Künstliche Intelligenz und Machine Learning im Dienste von Cyberkriminellen

Angriffe auf Basis fortgeschrittener KI-/ML-Technologien sind bereits heute keine Seltenheit mehr. Es ist nur eine Frage der Zeit, bis weitere Gruppen das Wissen, die Erfahrung und die Infrastruktur zur Verfügung haben, um diese Angriffe in größerer Zahl durchzuführen.

Was tun, wenn Bedrohungsakteure die gleichen Technologien nutzen, die Unternehmen normalerweise für ihre Verteidigung einsetzen? Diese Frage existiert seit Anbeginn der IT, gewinnt aber im Falle von KI und ML deutlich an Brisanz. So können Cyberkriminelle KI-/ML-fähige Malware verwenden, um selbständige Angriffe zu starten, die Informationen über die Infrastruktur, das Netzwerk und die Benutzer sammeln und diese wichtigen Informationen sicher an einen Command & Control-Server übermitteln. Auf diese Weise können sie in einer zweiten Angriffsphase Wege finden, um automatisch und quasi in „Software-Geschwindigkeit“ ihr Ziel zu erreichen. Auch komplexere Angriffe lassen sich so sehr schnell ausführen. Des Weiteren können Wege in die operative Technologieumgebung gefunden oder sogar der Air Gap in hochgesicherten Infrastrukturen übersprungen werden.

Bislang kamen moderne KI-/ML-Technologie eher bei staatlichen Akteuren zum Einsatz, die über entsprechende Mittel und Fähigkeiten zur Durchführung dieser Art von Angriffen verfügen. Mit der zunehmenden Verbreitung von Technologien und Taktiken können und werden sie jedoch auch von anderen Bedrohungsakteuren eingesetzt.

Für gut organisierte Ransomware-Gruppen ist es mit ihren Ressourcen relativ einfach, ein legitim aussehendes Startup-Unternehmen zu gründen, das Erkennungs- oder Remediation-Technologien entwickelt. In diesem Umfeld können sie Talente rekrutieren, um vermeintlich zum Innovator in der Cybersicherheit zu werden, während sie in Wirklichkeit Technologien für Ransomware-Gruppen entwickeln. Wenn eine Gruppe die Zeit und die Mühe nicht investiert, um eine legitime Fassade für ihre illegalen Operationen aufzubauen, kann sie über finanzielle Anreize immer noch Cybersicherheits-Talente locken.

Es gab bereits mehrere KI/ML-basierte Angriffe und ihre Zahl nimmt deutlich zu. Als Reaktion darauf müssen sich Unternehmen mit Erkennungssystemen schützen, die nicht nur auf herkömmlichen Methoden wie der Erkennung von IOCs (Indicators of Compromise) und dem Patchen bekannter Schwachstellen basieren. Sie müssen KI/ML-basierte Erkennungssysteme mit Automatisierungs- und Orchestrierungssystemen einsetzen, um selbst kleinste Anomalien in Verhalten, Datenströmen, Infrastruktur und Kommunikation in Echtzeit zu erkennen. Sie müssen all diese Sicherheitsdaten sammeln, um schnell ein vollständiges Bild des Angriffs zu erstellen und automatisch zu reagieren. KI/ML-basierte Angriffe erfolgen in der Regel so schnell, dass keine Zeit bleibt, einen menschlichen Sicherheitsanalysten in das SOC einzubinden, der lediglich eine automatische Antwort liefert. Die einzige Möglichkeit, mit KI/ML-basierten Angriffen umzugehen, besteht darin, mit ebenso fortschrittlichen KI/ML-basierten Verteidigungssystemen zu reagieren.