KI
Tenable Research: Wie generative KI die Sicherheitsforschung verändert
Die Cyber Security-Experten des Tenable Research-Teams beobachten kontinuierlich die Bedrohungslandschaft und untersuchen die Veränderungen der von Angreifern eingesetzten Technologien und Techniken. Bei dieser Arbeit werden enorme Datenmengen analysiert, um den Unternehmen, die Tenable-Produkte einsetzen, kontextrelevante Hinweise zu geben.
In den letzten Monaten haben die Sicherheitsbehörden weltweit ihre Besorgnis über den Einsatz von KI-Technologien wie ChatGPT von OpenAI zum Ausdruck gebracht. Obwohl die Organisationen, die diese Tools entwickeln, beeindruckende Fortschritte im Bereich der generativen KI vorweisen können, raten viele Sicherheitsexperten zu einer vorsichtigen Vorgehensweise.
Diese Tools, die auf LLMs (Large Language Models) aufbauen, entwickeln sich in rasantem Tempo weiter. Mit ihrer Fähigkeit, menschenähnliche Antworten zu erzeugen, bieten LLMs zahlreiche Möglichkeiten für einzigartige Anwendungsfälle. Beliebte Anwendungen – wie z. B. Chatbots, die die Arbeitslast verringern und zu schnelleren Reaktionszeiten für Kunden führen können – haben einen großen Einfluss auf die Kundendienstbranche. Diese fortschrittlichen Modelle werden jedoch auch von der Sicherheitscommunity unter die Lupe genommen, da sie von Angreifern genutzt werden könnten.
Bei Tenable Research nehmen die Forscher die Bedenken der breiteren Sicherheits-Community ernst. Sie haben sich mit diesen Technologien befasst und untersucht, wie sich LLMs sowohl offensiv als auch defensiv einsetzen lassen. Die Ergebnisse ihrer Arbeit finden sich in diesem – hier kurz skizzierten – Bericht.
Herausforderungen für Security-Analysten
Letztendlich besteht die Aufgabe eines Sicherheitsanalysten darin, den Entscheidungsträgern zeitnahe und genaue Daten zu liefern. Hierfür muss der Analytiker Sammlungen unvollständiger und mehrdeutiger Daten verarbeiten und interpretieren, um fundierte analytische Urteile zu fällen. Im Laufe vieler Jahre und nach vielen Fehlschlägen hat die analytische Community eine Reihe von Instrumenten entwickelt, die gemeinhin als „strukturierte Analysetechniken“ bezeichnet werden und dazu beitragen, das Risiko von Fehlentscheidungen zu minimieren und schlecht informierte Entscheidungen zu vermeiden.
Im folgenden Beitrag sind einige frühe Beispiele beschrieben, wie Tenable Research mit dem Einsatz von LLMs experimentiert. Ziel ist es, die Komplexität zu reduzieren und die Effizienz in den folgenden Bereichen zu steigern, um die Forschungsmöglichkeiten zu beschleunigen:
- Reverse Engineering
- Fehlersuche im Code
- Verbesserung der Sicherheit von Webanwendungen
- Verbesserung der Sichtbarkeit von Cloud-basierten Tools
Obwohl diese Art von Experimenten noch in den Kinderschuhen steckt, wurden diese Tools der breiten Community über ein GitHub Repository zur weiteren Iteration und Übernahme zur Verfügung gestellt. Tenable wird auch weiterhin solche Technologien testen, um Unternehmen bei der Suche nach neuen Wegen zur Reduzierung ihrer Cyberrisiken zu unterstützen.
Gegenwärtig gibt es mehr Fragen als Antworten zu den möglichen Gefahren, die generative KI für die Cybersicherheit darstellt. Angreifer sind opportunistisch und in vielen Fällen finanziell motiviert und suchen den Weg des geringsten Widerstands, um mit allen Mitteln in Unternehmen einzudringen. KI könnte zwar zur Rationalisierung der Malware-Entwicklung und zur Erstellung von Phishing-Nachrichten zum Einsatz kommen. Die Forscher haben bisher jedoch noch keine Anzeichen dafür gesehen, dass ein Angreifer diese Tools effektiv in einer Weise einsetzt, die die Messlatte höher legt.
Viele Forscher haben jedoch Bedenken geäußert, dass LLMs als Schreibassistenten missbraucht werden könnten, um Phishing-E-Mails und andere Requisiten für Social-Engineering-Angriffe und Scams/Betrügereien zu fälschen. Es ist möglich, dass diese Tools den Angreifern überzeugendere Phishing-E-Mails liefern, indem sie die Modelle darauf trainieren, bestimmte Formulierungen zu verwenden, die von der Website, den Pressemitteilungen oder den Social-Media-Konten eines Zielunternehmens stammen. Obwohl fortgeschrittene LLMs vielversprechende Ergebnisse zeigen, befinden sie sich noch in einem sehr frühen Entwicklungsstadium und sind anfällig für Fehler, die sich in vielen Fällen leicht erkennen lassen.
Wie das Tenable-Forschungsteam LLM-gestützte Tools einsetzt
Eine Forschungsgruppe sollte wie die Angreifer denken und die Denkweise von Hackern übernehmen. Mit diesem Ziel vor Augen haben die Forscher von Tenable sich auf den möglichen Einsatz von KI in der Sicherheitsforschung konzentriert. Sie fanden heraus, dass solche Tools neue Möglichkeiten in den Bereichen Reverse Engineering und Schwachstellenanalyse bieten. Zwar sind diese Tools weit davon entfernt, Sicherheitsingenieure zu ersetzen, doch können sie als Multiplikator fungieren und einige arbeitsintensive und komplexe Arbeiten reduzieren, wenn sie von erfahrenen Forschern eingesetzt werden.
Die Forscher von Tenable haben zwar erst an der Oberfläche angekratzt, wie KI in der Sicherheitsforschung eine Rolle spielen kann. Tenable hat aber bereits LLMs eingesetzt, um neue Tools zu entwickeln, die Sicherheitsprozesse beschleunigen und helfen, Schwachstellen schneller und effizienter zu identifizieren. Die Forscher vier Möglichkeiten vor, wie ihr Team bereits von generativer KI profitiert.
- G-3PO als Übersetzungsskript für Ghidra
- Ein KI-Assistent für GDB mit Pwndbg oder GEF
- BurpGPT als KI-Assistent für die Sicherheitsforschung von Webanwendungen
- EscalateGPT als KI-gestütztes Tool zur Identifizierung von IAM-Richtlinienproblemen
Schlussfolgerung
LLMs entwickeln sich weiter und werden mit spezifischeren Daten trainiert, um gezielten Anwendungsfällen gerecht zu werden. Folglich ist zu erwarten, dass Angreifer diese neuen Technologien für die Entwicklung von Exploits und andere böswillige Zwecke nutzen werden. Die Forscher rechnen mit Fortschritten bei der Entwicklung überzeugenderer und sprachlich präziserer Phishing-E-Mails. Angreifer werden versuchen, öffentliche Modelle zu missbrauchen, um verfälschte Daten bereitzustellen oder die Modelle dazu zu bringen, sensible Daten preiszugeben, die ihnen von normalen Benutzern unwissentlich zur Verfügung gestellt werden.
Unternehmen auf der ganzen Welt warnen ihre Mitarbeiter bereits davor, interne oder sensible Daten an diese LLM-Dienste zu übermitteln. Einige gehen sogar so weit, den Zugang zu diesen Tools in Unternehmensnetzwerken zu sperren. LLMs produzieren zwar erstaunlich genaue Codeschnipsel, sind aber noch nicht auf dem Niveau von erfahrenen Malware-Entwicklern. Angesichts der rasanten Geschwindigkeit, mit der sich diese Modelle weiterentwickeln, ist es jedoch nur eine Frage der Zeit, bis die Bedrohung durch zuverlässige, von KI generierte Malware erkannt wird.
Das Gute daran ist, dass es auch für Verteidiger zahlreiche Möglichkeiten gibt, sich diese Technologie zunutze zu machen. Von der Analyse von Protokollen und der Erkennung von Anomalien bis hin zu Triage- und Incident-Response-Funktionen könnten die Verteidiger die Oberhand gewinnen. In diesem Bericht sind Beispiele für den Einsatz von LLMs wie ChatGPT zur Verringerung des manuellen Arbeitsaufwands bei Reverse-Engineering-Aufgaben und Sicherheitsrecherchen beschrieben. KI könnte sich aber auch bei der statischen Codeanalyse zur Identifizierung von potenziell angreifbarem Code als wichtiges Werkzeug für Entwicklungsteams erweisen.
In Verbindung mit der fortschrittlichen Erkennung von Bedrohungen und der Intelligenz trainierter KI-Modelle gibt es eine Fülle von Anwendungsfällen, die Verteidigern helfen können. Die Forscher stehen zwar erst am Anfang ihrer Reise bei der Implementierung von KI in Tools für die Sicherheitsforschung. Es ist aber klar, dass die einzigartigen Fähigkeiten, die diese LLMs bieten, weiterhin tiefgreifende Auswirkungen sowohl für Angreifer als auch für Verteidiger haben werden.