Eine neue Ära in der Cybersicherheit dank KI: Prognosen für 2024
Künstliche Intelligenz (KI) spielt schon seit einigen Jahren eine wesentliche Rolle bei der Cybersicherheit. Das Jahr 2023 war jedoch durch die großflächige Einführung von Large Language Models (LLMs) besonders spannend. Wir beobachten bereits, wie die gesamte Cybersicherheitslandschaft durch LLMs transformiert wird. Diese Entwicklung bringt jedoch auch nie dagewesene Herausforderungen mit sich.
Einerseits erleichtern LLMs die Verarbeitung großer Informationsmengen und die Nutzung von KI durch die Allgemeinheit. Sie können enorme Effizienz, Intelligenz und Skalierbarkeit bei der Handhabung von Sicherheitslücken, der Verhinderung von Angriffen, der Behandlung von Alarmen und der Reaktion auf Vorfälle bieten.
Andererseits können auch Angreifer LLMs nutzen, um Angriffe effizienter zu gestalten und zusätzliche, durch LLMs geschaffene Sicherheitslücken auszunutzen. Der Missbrauch von LLMs kann zu weiteren Cybersicherheitsproblemen führen, z. B. zu unbeabsichtigten Datenlecks aufgrund der Allgegenwärtigkeit von KI.
Angesichts der Verbreitung von LLMs muss Cybersicherheit ganz neu gedacht werden. Dieser Denkansatz ist viel dynamischer, interaktiver und individueller. Zu Zeiten von Hardwareprodukten wurde die Hardware nur ausgetauscht, wenn sie durch die nächste neue Version ersetzt wurde. Im Zeitalter der Cloud konnte Software aktualisiert werden, und es wurden Kundendaten gesammelt und analysiert, um die nächste Softwareversion zu verbessern, aber nur, wenn eine neue Version oder ein Patch veröffentlicht wurde.
Heute, in der neuen Ära der KI, verfügt das von den Kunden verwendete Modell über eine eigene Intelligenz, kann kontinuierlich lernen und sich dem Nutzungsverhalten der Kunden anpassen – was diesen Vorteile verschaffen kann, aber auch Gefahren birgt. Darum müssen wir nicht nur bei der Entwicklung auf Sicherheit achten – sichere Modelle konzipieren und verhindern, dass Trainingsdaten „vergiftet“ werden –, sondern müssen auch nach der Bereitstellung von LLM-Systemen deren Sicherheit und ethische Aspekte bewerten und überwachen.
Vor allem müssen wir unsere Sicherheitssysteme mit eingebauter Intelligenz ausstatten (ähnlich wie wir Kindern moralische Standards vermitteln, anstatt nur ihr Verhalten zu reglementieren), damit sie lernfähig sind und richtige und fundierte Entscheidungen treffen können, ohne sich von schädlichen Inputs beirren zu lassen.
Was haben LLMs für die Cybersicherheit gebracht – im Guten wie im Schlechten? Ich werde darüber berichten, was wir im vergangenen Jahr dazugelernt haben, und ich werde meine Prognosen für das Jahr 2024 vorstellen.
Rückblick auf das Jahr 2023
Als ich vor einem Jahr (bevor die LLM-Ära begann) über die Zukunft des maschinellen Lernens in der Cybersicherheit schrieb, wies ich auf drei spezifische Herausforderungen für die KI in der Cybersicherheit hin: Genauigkeit, Datenmangel und mangelnde Grundwahrheit. Zudem nannte ich drei allgemeine KI-Herausforderungen, die im Bereich der Cybersicherheit jedoch besonders schwer wiegen: Erklärbarkeit, Fachkräftemangel und KI-Sicherheit.
Ein Jahr und zahlreiche Erfahrungen später zeigt sich, dass LLMs in vier dieser sechs Bereiche eine große Hilfe sind: Datenmangel, mangelnde Grundwahrheit, Erklärbarkeit und Fachkräftemangel. Die beiden anderen – nicht minder kritischen – Bereiche Genauigkeit und KI-Sicherheit stellen nach wie vor eine große Herausforderung dar.
Ich fasse die größten Vorteile des Einsatzes von LLMs in der Cybersicherheit in zwei Bereiche zusammen:
1. Daten
Gelabelte Daten
Dank LLMs konnten wir die Herausforderung, nicht genügend „Labeled Data“ zu haben, meistern.
Qualitativ hochwertige gelabelte Daten werden benötigt, um KI-Modelle und -Prognosen genauer und für die Cybersicherheit nutzbar zu machen. Solche Daten sind jedoch nur schwer zu beschaffen. So ist es beispielsweise schwierig, Malwaresamples zu finden, die uns Aufschluss über Angriffsdaten geben. Unternehmen, die Opfer eines Angriffs geworden sind, geben diese Informationen nur ungern preis.
LLMs sind hilfreich bei der Sammlung von Ausgangsdaten und bei der Synthese anhand vorhandener realer Daten. Davon ausgehend können wir schließlich neue Daten zu Angriffsquellen, -vektoren, -methoden und -absichten generieren und für neue Erkennungen verwenden, ohne uns auf reale Daten beschränken zu müssen.
Grundwahrheit
Wie bereits in meinem Artikel vom letzten Jahr erwähnt, lässt sich die Grundwahrheit im Bereich der Cybersicherheit nicht immer zweifelsfrei bestimmen. Mithilfe von LLMs können wir diese Situation erheblich verbessern, indem wir Lücken in unseren Erkennungs- und verschiedenen Malwaredatenbanken ermitteln, die False-Negative-Raten reduzieren und die Modelle regelmäßig neu trainieren.
2. Tools
LLMs eignen sich hervorragend, um Cybersicherheitsprozesse einfacher, benutzerfreundlicher und praktikabler zu gestalten. Den größten Einfluss auf die Cybersicherheit haben LLMs bisher im Bereich des Security Operations Center (SOC).
Die wichtigste Funktion für die Automatisierung von SOC mit LLM ist beispielsweise der Funktionsaufruf, mit dessen Hilfe Anweisungen in natürlicher Sprache in API-Aufrufe übersetzt werden können, um so das SOC direkt zu steuern. Zudem können LLMs Sicherheitsanalysten dabei unterstützen, Alarme und Vorfälle intelligenter und schneller zu bearbeiten. LLMs ermöglichen uns die Integration hochentwickelter Cybersicherheitstools, indem sie Befehle in natürlicher Sprache direkt vom Benutzer entgegennehmen.
Erklärbarkeit
Die bisherigen Modelle für maschinelles Lernen zeigten zwar gute Leistungen, konnten aber die Frage nach dem „Warum“ nicht beantworten. LLMs bieten hier völlig neue Möglichkeiten, indem sie das „Warum“ anhand von Genauigkeit und Zuverlässigkeit erklären. Dies wird die Bedrohungserkennung und die Risikobewertung grundlegend verändern.
Dank der Fähigkeit von LLMs, große Informationsmengen schnell zu analysieren, lassen sich Daten aus verschiedenen Tools leichter korrelieren: Ereignisse, Protokolle, Namen von Malwarefamilien, Informationen aus CVE (Common Vulnerabilities and Exposures) sowie aus internen und externen Datenbanken. Dies hilft nicht nur bei der Suche nach der Ursache eines Alarms oder eines Vorfalls, sondern verkürzt auch die MTTR (Mean Time to Resolve) für das Vorfallsmanagement immens.
Fachkräftemangel
In der Cybersicherheitsbranche sind zahlreiche Arbeitsplätze unbesetzt. Wir haben nicht genügend Fachleute, und die, die wir haben, können mit der riesigen Anzahl von Alarmen nicht Schritt halten. Mit LLMs lässt sich die Arbeitsbelastung von Sicherheitsanalysten enorm reduzieren: LLMs können große Informationsmengen zusammenstellen und verarbeiten, verstehen Befehle in natürlicher Sprache und können diese in die erforderlichen Schritte zerlegen sowie die passenden Tools für die Ausführung ihrer Aufgaben ermitteln.
Vom Sammeln von Fachwissen und Daten bis hin zur Analyse neuer Samples und Malware können LLMs zur schnelleren und effizienteren Entwicklung von Tools beitragen, mit denen neue Malware automatisch erkannt und analysiert und Cyberkriminelle identifiziert werden können.
Darüber hinaus müssen wir geeignete Tools für die KI-Infrastruktur entwickeln, damit nicht jeder ein Cybersicherheits- oder KI-Experte sein muss, um von der Nutzung künstlicher Intelligenz im Bereich der Cybersicherheit zu profitieren.
Drei Prognosen für 2024
Was den zunehmenden Einsatz von KI im Bereich der Cybersicherheit betrifft, so stehen wir eindeutig am Beginn einer neuen Ära: der Anfangsphase eines starken Wachstums, das häufig als „Hockey-Stick-Wachstum“ bezeichnet wird. Je mehr wir über LLMs lernen, mit denen wir unser Sicherheitsniveau verbessern können, desto wahrscheinlicher ist es, dass wir der Entwicklung (und den Angreifern) einen Schritt voraus sind, wenn es darum geht, das Beste aus der KI herauszuholen.
Meiner Meinung nach gibt es viele Bereiche bei der Cybersicherheit, in denen die zunehmende Nutzung von KI als wirksames Mittel im Kampf gegen die Komplexität und die wachsende Anzahl von Angriffsvektoren diskutiert werden sollte:
1. Modelle
KI-Modelle werden große Fortschritte bei der Erlangung fundierten Fachwissens machen, das den Bedürfnissen der Cybersicherheit gerecht wird.
Im vergangenen Jahr wurde der Verbesserung allgemeiner LLM-Modelle viel Aufmerksamkeit gewidmet. Die Forschung arbeitete intensiv daran, Modelle intelligenter, schneller und kostengünstiger zu machen. Allerdings klafft eine große Lücke zwischen dem, was diese Allzweckmodelle leisten können, und den Bedürfnissen der Cybersicherheit.
Insbesondere braucht unsere Branche nicht unbedingt ein riesiges Modell, das so unterschiedliche Fragen wie „Wie bereitet man Eggs Florentine zu?“ oder „Wer hat Amerika entdeckt?“ beantworten kann. Stattdessen werden für die Cybersicherheit hochpräzise Modelle benötigt, die über eingehende Kenntnisse verfügen, was Cybersicherheitsbedrohungen, -prozesse und Ähnliches angeht.
Im Bereich der Cybersicherheit ist Genauigkeit entscheidend. Zum Beispiel verarbeiten wir bei Palo Alto Networks jeden Tag mehr als 75 TB Daten von SOCs auf der ganzen Welt. Schon 0,01 % Fehleinschätzungen können katastrophale Folgen haben. Wir brauchen eine hochpräzise KI mit umfassendem Sicherheitshintergrund und -wissen, um maßgeschneiderte Dienste anbieten zu können, die auf die Sicherheitsbedürfnisse der Kunden ausgerichtet sind. Mit anderen Worten: Diese Modelle müssen eine geringere Anzahl von spezifischen Aufgaben erfüllen, dafür aber mit einer sehr viel höheren Genauigkeit.
Bei der Entwicklung von Modellen mit einem größeren vertikalen und domänenspezifischen Wissen machen die Ingenieure große Fortschritte. Daher bin ich zuversichtlich, dass es 2024 ein LLM mit dem Schwerpunkt Cybersicherheit geben wird.
2. Anwendungsszenarien
Die Cybersicherheit wird durch neue LLM-Anwendungsszenarien transformiert werden. LLMs werden dann für die Cybersicherheit unentbehrlich sein.
Im Jahr 2023 war die allgemeine Begeisterung angesichts der erstaunlichen Fähigkeiten der LLMs groß. Man hat sie als „Allzweckwaffe“ für jede Art von Fragestellung ausprobiert.
Im Jahr 2024 werden wir verstehen, dass LLMs nicht für jedes Anwendungsszenario geeignet sind. Es wird echte LLM-fähige Cybersicherheitsprodukte geben, speziell für Aufgaben, die gut mit den Stärken von LLMs harmonieren. Dies wird die Effizienz steigern, die Produktivität verbessern, die Benutzerfreundlichkeit erhöhen, echte Probleme lösen und die Kosten für die Kunden reduzieren.
Stellen Sie sich vor, Sie könnten Tausende von Playbooks für Sicherheitsprobleme lesen, beispielsweise für die Konfiguration von Appliances für Endpunktsicherheit, die Behebung von Leistungsproblemen, das Onboarding neuer Benutzer mit den richtigen Sicherheitsanmeldeinformationen und -berechtigungen und die Entflechtung der Sicherheitsarchitektur auf Anbieterbasis.
Die Fähigkeit der LLMs, die richtigen Informationen skalierbar und schnell zu konsumieren, zusammenzufassen, zu analysieren und zu produzieren, wird SOCs grundlegend verändern. Wie, wo und wann Sicherheitsexperten eingesetzt werden, wird dann völlig neu definiert.
3. KI-Sicherheit
Neben der Nutzung von KI für die Cybersicherheit sind auch die Entwicklung sicherer KI und die sichere Nutzung von KI, ohne die Intelligenz der KI-Modelle zu gefährden, wichtige Themen. In dieser Richtung gab es bereits viele Diskussionen und hervorragende Ansätze. Im Jahr 2024 werden konkrete Lösungen zum Einsatz kommen, die zwar noch provisorisch sind, aber in die richtige Richtung gehen. Außerdem muss ein intelligenter Bewertungsrahmen geschaffen werden, um die Sicherheit eines KI-Systems dynamisch zu bewerten.
Es darf nicht vergessen werden, dass auch Cyberkriminelle Zugang zu LLMs haben. So können Hacker mithilfe von LLMs problemlos eine erheblich größere Anzahl von Phishing-E-Mails mit viel höherer Qualität generieren. Zudem können sie LLMs nutzen, um neuartige Malware zu entwickeln. Aber die Branche geht bei der Nutzung von LLMs kooperativer und strategischer vor und hilft uns, den Bösewichten voraus zu sein und zu bleiben.
Am 30. Oktober 2023 erließ US-Präsident Joseph Biden ein Dekret über die verantwortungsvolle und angemessene Nutzung von KI-Technologien, -Produkten und -Tools. Demnach müssen KI-Anbieter alle notwendigen Schritte unternehmen, um sicherzustellen, dass ihre Lösungen für legitime Anwendungen und nicht für böswillige Zwecke eingesetzt werden.
In puncto KI gibt es einige Sicherheitsbedenken. Diese müssen wir ernst nehmen und immer davon ausgehen, dass Hacker bereits daran arbeiten, unsere Schutzmaßnahmen zu überwinden. Die simple Tatsache, dass KI-Modelle bereits weit verbreitet sind, hat zu einer erheblichen Ausweitung der Angriffsflächen und Bedrohungsvektoren geführt.
Dieser Bereich entwickelt sich sehr dynamisch und KI-Modelle verändern sich täglich. Selbst nach der Bereitstellung von KI-Lösungen entwickeln sich die Modelle ständig weiter und bleiben nie statisch, weshalb kontinuierliche Bewertung, Überwachung, Schutz und Optimierung dringend erforderlich sind.
KI wird bei immer mehr Angriffen zum Einsatz kommen. Unsere Branche muss der Entwicklung sicherer KI-Frameworks daher höchste Priorität einräumen. Dies wird ein gewaltiges Unterfangen sein, bei dem Anbieter, Unternehmen, akademische Einrichtungen, politische Entscheidungsträger und Regulierungsbehörden – kurz gesagt, das gesamte technologische Ökosystem – an einem Strang ziehen müssen. Das wird zweifellos schwierig werden, aber ich denke, dass uns allen bewusst ist, wie wichtig diese Aufgabe ist.
Fazit: Das Beste kommt noch
In gewisser Weise hat der Erfolg von universellen KI-Modellen wie ChatGPT uns bei der Cybersicherheit einen Bärendienst erwiesen. Wir haben alle gehofft, unsere LLMs entwickeln, testen, bereitstellen und kontinuierlich verbessern zu können, um sie stärker auf die Cybersicherheit auszurichten. Doch immer wieder wurde uns vor Augen geführt, dass die Cybersicherheit aufgrund ihrer sehr speziellen Eigenheiten ein schwieriger Bereich für die Anwendung von KI ist. Unser Erfolg hängt davon ab, ob wir alle vier kritischen Aspekte richtig angehen: Daten, Tools, Modelle und Anwendungsszenarien.
Die gute Nachricht ist, dass wir mit vielen klugen und entschlossenen Menschen zu tun haben, die verstehen, warum wir präzisere Systeme entwickeln müssen, die leistungsstark, intelligent, benutzerfreundlich und – vielleicht allem voran – der Cybersicherheit dienlich sind.
Ich habe das Glück, seit geraumer Zeit in diesem Bereich zu arbeiten, und ich bin immer wieder begeistert und erfreut über die Fortschritte, die meine Kolleginnen und Kollegen bei Palo Alto Networks und in unserer Branche tagtäglich machen.
Um auf den schwierigen Part der Prognose zurückzukommen: Die Zukunft lässt sich kaum mit absoluter Sicherheit vorhersagen. Aber diese beiden Dinge weiß ich mit Sicherheit:
- 2024 wird sich als herausragendes Jahr für die KI-Nutzung in der Cybersicherheit erweisen.
- 2024 wird im Vergleich zu dem, was noch kommen wird, verblassen.
Dr. May Wang, CTO für IoT Security bei Palo Alto Networks