GenAI in der IT-Sicherheit: Wie LLMs Red und Blue Teams effizienter machen

Foto: ART STOCK CREATIVE – shutterstock.com

Der Sicherheitsexperte Evan Pena verwendet fast täglich Large Language Models (LLMs), um etwa auf andere Ideen zu kommen, wie eine Schwachstelle untersucht werden kann. Diese NLP-Tools (Natural Language Processing), die auf künstlichen neuronalen Netzen basieren, können Text oder Code fast wie ein Mensch generieren und auch Muster erkennen.

Ihr Potenzial auszuschöpfen ist Teil von Penas Arbeit. Er ist Managing Director of Professional Services bei Google Cloud und leitete davor mehr als fünf Jahre das Red Team von Security-Anbieter Mandiant. Pena setzt häufig auf LLM, wenn Aufgaben schnell erledigt werden müssen. Das ist ein wesentlicher Faktor in der Cybersicherheit, wo die Arbeitsbelastung oft hoch und der Fachkräftemangel ein Problem ist.

Ein Beispiel aus Penas Alltag: Einmal brauchten er und seine Kollegen ein C#-Dienstprogramm, um eine bekannte Kombination aus Benutzernamen und Kennwort auf einer Reihe von Hosts innerhalb eines Netzwerks zu testen. “Da es sich um eine Red-Team-Aktion handelte, wollten wir dafür keine Open-Source-Tools verwenden, um statische Indikatoren und die Erkennung durch EDRs zu vermeiden”, erklärt er. “Wir waren in der Lage, dieses Tool zu entwickeln und es in einer Übungsumgebung vollständig zu testen, bevor wir es innerhalb weniger Stunden in einer Produktionsumgebung einsetzten.” Das Tool ermöglichte es ihnen, den lokalen Administratorzugriff auf ein System zu identifizieren und laterale Bewegungen innerhalb der Umgebung durchzuführen.

Darüber hinaus gibt es weitere Bereiche, in denen Red Teams und Blue Teams auf LLMs setzen: Das Sicherheitsunternehmen Bishop Fox untersucht, wie diese Modelle Social-Engineering-Kampagnen unterstützen können. Der Anbieter von Cybersicherheitslösungen Check Point Software nutzt KI, um die Untersuchung von Malware und das Auffinden von Schwachstellen zu optimieren. Cossack Labs setzt sie bei der Rekrutierung von Sicherheitsexperten für sein Geschäft mit Datenschutzlösungen ein.

Red/Blue Team: Vorteile durch LLMs

Große Sprachmodelle haben begonnen, die Art und Weise, wie Red und Blue Teams ihre Arbeit verrichten, zu revolutionieren. Zunächst wurden diese Tools eingesetzt, um alltägliche Aufgaben zu automatisieren, wodurch wertvolle Zeit und Ressourcen freigesetzt werden konnten. Nach und nach dringen sie jedoch auch in komplexere Bereiche der Cybersicherheit vor.

“Man kann mit Sicherheit sagen, dass LLMs und generative KI die Fähigkeit von Red Teams, Social Engineering und Phishing-Kampagnen in großem Umfang durchzuführen, revolutioniert haben”, sagt Brandon Kovacs, Senior Red Team Consultant bei Bishop Fox. “Durch die Verwendung von LLMs, die mit Milliarden von Parametern aus menschlichem Text trainiert wurden, und die Versorgung dieser Modelle mit zusätzlichen Daten aus öffentlichen Quellen über die Zielperson konnten wir sehr überzeugende und personalisierte Kampagnen in großem Umfang erstellen. Dies würde normalerweise Stunden oder Tage in Anspruch nehmen. Dank der KI sind wir jedoch in der Lage, diese sofort zu erstellen.”

Lesetipp: 6 Wege zu mehr Security mit Generative AI

Bishop Fox erforscht auch Möglichkeiten, neue Malware-Stämme zu erstellen und zu untersuchen, die bisher noch nicht in freier Wildbahn aufgetaucht sind. Darüber hinaus werden LLMs zur Quellcode-Analyse eingesetzt, um Sicherheitsschwachstellen zu identifizieren – eine Aufgabe, die laut Sergey Shykevich, dem Leiter der Threat Intelligence Group des Unternehmens höchste Priorität hat. “Wir verwenden ein Plugin namens Pinokio, ein Python-Skript, das das davinci-003-Modell verwendet, um bei der Suche nach Schwachstellen in Funktionen zu helfen, die vom IDA-Tool dekompiliert wurden”, sagt er.

Auch Check Point verlässt sich auf künstliche Intelligenz, um den Prozess der Untersuchung von Malware zu rationalisieren. Sie verwenden Gepetto, ein Python-Skript, das GPT-3.5- und GPT-4-Modelle verwendet, um Funktionen, die vom IDA-Tool dekompiliert wurden, in einen Kontext zu stellen. “Gepetto verdeutlicht die Rolle bestimmter Codefunktionen und kann sogar automatisch die Variablen umbenennen”, sagt Shykevich.

Einige Red und Blue Teams haben auch kontraintuitive Wege gefunden, um sich von KI unterstützen zu lassen. Anastasiia Voitova, Leiterin der Sicherheitstechnik bei Cossack Labs, sagt, dass ihr Blue Team über diese Technologie im Einstellungsprozess nachdenkt und versucht, Kandidaten herauszufiltern, die sich zu sehr auf KI verlassen. “Wenn ich neue Cybersecurity-Ingenieure einstelle, gebe ich ihnen eine Testaufgabe; einige von ihnen fragen einfach ChatGPT und fügen dann blind die Antwort ein, ohne nachzudenken”, so Voitova. “ChatGPT ist ein nettes Tool, aber es ist eben kein Ingenieur.”

So integrieren Sie LLMs in Ihre Red und Blue Teams

Rote und blaue Teams, die große Sprachmodelle in ihre Arbeitsabläufe einbinden wollen, müssen dies systematisch tun. Sie sollten “ihre tägliche Arbeit in Schritte oder Prozesse unterteilen,dann jeden Schritt überprüfen und entscheiden, ob LLM sie bei einem bestimmten Schritt unterstützen können oder nicht”, sagt Shykevich.

Dieser Vorgang ist nicht einfach und verlangt von den Sicherheitsexperten eine andere Denkweise. Es ist ein “Paradigmenwechsel”, wie Kovacs es ausdrückt. “Einer Maschine Aufgaben im Bereich der Cybersicherheit anzuvertrauen, die normalerweise von Menschen erledigt wurden, kann eine ziemliche Herausforderung sein, wenn die Sicherheitsrisiken der neuen Technologie nicht ausführlich diskutiert werden.”

Glücklicherweise sind die Einstiegshürden für das Trainieren und Ausführen eigener KI-Modelle im vergangenen Jahr gesunken, was zum Teil der Verbreitung von Online-KI-Communities wie HuggingFace zu verdanken ist. Diese ermöglichen es, mithilfe eines Software Development Kits (SDK) auf Open-Source-Modelle zuzugreifen und sie herunterzuladen.

“Wir können zum Beispiel die Open Pre-trained Transformer Language Models (OPT) schnell herunterladen und lokal auf unserer eigenen Infrastruktur ausführen,” sagt Kovacs. Das Tool liefere GPT-ähnlichen Antworten, “und zwar in nur wenigen Codezeilen – ohne die Leitplanken und Einschränkungen, die typischerweise durch das ChatGPT-Äquivalent implementiert werden”, führt der Experte aus.

Sowohl Red als auch Blue Teams, die große Sprachmodelle verwenden wollen, müssen die potenziellen ethischen Auswirkungen dieser Technologie berücksichtigen. Dazu gehören der Schutz der Privatsphäre, die Vertraulichkeit der Daten, Voreingenommenheit und der Mangel an Transparenz. Wie Kovacs von Bishop Fox es ausdrückt, “können KI-Entscheidungen ziemlich undurchsichtig sein”.

Mensch vs. KI

Beim Einsatz von LLMs müssen sowohl Red Teams als auch Blue Teams vor allem eine Sache im Auge behalten: “Die Technologie ist nicht perfekt”, betont Kovacs. “KI und LLMs sind noch relativ neu und stecken noch in den Kinderschuhen. Ob es darum geht, die Sicherheit der KI-Systeme selbst zu verbessern oder die ethischen und datenschutzrechtlichen Bedenken, die diese Technologie mit sich bringt, auszuräumen – wir haben noch einen langen Weg vor uns.”

Wie die meisten Security-Forscher sieht Kovacs in LLMs eine Möglichkeit, Red und Blue Teams zu ergänzen und zu unterstützen, nicht aber, sie vollständig zu ersetzen. Diese Modelle sind zwar in der Lage, Daten zu verarbeiten und Erkenntnisse zu gewinnen, aber ihnen fehlt menschliche Intuition und Kontext.

“LLMs sind noch weit davon entfernt, Forscher zu ersetzen oder Entscheidungen in Bezug auf Cyberforschung oder Red Teams zu treffen”, sagt Shykevich. “Es ist ein Werkzeug, das die Arbeit unterstützt, aber die Forscher müssen die Ergebnisse immer noch überprüfen.”

Auch die Qualität der Daten ist wichtig, wie Kovacs anmerkt: “Die Effektivität von LLMs und die Ergebnisse, die sie liefern, werden stark von der Qualität der Daten beeinflusst, die beim Training des Modells geliefert werden.”

In den kommenden Jahren wird diese Technologie zunehmend in den Alltag von Tech-Experten eingebettet werden und möglicherweise jeden in einen “Cybersecurity Power User” verwandeln. Solche Tools, wie die kürzlich von CrowdStrike vorgestellte Charlotte AI, sind bereits auf dem Markt. Charlotte AI ist ein generatives KI-basiertes Sicherheitsanalyse-Tool, mit dem Kunden Fragen in einfachem Englisch und einigen anderen Sprachen stellen können und Antworten erhalten. “Große Sprachmodelle werden erstellt, um Wissen aus externen Datenspeichern sowie Daten, die von Technologien wie der Falcon-Plattform generiert werden, einzubeziehen”, sagte ein Sprecher von CrowdStrike.

In diesem Zusammenhang ist es für jedes Red- und Blue-Teammitglied ein Muss, über die Entwicklung der KI auf dem Laufenden zu bleiben. In den kommenden Jahren werden immer ausgefeiltere Tools sowohl offensiv als auch defensiv eingesetzt werden. “Auf der offensiven Seite können wir mit fortschrittlicheren und automatisierten Angriffen rechnen, zusätzlich zu immer fortschrittlicheren Social-Engineering-Angriffen wie Deepfakes oder Voice-Phishing”, sagt Kovacs. “Auf der defensiven Seite ist zu erwarten, dass KI eine entscheidende Rolle bei der Erkennung von und Reaktion auf Bedrohungen spielt und Sicherheitsanalysten dabei hilft, große Datensätze zu automatisieren und zu sichten, um potenzielle Bedrohungen zu identifizieren.”

Kovacs geht davon aus, dass Hacker weiterhin LLMs nutzen und sich innovative Wege ausdenken werden, um Unternehmen zu infiltrieren und Sicherheitsregeln zu brechen. Daher müssen die Sicherheitsteams der Entwicklung immer einen Schritt voraus sein. Durch die Kombination menschlicher Intelligenz mit KI-Funktionen können Red und Blue Teams dazu beitragen, die Auswirkungen von Cyberangriffen zu minimieren. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.