Sofern Sie soziale Medien oder das Internet nicht absichtlich vollständig meiden, haben Sie wahrscheinlich schon von einem neuen KI-Modell namens chatgpt gehört, das derzeit der Öffentlichkeit zum Testen zugänglich ist. Dadurch können Cybersicherheitsexperten wie ich sehen, welchen Nutzen es für unsere Branche haben könnte.

Der allgemein verfügbare Einsatz von maschinellem Lernen/künstlicher Intelligenz (ML/KI) für Cybersicherheitsexperten ist relativ neu. Einer der häufigsten Anwendungsfälle ist Endpoint Detection and Response (EDR), bei dem ML/KI Verhaltensanalysen nutzt, um anomale Aktivitäten zu lokalisieren. Es kann bekanntes gutes Verhalten nutzen, um Ausreißer zu erkennen, dann Prozesse zu identifizieren und zu beenden, Konten zu sperren, Warnungen auszulösen und vieles mehr.

Unabhängig davon, ob es zur Automatisierung von Aufgaben oder zur Unterstützung bei der Entwicklung und Feinabstimmung neuer Ideen eingesetzt wird, kann ML/KI sicherlich dazu beitragen, die Sicherheitsbemühungen zu verstärken oder eine solide Cybersicherheitslage zu stärken. Schauen wir uns einige der Möglichkeiten an.

KI und ihr Potenzial in der Cybersicherheit

Als ich als Junior-Analyst in die Cybersicherheit einstieg, war ich für die Erkennung von Betrug und Sicherheitsereignissen mithilfe von Splunk, einem SIEM-Tool (Security Information and Event Management), verantwortlich. Splunk verfügt über eine eigene Sprache, die Search Processing Language (SPL), deren Komplexität mit zunehmend komplexeren Abfragen zunehmen kann.

Dieser Kontext hilft, die Leistungsfähigkeit von ChatGPT zu verstehen, das SPL bereits erlernt hat und die Eingabeaufforderung eines Junior-Analysten in nur wenigen Sekunden in eine Anfrage umwandeln kann, wodurch die Einstiegshürde deutlich gesenkt wird. Wenn ich ChatGPT bitten würde, eine Warnung für einen Brute-Force-Angriff auf Active Directory zu schreiben, würde es die Warnung erstellen und die Logik hinter der Abfrage erklären. Da es sich eher um eine standardmäßige SOC-Warnung und nicht um eine erweiterte Splunk-Suche handelt, kann dies ein perfekter Leitfaden für einen unerfahrenen SOC-Analysten sein.

Ein weiterer überzeugender Anwendungsfall für ChatGPT ist die Automatisierung täglicher Aufgaben für ein überlastetes IT-Team. In nahezu jeder Umgebung kann die Anzahl veralteter Active Directory-Konten zwischen Dutzenden und Hunderten liegen. Diese Konten verfügen oft über privilegierte Berechtigungen, und obwohl eine vollständige Technologiestrategie für die privilegierte Zugriffsverwaltung empfohlen wird, können Unternehmen deren Implementierung möglicherweise nicht priorisieren.

Dadurch entsteht eine Situation, in der das IT-Team auf den uralten DIY-Ansatz zurückgreift, bei dem Systemadministratoren selbst geschriebene, geplante Skripts verwenden, um veraltete Konten zu deaktivieren.

Die Erstellung dieser Skripte kann nun an ChatGPT übergeben werden, das die Logik zum Identifizieren und Deaktivieren von Konten erstellen kann, die in den letzten 90 Tagen nicht aktiv waren. Wenn ein Junior-Ingenieur dieses Skript erstellen und planen kann und zusätzlich lernen kann, wie die Logik funktioniert, kann ChatGPT den leitenden Ingenieuren/Administratoren dabei helfen, Zeit für fortgeschrittenere Arbeiten zu gewinnen.

Wenn Sie nach einem Kraftmultiplikator in einer dynamischen Übung suchen, kann ChatGPT für violettes Teaming oder die Zusammenarbeit roter und blauer Teams verwendet werden, um die Sicherheitslage einer Organisation zu testen und zu verbessern. Es kann einfache Beispiele für Skripte erstellen, die ein Penetrationstester verwenden könnte, oder Skripte debuggen, die möglicherweise nicht wie erwartet funktionieren.

Eine MITRE ATT&CK-Technik, die bei Cybervorfällen nahezu universell eingesetzt wird, ist Persistenz. Eine standardmäßige Persistenztaktik, nach der ein Analyst oder Bedrohungsjäger suchen sollte, besteht beispielsweise darin, dass ein Angreifer sein angegebenes Skript/den angegebenen Befehl als Startskript auf einem Windows-Computer hinzufügt. Mit einer einfachen Anfrage kann ChatGPT ein rudimentäres, aber funktionelles Skript erstellen, das es einem Red-Teamer ermöglicht, diese Persistenz einem Zielhost hinzuzufügen. Während das rote Team dieses Tool zur Unterstützung von Penetrationstests nutzt, kann das blaue Team damit verstehen, wie diese Tools aussehen könnten, um bessere Alarmierungsmechanismen zu entwickeln.

Es gibt viele Vorteile, aber auch die Grenzen

Wenn für eine Situation oder ein Forschungsszenario eine Analyse erforderlich ist, ist KI natürlich auch ein äußerst nützliches Hilfsmittel, um die erforderliche Analyse zu beschleunigen oder alternative Wege einzuführen. Insbesondere im Bereich der Cybersicherheit, sei es zur Automatisierung von Aufgaben oder zur Anregung neuer Ideen, kann KI den Aufwand zur Stärkung einer soliden Cybersicherheitslage reduzieren.

Diesem Nutzen sind jedoch Grenzen gesetzt, und damit beziehe ich mich auf komplexe menschliche Erkenntnisse in Verbindung mit Erfahrungen aus der realen Welt, die häufig bei der Entscheidungsfindung eine Rolle spielen. Leider können wir ein KI-Tool nicht so programmieren, dass es wie ein Mensch funktioniert; Wir können es nur zur Unterstützung verwenden, um Daten zu analysieren und Ergebnisse auf der Grundlage der von uns eingegebenen Fakten zu erstellen. Obwohl die KI in kurzer Zeit große Fortschritte gemacht hat, kann sie dennoch zu Fehlalarmen führen, die von einem Menschen identifiziert werden müssen.

Dennoch besteht einer der größten Vorteile der KI darin, tägliche Aufgaben zu automatisieren, um den Menschen mehr Zeit zu geben, sich auf kreativere oder zeitintensivere Arbeiten zu konzentrieren. Mithilfe von KI können Skripte erstellt oder deren Effizienz gesteigert werden, die beispielsweise von Cybersicherheitsingenieuren oder Systemadministratoren verwendet werden. Ich habe kürzlich ChatGPT verwendet, um ein von mir erstelltes Dark-Web-Scraping-Tool neu zu schreiben, wodurch die Fertigstellungszeit von Tagen auf Stunden verkürzt wurde.

Ohne Frage ist KI ein wichtiges Werkzeug, mit dem Sicherheitsexperten sich wiederholende und alltägliche Aufgaben erleichtern können, und sie kann auch weniger erfahrenen Sicherheitsexperten als Lehrhilfe dienen.

Wenn es Nachteile gibt, wenn KI die menschliche Entscheidungsfindung beeinflusst, dann würde ich sagen, dass immer dann, wenn wir das Wort „Automatisierung“ verwenden, die Angst spürbar ist, dass sich die Technologie weiterentwickeln und den Bedarf an Menschen an ihren Arbeitsplätzen beseitigen wird. Auch im Sicherheitsbereich haben wir konkrete Bedenken, dass KI missbraucht werden kann. Leider hat sich die letztgenannte Befürchtung bereits bewahrheitet Bedrohungsakteure Verwenden von Tools, um überzeugendere und effektivere Phishing-E-Mails zu erstellen.

Was die Entscheidungsfindung betrifft, ist es meiner Meinung nach noch sehr früh, sich auf KI zu verlassen, um in praktischen Alltagssituationen endgültige Entscheidungen zu treffen. Die menschliche Fähigkeit, universell subjektives Denken anzuwenden, ist für den Entscheidungsprozess von zentraler Bedeutung, und bisher fehlt der KI die Fähigkeit, diese Fähigkeiten nachzuahmen.

Während also die verschiedenen Iterationen von ChatGPT seit der Vorschau im letzten Jahr für ziemlich viel Aufsehen gesorgt haben, müssen wir uns, wie auch bei anderen neuen Technologien, mit der Unruhe befassen, die sie hervorgerufen hat. Ich glaube nicht, dass KI Arbeitsplätze in der Informationstechnologie oder Cybersicherheit vernichten wird. Im Gegenteil ist KI ein wichtiges Werkzeug, das Sicherheitsexperten nutzen können, um sich wiederholende und alltägliche Aufgaben zu erleichtern.

Während wir die Anfänge der KI-Technologie erleben, scheinen selbst ihre Entwickler eine zu haben begrenztes Verständnis Aufgrund seiner Leistungsfähigkeit haben wir kaum an der Oberfläche der Möglichkeiten gekratzt, wie ChatGPT und andere ML/KI-Modelle die Cybersicherheitspraktiken verändern werden. Ich bin gespannt, welche Innovationen als nächstes kommen.

Thomas Aneiro ist Senior Director für Technologieberatung bei Moxfive.