Wie CISOs KI-Workloads absichern

Foto: 3rdtimeluckystudio – shutterstock.com

CISOs stehen vor der Herausforderung, mit der Geschwindigkeit des technologischen Wandels Schritt zu halten und die damit verbundenen Risiken zu managen. Ob Blockchain, Microservices in der Cloud oder GenAI-Workloads – ihre Aufgabe ist es, die Sicherheit und Widerstandsfähigkeit ihrer Unternehmen zu gewährleisten und die Risiken neuer Technologien und Geschäftsmodelle zu verstehen. Es gibt Konstanten wie Geschwindigkeit, Automatisierung und algorithmische Nutzung, die IT-Sicherheitsverantwortliche proaktiv berücksichtigen müssen.

Automatisierung

Unternehmen arbeiten mit Netzwerk- und Maschinengeschwindigkeit, was Echtzeit-Kontext und umsetzbare Erkenntnisse für die Sicherheit erfordert. Traditionelle Risikobewertungen werden durch die Notwendigkeit schneller Reaktionen untergraben. Automatisierung ist allgegenwärtig und wird durch GenAI-Tools weiter zunehmen, was neue Formen der Unterstützung in Infrastruktur-, Betriebs- und Sicherheitsanwendungen bringt. Algorithmen und mathematische Modelle sind ebenfalls zentral, jedoch oft undurchsichtig und erfordern Vertrauen in ihre Ergebnisse. CISOs müssen daher neue Technologien methodisch bewerten und die Risiken dieser rasanten Entwicklungen managen.

Das Unternehmen einbeziehen

Neue Technologien wie GenAI haben weitreichende Auswirkungen auf das Unternehmen. Man muss sicherstellen, dass Feedback und Erkenntnisse von den wichtigsten Stakeholdern im Unternehmen, einschließlich der IT-Abteilung, der Personalabteilung, der Rechtsabteilung und des Datenschutzverantwortlichen eingeholt werden. CISOs, die sich regelmäßig mit ihren Mitarbeitern im gesamten Unternehmen austauschen, können verhindern, dass sie von neuen Tools und Anwendungen überrascht werden. Sie sollten ihre Kollegen und Mitglieder der Security-Community fragen, wie diese derzeit KI nutzen und/oder wie sie KI für bestimmte Funktionen innerhalb des Unternehmens nutzen wollen.

Sie möchten sich regelmäßig über Generative AI im Zusammenhang mit Cybersicherheit informieren? Unser kostenloser GenAI-Newsletter liefert Ihnen alles, was Sie wissen müssen.

Bedrohungsmodellierung mit STRIDE & DREAD

Eine grundlegende Bedrohungsmodellierung ergänzt traditionelle Risikobewertungen und Penetrationstests und kann informell durchgeführt werden, wenn Eile geboten ist. CISOs und ihre Mitarbeiter sollten potenzielle KI-Anwendungsfälle durchgehen. Dabei sollten sie sich damit befassen, wie Benutzeraktivitäten innerhalb einer KI-Anwendung gefälscht, wie Informationen manipuliert, wie Transaktionen abgelehnt, wo Informationen offengelegt, wie Dienste verweigert und wie Privilegien innerhalb der Umgebung erhöht werden könnten. Das IT-Sicherheitsteam sollte diese Fragen mit Neugierde angehen und sich in einen Angreifer hineinversetzen, der versucht, ein bestimmtes System oder eine Anwendung auszunutzen.

Ein grundlegendes STRIDE-Modell stellt sicher, dass die wichtigsten Risiken bei der Analyse nicht übersehen werden. Dabei handelt es sich um eine Methode, die folgende sechs Sicherheitsrisiken unterscheidet:

• Spoofing (Identitätsverschleierung)

• Tampering (Manipulation)

• Repudiation (Verleugnung)

• Information disclosure (Verletzung der Privatsphäre oder Datenpanne)

• Denial of service (Verweigerung des Dienstes)

• Elevation of privilege (Rechteausweitung)

DREAD (= Damage, Reproducibility, Exploitability, Affected, Discoverability) wiederum befasst sich mit den Auswirkungen des Systems und ergänzt den STRIDE-Kontext. Der CISO und das Sicherheitsteam sollten den potenziellen Schaden abschätzen, der entstehen kann, wenn ein KI-Workload oder -Service kompromittiert wird. Dabei sind folgende Fragen entscheidend:

• Wie einfach wäre es, den Angriff auf das System zu reproduzieren?

• Wie viele Fähigkeiten und Werkzeuge sind erforderlich, um das gegebene System auszunutzen?

• Welche Benutzer und Systeme wären betroffen und wie schwierig wäre es, den Angriff zu entdecken?

Bewertung der Risiken

Neuere Anwendungen und Technologien wie GenAI verfügen möglicherweise nicht über die traditionelle Telemetrie. CISOs und Mitglieder des Sicherheitsteams müssen grundlegende Fragen über den KI-Dienst stellen. Eine einfache offene Frage kann dabei den Prozess einleiten:”Was sehen wir bei dieser Anwendung nicht, was wir sehen sollten, und warum sehen wir es nicht?”

Geht man einen Schritt weiter und stellt sich die Frage: “Was wissen wir nicht über diese Anwendung, obwohl wir es wissen sollten, und warum wissen wir es nicht?” Geht man diesen Fragen aus der Perspektive der Runtime, Auslastung und Konfiguration auf den Grund. Diese Art von offenen Fragen hat zu erheblichen Verbesserungen der Anwendungssicherheit geführt. Würden solche Fragen nicht gestellt, würden Sicherheitsexperten nicht erkennen, welchen Risiken Anwendungen zur Laufzeit ausgesetzt sind, dass Servicekonten zu häufig übermäßig autorisiert werden oder dass Code von Drittanbietern Schwachstellen einführt, die behoben oder zusätzliche Kontrollen implementiert werden müssen.

Register für identifizierte Risiken

Informationssicherheitsbeauftragte und ihre Teams sollten Bedenken hinsichtlich der Nutzung von GenAI-Anwendungen dokumentieren und festlegen, wie diese Risiken gemindert werden können. Es gibt viele Arten von Risiken, die GenAI mit sich bringen kann, darunter Probleme im Zusammenhang mit der Zuverlässigkeit und Sicherheit von Antworten, Daten und dem Verlust von geistigem Eigentum, die auftreten können, wenn diese Informationen in die Anwendung eingespeist werden; die weit verbreitete Verwendung von Deep Fakes und ausgeklügelten Phishing-Angriffen gegen das Unternehmen und polymorphe Malware, die die Umgebung schnell kontextualisiert und entsprechend angreift.

GenAI vergrößert die sprichwörtliche Angriffsfläche einer Organisation dramatisch, da diese Large Language Models (LLMs) schnell organisationsspezifische Angriffe auf der Basis von Mitarbeiterdaten und öffentlich verfügbaren Informationen erstellen können. Während die Algorithmen, die diese KI-Tools verwenden, verschleiert sind, sind die Daten, die sie verwenden, öffentlich zugänglich und können schnell sowohl für legitime als auch für böswillige Zwecke synthetisiert werden.

Ein Risikoregister kann helfen, all diese potenziellen Risiken beim Einsatz von KI-Tools und -Anwendungen zu dokumentieren. Letztendlich muss das Unternehmen entscheiden, ob die Vorteile einer bestimmten KI-Funktion oder -Anwendung die identifizierten Risiken überwiegen. Das Risikomanagement sollte im Unternehmen verbleiben. Als Sicherheitsbeauftragter hat man die Aufgabe, dafür zu sorgen, dass seine Mitarbeiter in der Geschäftsleitung über die Risiken, die möglichen Abhilfemaßnahmen und die erforderlichen Ressourcen informiert sind.

Lesetipp: GPT-4 nutzt erfolgreich Schwachstellen aus

Fokus auf Schulung und kritisches Denken

KI hat das Potenzial, unsere Wirtschaft grundlegend zu verändern, so wie das Internet die Geschäftswelt durch allgegenwärtige Konnektivität und den Zugang zu Informationen in nahezu Echtzeit modernisiert hat. Der sprichwörtliche Geist ist aus der KI-Flasche entwichen. Kreative und neue Anwendungen der KI werden in rasantem Tempo entwickelt. Marktkräfte und Innovation sind nicht mehr aufzuhalten. Als Sicherheitsexperten müssen wir uns proaktiv mit diesem Wandel auseinandersetzen, Risikoquellen bewerten und umsichtige Empfehlungen zur Risikominderung geben, ohne dabei den Geschäftsbetrieb zu unterbrechen oder zu verlangsamen.

Lesetipp: Der große KI-Risiko-Guide

Das ist zwar keine leichte Aufgabe für unseren Berufsstand und unsere Teams. Wenn man jedoch einen proaktiven Ansatz verfolgt und dafür sorgt, dass Mitarbeiter im kritischen Denken geschult, und Dienstleistungen zielgerichtet einsetzt werden, können Organisationen widerstandsfähiger werden, wenn sie sich mit den Auswirkungen von KI auf das Geschäft auseinandersetzen.

Durch den zunehmenden Einsatz von KI in Unternehmen werden zweifellos neue Geschäftsmodelle und abgeleitete Technologien entstehen. CISOs müssen diesen Kontext nutzen, um die Wirksamkeit ihrer aktuellen und zukünftigen Sicherheitspraktiken und -werkzeuge zu bewerten. Die Angreifer sind hoch qualifiziert und nutzen automatisierte Techniken, um Organisationen zu kompromittieren. Sie nutzen bereits skrupellose Formen der GenAI, um neue Zero-Day-Exploits und andere ausgeklügelte Angriffe zu entwickeln, wobei sie häufig Social Engineering einsetzen, um Schlüsselrollen und Interessengruppen anzugreifen.

Kurz gesagt, Angreifer entwickeln ihr Spiel weiter. Als Sicherheitsverantwortlicher hat man die Pflicht, dasselbe zu tun. Es ist klar, dass das Tempo und die Geschwindigkeit von Sicherheitsmaßnahmen erhöht werden müssen, um Risiken zu begegnen, die zur Runtime und mit Netzwerkgeschwindigkeit ausgeführt werden. (jm)