KI-gestützte Bedrohungsjagd: Wie GenAI das Threat Hunting beschleunigt

Foto: Blue Planet Studio – shutterstock.com

Das Threat Hunting hat sich in den vergangenen Jahren Stück für Stück professionalisiert. Nicht zuletzt die regelmässig stattfindenen Umfragen des SANS Institutes, zeugen von dieser Entwicklung. Immer mehr Firmen suchen nach Spezialisten mit Erfahrung und Wissen aus diesem Bereich, 73 Prozent laut der Studie mit wachsender Tendenz.

Die Aufgabe ist notwendig, weil Cybersicherheit nicht immer zu 100 Prozent wirksam sein kann. Im Gegensatz zur Abhängigkeit von Sicherheitstools, die einmal eingestellt und dann vergessen wurden, ist eine aktive Verteidigung nötig.

Doch trotz aktiver Gefahrenabwehr bleiben viele hartnäckige Bedrohungen oft unentdeckt – bis es zu spät ist. Signaturbasierte Erkennungen sind für Angreifer in den meisten Fällen trivial zu umgehen. Die Wirksamkeit hängt in hohem Maße von der Breite davon ab, was kontrolliert wird. Zumindest war das bisher der Fall. Künstliche Intelligenz (KI) verändert nun auch die Suche nach bislang unentdeckten Bedrohungen.

Lesetipp: 6 Wege zu mehr Security mit Generative AI

Beispiel Phishing-Kampagne

Eine Phishing-Kampagne könnte erfolgreich mehrere Mitarbeiter eines Unternehmens ansprechen, was zur Preisgabe von Anmeldedaten führen könnte. Obwohl die Cybersicherheitsfachleute wissen, welche Mitarbeiter die Phishing-E-Mail geöffnet haben, ist möglicherweise unklar, ob bösartiger Code zum Diebstahl von Anmeldedaten ausgeführt wurde oder nicht.

Zur Untersuchung kann eine Microsoft-365-Defender-Advanced-Hunting-Anfrage verwendet werden, um die zehn letzten Anmeldevorgänge von E-Mail-Empfängern nach dem Öffnen der bösartigen E-Mails zu ermitteln. Die Abfrage hilft dabei, verdächtige Login-Aktivitäten im Zusammenhang mit den kompromittierten Anmeldedaten zu markieren.

In diesem Fall kann mittels einer generativen KI wie ChatGPT eine Microsoft-365-Defender-Hunting-Abfrage – das passende Prompting vorausgesetzt – erstellt werden, um die Anmeldeversuche der kompromittierten E-Mail-Konten zu überprüfen und die Angreifer vom System fernzuhalten. Zudem kann das Tool einen Einblick geben, ob die Benutzer ihre Passwörter ändern müssen. LLMs wie ChatGPT können effektiv dazu beitragen, die Zeit bis zur Reaktion auf einen Cybervorfall zu verkürzen.

Alternativ dazu könnte das Sicherheitspersonal mit dem gleichen Problem konfrontiert werden und die Microsoft-365-Defender-Hunting-Abfrage finden, nur um festzustellen, dass das interne System nicht mit der Kusto-Abfragesprache (Kusto Query Language, KQL) funktioniert. Anstatt nach dem richtigen Beispiel in der benötigten Sprache zu suchen, kann ChatGPT bei der Umsetzung der Abfragen in der richtigen Syntax helfen.

Threat Hunting: Vorteile von KI-Einsatz

Die fünf folgenden Eigenschaften von KI-gestützten Cybersicherheitslösungen helfen bei der Bedrohungsjagd:

• Selbstlernend: KI-gestützte Cybersicherheitslösungen, die bei der Erkennung von Bedrohungen helfen, können aus neuen Bedrohungen lernen und ihre internen (und verbundenen) Wissensdatenbanken aktualisieren. In digitalen Umgebungen ist diese automatische Anpassungsfähigkeit unerlässlich, um sie vor Angriffen zu schützen.

• Performance und Big Data: KI-gesteuerte Threat Hunting Engines können auch große Datenmengen in Echtzeit verarbeiten. Dies ermöglicht die Identifizierung von Mustern und Kompromittierungsindikatoren in bisher nicht gekannter Geschwindigkeit und Größenordnung.

• Predictive Analysis: Wenn KI-gestützte Engines die historischen Daten eines Unternehmens und andere Heuristiken analysieren, können sie potenzielle Bedrohungsvektoren und Schwachstellen vorhersagen. Die Security-Verantwortlichen können anschließend proaktive Maßnahmen ergreifen, um die damit verbundenen Probleme zu entschärfen.

• Gemeinsame Suche nach Bedrohungen: KI-gestützte Tools können die Zusammenarbeit zwischen Security-Analysten erleichtern, indem sie Daten aus verschiedenen Quellen korrelieren. Sie können dann potenzielle Verbindungen zwischen Bedrohungen vorschlagen, die keiner der beiden Parteien unabhängig voneinander bemerkt hätte.

• Automatische Reaktion: KI-Sicherheitslösungen können Reaktionen auf bestimmte Arten von Bedrohungen automatisieren, sobald diese erkannt wurden. Beispielsweise kann KI bestimmte IP-Adressen blockieren oder kompromittierte Systeme isolieren, wodurch Reibungsverluste und Reaktionszeiten verringert werden.

Obwohl KI-gestützte Tools Threat Hunter unterstützen können, kann KI menschliche Analysten noch nicht ersetzen. Ihnen fehlt die Fähigkeit, ein nuanciertes Verständnis aufzubauen und Cyberbedrohungen zu kontextualisieren.

Threat Hunter sollten deshalb Tools bevorzugen, die umfassende, kontextbezogene Erkenntnisse liefern. Sie müssen für eine Kreuzkorrelation zwischen Endgeräten, Netzwerken, mobilen Geräten, E-Mails und der Cloud sorgen, um auch die trügerischsten und raffiniertesten Cyberangriffe zu erkennen. Darüber hinaus sollte sichergestellt werden, dass die gesamte hybride Umgebung abgesichert ist.

Fazit

KI-Tools zur Unterstützung des Threat Huntings können den Jägern einen Vorteil bieten, wenn sie richtig eingesetzt werden. Laut der Cloud Security Alliance können diese Tools die betriebliche Effizienz steigern und die Reaktionszeiten verkürzen, wenn beispielsweise ChatGPT und andere umfangreiche LLMs zur Bedrohungssuche verwendet werden.

Durch die Erstellung von Abfragen für Malware-Forschungs- und Erkennungstools wie YARA ermöglicht ChatGPT es, potenzielle Bedrohungen schnell zu indentifizieren und enzudämmen. Infolgedessen kann mehr Zeit für Aufgaben mit höherer Priorität oder höherer Rentabilität im Bereich Cybersicherheit aufgewendet werden. Dass ist dann hilfreich, wenn es darum geht, in einer sich ständig weiterentwickelnden Bedrohungslandschaft eine starke Cybersicherheit aufzubauen und zu unterhalten. (jm)

Lesetipp: GenAI in der IT-Sicherheit – Wie LLMs Red und Blue Teams effizienter machen