In relativ kurzer Zeit haben generative Plattformen für künstliche Intelligenz wie chatgpt von OpenAI LP enorme Fähigkeiten gezeigt, wie wir die Art und Weise, wie wir künstliche Intelligenz in unserem täglichen Leben nutzen, vorantreiben können – von kritischen Geschäftsfunktionen bis hin zu persönlichen Ratschlägen und Empfehlungen. Ob Sie SEO-freundliche Inhalte entwickeln, Marketingstrategien entwickeln, Code schreiben oder bei hochrangigen Forschungsarbeiten mithelfen – die Geschäftsanwendungen generativer KI sind vielfältig und werden sich noch weiter ausdehnen.

Mit jedem vorteilhaften Anwendungsfall gehen jedoch auch neue Risiken einher. Tatsächlich helfen ChatGPT und ähnliche Plattformen Bedrohungsakteuren bereits dabei, fortschrittliche Ransomware, E-Mail-Phishing-Betrügereien und bösartigen Code zu generieren. Laut einer neuen Studie von google.com/url?q=https://blog.checkpoint.com/research/global-cyberattacks-continue-to-rise/%23:~:text%3DDuring%2520the%2520first%2520quarter%2520of%25202023%252C%2520approximately%25201%2520in%2520every,fell%2520victim%2520to%2520such%2520attacks.&source=gmail&ust=1690164680400000&usg=AOvVaw1TEnECcn71pf8batYh6Agk“>Check Point Software Technologies Ltd.Im ersten Quartal dieses Jahres sind die weltweiten Cyberangriffe um 7 % gestiegen, was die wachsende Wirkung dieser hochentwickelten Angriffe deutlich macht. Da Cyberangriffe weiter zunehmen, wird der Bedarf an Incident-Response- oder IR-Plänen immer wichtiger, und viele Cyber-Versicherungspolicen und regulatorische Rahmenbedingungen erfordern sie.

In meiner aktuellen Rolle helfe ich bei der Erstellung von DFIR-Inhalten (Digital Forensic and Incident Response) innerhalb von Arbeitsabläufen, um Unternehmen jeder Größe bei der Erstellung vollständiger IR-Pläne auf der Grundlage ihrer individuellen Umgebungen zu unterstützen. Dazu gehört ein strukturiertes und koordiniertes Playbook, das einen effektiven Umgang mit Cyber-Vorfällen ermöglicht, sobald diese auftreten. Der ideale Plan sollte auf die Organisation zugeschnitten sein und die schnelle Mobilisierung von Teams bei Compliance-, Rechts- und Versicherungsaufsichtsbehörden ermöglichen. Es sollte auch die Bereitschaft durch Schulung und Praxis fördern und gleichzeitig wichtige Vermögenswerte und Informationen schützen.

Aber wenn generative KI Bedrohungsakteuren helfen kann, dann kann sie Unternehmen doch sicherlich bei der Reaktion auf Vorfälle unterstützen, oder? Die kurze Antwort: Nicht ganz. Mit mehr als einem Jahrzehnt Erfahrung in der Bedrohungssuche und im Sicherheitsbereich weiß ich, was es wirklich braucht, um einen effektiven IR-Plan zu erstellen und aufrechtzuerhalten.

Reaktion auf Cyber-Vorfälle: Hier greift die generative KI zu kurz (zumindest im Moment)

In der heutigen Wirtschaftslage besteht möglicherweise die Versuchung, einem bereits bestehenden oder veralteten IR-Plan zu folgen, um Unternehmensbudgets und Zeit zu sparen. Angesichts dieser wirtschaftlichen Zwänge – und der allgemeinen Neugier – habe ich ChatGPT gebeten, einen Cyber-IR-Plan zu erstellen, um zu prüfen, ob dies eine praktikable Option für Unternehmen ist, denen es an Ressourcen für die Sicherheitsvorbereitung mangelt.

Ich begann mit einer Reihe von Variablen, die auf einem hypothetischen Geschäftsszenario basierten, einschließlich der Unternehmensgröße, der Art der Umgebung und des spezifischen Betriebssystems, der Antiviren- und E-Mail-Plattform.

Sofort fielen mir erhebliche Lücken im von ChatGPT generierten IR-Plan auf. Es konnte lediglich die Definition eines IR-Plans skizziert und einen allgemeinen Überblick darüber geben, welche Arten von Verfahren ein IR-Plan umfassen sollte, anstatt ein detailliertes, schrittweises Handbuch zur Bewältigung des spezifischen theoretischen Vorfalls vorzustellen.

Ich habe einen zweiten Test durchgeführt, um zu prüfen, was es bringen könnte, wenn ich nach einem allgemeinen IR-Plan ohne die Variablen fragen würde. Ebenso lieferte mir diese Antwort sehr umfassende und grundlegende Informationen zur Identifizierung eines Cyber-Vorfalls – ähnlich dem, was Sie über eine einfache Google-Suche finden könnten – und was es bedeutet, diese Bedrohungen zu schützen und zu erkennen.

Obwohl er mehr Details lieferte als der erste Test, lieferte er nicht die wesentlichen Schritte, die ein Unternehmen während einer Krise ausführen muss, z. B. wie und mit wem kommuniziert werden muss, wann und wo die Triage aktiviert oder ein Statusbericht erstellt werden muss. Um ein besseres Bild der Ergebnisse zu vermitteln, finden Sie im Folgenden zwei Auszüge aus den Antworten, die direkt aus den einzelnen Tests stammen.

Man muss der Plattform zugute halten, dass in beiden Tests korrekt festgestellt wurde, dass das Unternehmen Funktionen zum Identifizieren, Schützen, Erkennen und Reagieren umfassen sollte. Der erste Test definierte jedoch nur die Funktion.

ChatGPT-Test 1:

Erkennen: Diese Funktion umfasst die Identifizierung potenzieller Vorfälle durch Überwachung, Erkennung und Alarmierung. Dazu gehören Tools wie Intrusion-Detection-Systeme, Protokollanalysen sowie SIEM-Systeme (Security Information and Event Management).

Der zweite Test erwies sich als nützlicher, lieferte jedoch nur allgemeine Beispiele für jeden Punkt.

ChatGPT-Test 2:

Erkennungsanalyse

• Stellen Sie sicher, dass Erkennungstools und -prozesse funktionieren.
• Benennen Sie die Verantwortlichen für die Erkennung von Vorfällen.
• Stellen Sie sicher, dass Sicherheitsvorfälle ordnungsgemäß identifiziert werden.

Die Schritte innerhalb jeder Funktion müssen auf der Grundlage ihrer eigenen Umgebungsvariablen, die ich oben beschrieben habe, an die einzelne Organisation angepasst werden. Zusätzlich zu diesen kritischen Schritten sollte ein umfassender IR-Plan auch die Eskalationsstufe des Verstoßes (niedrig bis hoch), die betroffenen Teams je nach Eskalationsstufe und die spezifischen Verantwortlichkeiten jedes Teams basierend auf der Schwere des Verstoßes definieren.

Diese Informationen tragen dazu bei, dass die entsprechenden Ressourcen mobilisiert werden. KI-Plattformen wie ChatGPT verfügen nicht von Natur aus über das komplexe Wissen über interne Prozesse eines Unternehmens. Damit die Plattform etwas Spezifischeres schaffen kann, müsste sie mit sensiblen und vertraulichen Informationen versorgt werden, und die Bereitstellung dieser Details erhöht das Risiko von Datenlecks.

Die Bewertungen zeigten, dass ChatGPT keinen Plan erstellen konnte, der geändert oder angepasst werden konnte, und dass es nicht in der Lage war, eine Situation auf die gleiche Weise zu analysieren, einzudämmen und zu beheben wie ein herkömmlicher, von einem Experten erstellter IR-Plan. Als Ergebnis kam ich zu dem Schluss, dass höchstens 40 % des KI-generierten Plans einem Unternehmen zugutekommen würden.

Zu den erheblichen Mängeln gehören mangelndes Verständnis für angemessene Einblicke in die Betriebs- und Sicherheitsanforderungen eines Unternehmens sowie eine menschliche Note, die eine dynamische und anpassungsfähige Roadmap für interne Gruppen bieten kann. Und es wurden veraltete Informationen angeboten, da ChatGPT ohne Kenntnis des Stichtags kein Material abrufen kann. Diese Einschränkungen könnten die Vorbereitung behindern und Unternehmen in Schwierigkeiten bringen, wenn eine tatsächliche Bedrohung auftritt.

Die Zukunft der KI in der Cyber-Krisenreaktion

Die generative KI schreitet voran und da Bedrohungsakteure diese Plattformen jeden Tag nutzen, um neue Malware- und Phishing-Kampagnen zu erstellen, müssen Cyber-IR-Pläne dynamisch und anpassbar sein. Leider ist KI derzeit effektiver dabei, böswilligen Akteuren bei der Entwicklung von Bedrohungen zu helfen, als Unternehmen dabei zu helfen, darauf zu reagieren.

Zweifellos wird sich dies schnell weiterentwickeln. Wir sehen bereits, dass große Player mit generativer KI experimentieren – wie z ChatGPT-Integration von Microsoft Sentinel um automatisierte Arbeitsabläufe in Security Operations Center-Operationen oder SentinelOne zu entwerfen Lila KI-Plattform Ziel war es, Sicherheitsanalysten bei der Analyse und Reaktion auf die Bedrohungssuche zu unterstützen.

Unabhängig davon, wie effektiv KI bei der Erkennung von Bedrohungen sein mag, wie können Sie das Engagement Ihres Führungsteams automatisieren, um auf eine Krise zu reagieren? Letztendlich ist ein IR-Plan mit detaillierten Roadmaps, Kontaktpunkten für die Zusammenarbeit und einer Strategie erforderlich, um einen Cyber-Vorfall zu bewältigen. Eine schnelle Reaktion im Krisenfall wird durch die konsequente Umsetzung und Erprobung eines durchdachten IR-Plans erreicht – etwas, das nicht wirklich automatisiert werden kann, egal wie intelligent die Technologie wird.

Alex Waintraub ist ein Cybersicherheitsexperte mit über einem Jahrzehnt Erfahrung in den Bereichen IT, Sicherheitsbetrieb und DFIR. Derzeit ist er Leiter für strategische Partnerschaften und Chief Tech Evangelist beim Cybersicherheitsunternehmen CYGNVS. Er hat diesen Artikel für SiliconANGLE geschrieben.

Bild: Elchinator/Pixabay