vchalup - stock.adobe.com
Wie Angreifer KI und ML gegen Unternehmen einsetzen
Von KI profitieren sowohl Unternehmen als auch Cyberangreifer. Erfahren Sie hier, wie Hacker KI und ML nutzen, um gegen Firmen vorzugehen und wie man sich schützen kann.
Die IT Security hat in den vergangenen Jahren enorm von den Fortschritten beim Machine Learning (ML) und bei der künstlichen Intelligenz (KI) profitiert. Sicherheitsteams in Firmen werden heutzutage mit Daten über verdächtige Aktivitäten geradezu überflutet. Bislang waren sie aber oft allein, wenn sie nach der sprichwörtlichen Nadel im Heuhaufen suchen mussten. Künstliche Intelligenzen helfen den Verteidigern dabei, echte Gefahren in den gesammelten Daten durch das Erkennen verdächtiger Muster, Hinweise auf Malware oder Änderungen beim Verhalten der Anwender aufzuspüren.
Unglücklicherweise haben aber auch die Angreifer mittlerweile herausgefunden, dass sich KI und ML zu ihrem Vorteil und gegen Unternehmen einsetzen lassen. Der auch für sie leichte Zugang zu leistungsfähigen Cloud-Umgebungen macht es einfach, mit dem Einstieg in die KI zu beginnen und auf dieser Basis mächtige, sich selbst laufend verbessernde ML-Modelle zu entwickeln.
Lassen Sie uns daher einen Blick darauf werfen, wie Hacker künstliche Intelligenzen und maschinelles Lernen gegen Unternehmen einsetzen. Wir werden dabei auch zeigen, welche Möglichkeiten Sie haben, solche KI-basierten Cyberattacken abzuwehren.
Angreifer setzen KI auf drei Arten gegen Unternehmen ein
1. Sie testen, wie gut sich ihre Malware gegen KI-basierte Virenscanner schlägt
Cyberangreifer können maschinelles Lernen auf verschiedene Art und Weise für sich nutzen. Die erste und zugleich meist effektivste Methode ist, selbst eine eigene ML-Umgebung aufzusetzen und die Malware und Angriffsmethoden so auszurichten, dass sie lernen, welche Ereignisse und welches Verhalten sie vermeiden müssen, weil die Antivirenhersteller gezielt danach suchen.
Eine fortgeschrittene Malware kann zum Beispiel lokale Systembibliotheken und Komponenten manipulieren, Prozesse im Arbeitsspeicher ausführen und mit einer oder mehreren Domains Verbindung aufnehmen, die zur Infrastruktur der Angreifer gehören. Alle diese Aktivitäten erzeugen jedoch ein Profil, das auch als „Taktiken, Techniken und Verfahren“ oder nach den englischen Begriffen als TTP (Tactics, Techniques, Procedures) bezeichnet wird. ML-Modelle suchen nach solchen TTPs und nutzen sie zum Ausbau ihrer Fähigkeiten zur Erkennung bestimmter Angriffe.
Durch das Beobachten und Voraussagen, wie TTPs durch Sicherheitsteams erkannt werden, können Angreifer die von ihnen verwendeten Indikatoren und Verhaltensweisen in kleinen, meist schnell aufeinanderfolgenden Schritten anpassen, so dass sie allen Gegenspielern immer ein Stück voraus sind, die auf moderne KI-Methoden zur Abwehr von Cyberangreifern setzen.
2. Sie verwirren die gegnerische KI mit falschen Daten
Cyberangreifer können Machine Learning und künstliche Intelligenzen auch missbrauchen, um sich in fremden Umgebungen festzusetzen. Dazu füttern sie die verwendeten KI-Modelle mit gefälschten Daten. Machine Learning und Künstliche Intelligenzen benötigen korrekt markierte Daten, um auf dieser Basis zutreffende und wiederholbare Erkennungsprofile zu erstellen. Durch das Hinzufügen von eigentlich gutartigen Dateien, die ähnlich aussehen wie Malware oder durch das Entwickeln bestimmter Muster beziehungsweise Verhaltensweisen, die sich später als False Positives herausstellen, können die Angreifer die KI-Modelle hereinlegen. Diese gehen dann zum Beispiel davon aus, dass bestimmte Angriffsmethoden doch nicht gefährlich sind. Angreifer können die KI-Modelle zudem auf die falsche Fährte locken, indem sie bösartige Dateien nutzen, die bei den Trainingsläufen der KI aber als gutartig eingestuft wurden.
3. Sie bilden existierende KI-Modelle nach
Andere Angreifer sind danach bestrebt, bereits existierende oder sich in Entwicklung befindliche KI-Modelle nachzubilden. Indem sie lernen, wie diese Modelle funktionieren und zu was sie im Stande sind, können sie herausfinden, wie sie die Verteidigungsmaßnahmen bei ihrer Arbeit stören. Die Hacker manipulieren die Modelle, so dass sie die Angreifer und die von ihnen verwendeten Methoden durchlassen oder sogar bevorzugen. Außerdem ist es möglich, dass die Angreifer ihnen bekannte Modelle komplett umgehen, indem sie eine Entdeckung durch das wiederholte Verändern kleiner Parameter verhindern. Das genügt oft schon, um die KI auszutricksen.
Wie man sich gegen KI-basierte Attacken schützen kann
Ein Verteidigen gegen KI-basierte Attacken ist extrem schwer. Die Sicherheitsteams müssen daher dafür Sorge tragen, dass die in ihren ML- und KI-Modellen verwendeten Daten korrekt markiert sind. Durch diese Maßnahme werden die für das Training der Modelle verwendbaren Daten aber weniger, so dass insgesamt die Genauigkeit der KI leidet.
Für die mit der Entwicklung von KI-Methoden zur Abwehr von Cyberangriffen beschäftigten Personen ist es außerdem wichtig, sich genauer mit den dabei verwendeten Methoden und Tricks zu beschäftigen. Auf diese Weise können sie ihre Modelle so anpassen, dass sie gegen in der Realität beobachtete Angriffstechniken besser gewappnet sind. So haben Forscher an der Johns Hopkins University das Software-Framework TrojAI entwickelt, das KI-Modelle für Trojaner und andere Malware erstellt. Wissenschaftler am Massachusetts Institute of Technology (MIT) haben zudem das Tool TextFooler veröffentlicht, das Vergleichbares für natürlichsprachliche Muster erledigt. Das ist nützlich, um bessere und widerstandsfähigere KI-Modelle zu entwickeln, die etwa Bankbetrug früher erkennen können.
Weil die KI zunehmend an Bedeutung gewinnt, werden auch immer wieder Angreifer versuchen, die Anstrengungen der Verteidiger durch ihre eigene Forschung zu überwinden. Es ist daher für die Sicherheitsteams essenziell, sich fortlaufend über aktuelle Angriffsmethoden auf dem Laufenden zu bleiben. Nur so können sie sich effektiv dagegen wehren.
