275190)