Die Cybersicherheitsbranche hat möglicherweise gerade ihren „ChatGPT-Moment“ erlebt. Anthropics neues System wurde Anfang April vorgestellt. Claude Mythos Vorschaumodell hat offenbar Tausende von Zero-Day-Schwachstellen mit hohem und kritischem Schweregrad in Open-Source- und proprietärer Software gefunden – einige davon sind über 20 Jahre alt. Dadurch verspricht das Unternehmen, das Zeitfenster für die Ausnutzung von Sicherheitslücken, in dem Netzwerkverteidiger hektisch versuchen, diese vor ihren Angreifern zu beheben, deutlich zu verkürzen. Anthropics Entscheidung, dieses Modell zu verwenden, … Projekt Glasswing – wo Anbieter die Technologie nutzen werden, um neuartige Sicherheitslücken zu finden und zu beheben – wird noch mehr Störungen verursachen.
Die Auswirkungen auf Sicherheitsteams sind kaum zu überschätzen. Doch sie haben einen entscheidenden Vorteil: Das Thema hat die Führungsetagen erreicht. Dies könnte eine einmalige Chance sein, Finanzmittel und Ressourcen für eine neue Ära KI-gestützten Schwachstellenmanagements zu sichern.
Was bedeutet das für CISOs?
Selbst wenn es gelingt, Mythos vor Hackern zu schützen, gilt dies nicht für andere Modelle anderer Anbieter. Dies hat erhebliche Auswirkungen für CISOs:
- Kurzfristig werden die Teams wahrscheinlich mit Notfall-Patches von Anbietern überschwemmt werden, die sich dem Project Glasswing angeschlossen haben.
- Staatliche Akteure könnten versuchen, etwaige angehäufte Zero-Day-Exploits relativ bald einzusetzen, bevor sie durch KI-gestützte Entdeckung wertlos werden.
- Längerfristig müssen CISOs damit rechnen, dass ähnliche Funktionen wie Mythos in die Hände von Cyberkriminellen und staatlichen Akteuren gelangen. Dies wird laut einer neuen Studie die Anzahl und Häufigkeit komplexer, neuartiger Angriffe „dramatisch erhöhen“. Branchenbericht.
Wie gut ist Mythos?
Laut dem Bericht der Cloud Security Alliance (CSA), OWASP, SANS und anderer Organisationen stellt Mythos einen Quantensprung in der KI-gestützten Schwachstellenerkennung und -ausnutzung dar. Der Bericht argumentiert, dass sich Modelle dieser Art dadurch unterscheiden, dass sie:
- Autonomer und zuverlässiger, da Exploits selbstständig entwickelt werden, ohne dass „Scaffolding“ – der externe Code und die Schutzmechanismen, die LLMs oft zum Funktionieren benötigen – erforderlich sind.
- Fähigkeit, komplexe, miteinander verkettete Schwachstellen zu identifizieren
- Alles lässt sich mit einem einzigen Befehl erledigen.
Nach dem Testen von Mythos jedoch Britisches Institut für KI-Sicherheit (AISI) Es gibt jedoch einige wichtige Einschränkungen. Einem neuen Bericht zufolge erzielt Mythos Preview bei Capture-the-Flag-Aufgaben auf Expertenniveau eine Erfolgsquote von 73 %. Cyberangriffe in der Praxis sind jedoch weitaus komplexer. Aus diesem Grund entwickelte das AISI „The Last Ones“ (TLO): eine 32-stufige Simulation eines Unternehmensnetzwerkangriffs, die von der ersten Aufklärung bis zur vollständigen Netzwerkübernahme reicht. Ein Mensch bräuchte dafür etwa 20 Stunden. Mythos war zwar das erste Modell, das TLO vollständig lösen konnte, jedoch nur in drei von zehn Fällen. Laut AISI könnte eine höhere Rechenleistung für Inferenzanalysen die Leistung weiter verbessern.
Wichtiger noch, so das Institut, beweise dies lediglich, dass Mythos in der Lage sei, „autonom kleine, schwach verteidigte und anfällige Unternehmenssysteme anzugreifen, sobald der Zugriff auf ein Netzwerk erlangt wurde“. In der realen Welt dürfte dies dank „aktiver Verteidiger und entsprechender Verteidigungswerkzeuge“ deutlich schwieriger sein.
Vorbereitung auf eine post-Mythos-Ära
In der Zwischenzeit empfahl das AISI Sicherheitsteams, sich auf die Grundlagen zu konzentrieren: „regelmäßige Installation von Sicherheitsupdates, robuste Zugriffskontrollen, Sicherheitskonfiguration und umfassende Protokollierung“. Es wies außerdem darauf hin, defensive Nutzung der Grenze KI für Dinge wie:
- Systemhärtung durch kontinuierliches Scannen, Aufdecken von Schwachstellen und Fehlkonfigurationen, Kartierung von Angriffspfaden und Testen der Ausnutzbarkeit
- Verbesserung der Bedrohungserkennung und -untersuchung durch Priorisierung, Erkennung von Mustern in Protokollen und Erstellung von Berichtszusammenfassungen
- Automatisierung von Reaktionsmaßnahmen wie das Blockieren von Datenverkehr, das Quarantänen von Prozessen und das Entziehen des Benutzerzugriffs
Martin Riley, CTO von Bridewell, ergänzt, dass CISOs sich dringend mit dem kontinuierlichen Bedrohungsmanagement (CTEM) befassen sollten.
„Inventarisierung von Assets, Priorisierung der Angriffsfläche, Validierung von Kontrollmaßnahmen und Mobilisierung zur Behebung von Sicherheitslücken. Ohne kontinuierliche Transparenz Ihrer Gefährdungslage agieren Sie im Blindflug“, erklärt er gegenüber IO (ehemals ISMS.online). „Zweitens: Testen Sie Ihre Erkennungsmethoden auf Herz und Nieren gegen Bedrohungen, die Ihnen völlig unbekannt sind. Investieren Sie in anomaliebasierte Erkennung und umfassende Netzwerktelemetrie. Signaturbasierte Ansätze erfassen keine KI-generierten Exploit-Ketten.“
CISOs müssen ihre Teams außerdem auf eine Phase „anhaltender operativer Intensität“ vorbereiten, warnt Riley.
„Das CSA-Papier hob Burnout zu Recht als operationelles Risiko hervor. CISOs müssen Kapazitäten planen, Personal anfordern und den Einsatz von KI-Systemen in ihren Teams beschleunigen, um mit den Entwicklungen Schritt zu halten“, argumentiert er. „Schließlich müssen die Grundlagen gestärkt werden. Segmentierung, ausgehende Filterung, Phishing-resistente Multi-Faktor-Authentifizierung und mehrschichtige Verteidigung. Diese Maßnahmen erhöhen die Kosten der Ausnutzung, unabhängig davon, wie die Schwachstelle entdeckt wurde. Reife entsteht nicht über Nacht. Jetzt ist der richtige Zeitpunkt zum Investieren.“
Bestehende Rahmenbedingungen als Grundlage
Jeff Williams, Gründer von OWASP und CTO von Contrast Security, argumentiert, dass bestehende Best-Practice-Standards und Rahmenwerke wie ISO 27001 und NIST CSF eine Rolle beim Übergang in eine Welt nach Mythos spielen können.
„Bestehende Frameworks können hier hilfreich sein, aber hauptsächlich als Liste konzeptioneller Zielvorgaben. Sie erfordern Governance, Transparenz, Kontrolle, Erkennung, Reaktion und kontinuierliche Verbesserung“, erklärt er gegenüber IO. „Doch in einer Welt nach Mythos, in der sowohl Entwickler als auch Angreifer durch KI extrem beschleunigt werden, muss nahezu jede Aktivität, die diese Frameworks implizieren, neu gedacht werden, um diese Ergebnisse mithilfe KI-gestützter Arbeitsabläufe zu erzielen.“
Es gehe nicht darum, die gleiche Arbeit schneller zu erledigen, sondern vielmehr darum, „periodische, manuelle, auf Checklisten basierende Sicherheitsmaßnahmen“ in etwas zu verwandeln, das „kontinuierlicher, maschinenlesbarer und besser zu verteidigen ist“, fährt er fort.
„CTEM, KI-gestützte Erkennung, Laufzeitsicherheit und kontinuierliche Beobachtung sind die Mittel, mit denen man diese Rahmenkonzepte in einen echten Nachweis dafür umsetzt, dass die Sicherheit sowohl in der Entwicklung als auch im Betrieb tatsächlich korrekt und effektiv ist“, argumentiert Williams.
Pukar Hamal, Gründer und CEO von SecurityPal AI, sieht auch für ISO 27001, NIST CSF, SOC 2 und sogar Cyber Essentials eine wichtige Rolle. „Sie sind nach wie vor gute Ausgangspunkte, da sie die grundlegende Disziplin erzwingen, die den meisten Organisationen noch fehlt: ein Inventar des eigenen Eigentums, ein Verständnis dafür, wer darauf zugreifen darf, und ein dokumentiertes Vorgehen im Fehlerfall“, erklärt er gegenüber IO. „Nichts davon verliert auch nach dem Mythos an Bedeutung.“
Allerdings müssen CISOs ihre Sicherheitsstrategie nach Mythos auf kontinuierlicher Gewährleistung und nicht auf periodischen Bestätigungen aufbauen.
„Die klügsten Sicherheitsverantwortlichen, mit denen ich spreche, betrachten ISO 27001 bereits als die Basis und bauen still und leise selbst die zweite Ebene auf“, schlussfolgert er.
Erweitern Sie Ihr Wissen
Podcast: Phishing-Alarm Folge 08: Sichere Software, sichereres Geschäft
