Organisationen haben sich in der Vergangenheit intensiv mit einer kritischen Komponente ihrer Cybersecurity auseinandergesetzt: ihren Mitarbeitenden. Durch kontinuierliches Training haben sie die „Schwachstelle Mensch“ minimiert indem die Nutzer lernten, beispielsweise potenzielle Phishing-Attacken aufgrund sprachlicher Unregelmäßigkeiten oder falscher Rechtschreibung und Grammatik zu erkennen.
KI-generierte Social-Engineering-Angriffe heben nun die Herausforderung an die mitarbeiterbezogene Security auf ein neues Niveau, da sie die verräterischen Elemente aus Scams, Phishing-Versuchen und anderen Social-Engineering-Angriffen entfernen können. Die Technologie ist so weit fortgeschritten, dass die Betrügereien kaum noch von authentischen Nachrichten zu unterscheiden sind.
So kann beispielsweise eine gefälschte E-Mail vom Vorgesetzten dank künstlicher Intelligenz überzeugender klingen als je zuvor, wodurch es den Beschäftigten schwerer fällt, Fakt von Fiktion zu unterscheiden. Im Falle solcher Betrügereien sind die Risiken von KI-Sprachtools nicht technischer, sondern sozialer Natur – und damit beängstigend.
Die Verwendung von mehrschichtigen, neuronalen Netzen hat die Leistung des maschinellen Lernens in vielen Bereichen, etwa Bilderkennung, maschinelle Übersetzung und Malware-Klassifizierung, erheblich verbessert. Mit zunehmender Skalierung werden neuronale Netze immer besser und sind somit durchaus in der Lage, echte „Game Changer“ zu sein.
Das macht momentan der Chatbot ChatGPT mehr als deutlich. Basis für das Programm ist das ebenfalls von OpenAI stammende Sprachverarbeitungsmodell GPT-4. Im Supercomputing-Maßstab und im Zusammenspiel mit maschinellem Lernen, nutzten Security-Hersteller diese fortschrittliche Technologie, um noch bessere Sicherheitsanwendungen zu realisieren.
GPT-4 bietet enorme Potenziale für die IT-Security
GPT-4 ist ein vortrainiertes, umfangreiches Sprachmodell, dessen Flexibilität und Genauigkeit durchaus bahnbrechend sind. Und genau an dieser Stelle ist die menschliche Kreativität gefragt, nämlich wo und wie sich diese Technologie sinnvoll im Kampf gegen Cyber-Kriminalität einsetzen lässt. Denn wenn Eingabe- und Ausgabedaten in Text umgewandelt werden können, sind die Anwendungsmöglichkeiten von GPT-4 auch in diesem Bereich endlos.
Da GPT-4 selbstüberwacht und in großem Umfang trainiert wurde, hat sich gezeigt, dass es bei mehreren Klassifizierungsproblemen mit nur wenigen Beispielen gut abschneidet. Herkömmliche maschinelle Lernmodelle, die mit wenigen Beispielen trainiert werden, weisen häufig Probleme mit der Überanpassung auf. Sprich, sie lassen sich nicht gut auf zuvor nicht existente Beispiele verallgemeinern. Mit dem GPT-4 „Few-Shot Learning“ hingegen benötigen Security-Experten nur wenige kommentierte Trainingsbeispiele und übertrifft damit herkömmliche Modelle.
Lesbare Erklärungen für schwer zu entzifferndem Code
Das Reverse Engineering von Befehlszeilen ist selbst für Sicherheitsexperten eine schwierige und zeitraubende Aufgabe. Noch schwieriger ist es, „Living-off-the-Land“-Befehle zu verstehen, denn diese sind lang und enthalten schwer zu analysierende Zeichenketten. Angreifer nutzen hierfür Standard-Apps und Standard-Prozesse auf dem Computer ihrer Opfer, um beispielsweise Phishing-Aktivitäten zu tarnen.
GPT-4 kann eine Befehlszeile in eine verständliche Beschreibung übersetzen – zum Beispiel aus einer gegebenen Beschreibung des Codes einen funktionierenden Python- oder Java-Code schreiben. Es ist auch möglich, GPT-4 zu bitten, mehrere Beschreibungen aus einer Befehlszeile zu generieren, und die ausgegebenen Beschreibungen werden mit Token-Wahrscheinlichkeiten auf Wortebene versehen, um den besten Kandidaten auszuwählen. Der Ansatz von Sophos AI zur Auswahl der besten Beschreibung aus mehreren Varianten ist die Verwendung einer Rückübersetzungsmethode, die diejenige Beschreibung auswählt, die die ähnlichste Befehlszeile zur Eingabebefehlszeile erzeugen kann.
Die Mechanismen, insbesondere das Erstellen und Trainieren von KI-Modellen, sind bereits heute ein enorm wichtiger Teil im Gesamtsystem der Cyber-Verteidigung. Die Erkennung von KI-erzeugten Phishing-Mails ist dabei nur eine von vielen Möglichkeiten, Cyber-Kriminellen einen Schritt voraus zu sein. Vielmehr werden KI-Technologien künftig eine entscheidende Rolle bei jeglichem Aufspüren von Angriffsmustern spielen und voraussichtlich schon bald die primäre Waffe gegen Cyber-Kriminalität sein.
Michael Veit ist Security-Experte bei Sophos.
