Werden KI orchestrierte Cyber-Angriffe zur Realität?

Lange gab es keine Beweise zu KI-gesteuerten, autonomen Angriffen. Mit der ersten gemeldeten KI-orchestrierten Cyberspionagekampagne hat sich dies geändert. Das ThreatLabZ-Team von Zscaler erläutert, wie sich Sicherheitsverantwortliche gegen KI gesteuerte Angriffe wappnen können.

Anthropic berichtete über eine von China staatlich geförderte Kampagne, bei der 80 bis 90 Prozent der taktischen Operationen mithilfe von agentenbasierter KI automatisiert wurden. Dazu zählen Aufklärung, Exploit-Validierung, Sammeln von Anmeldedaten, laterale Bewegung, Datenanalyse und Exfiltration. Die menschliche Aufsicht beschränkte sich auf Eskalationsschritte. Etwa 30 Organisationen waren von diesem Angriff betroffen – darunter große Technologieunternehmen und Regierungsbehörden.

KI perfektioniert bewährte Angriffstaktiken

Die Art und Weise des Angriffsmusters basiert auf einem bewährten Playbook. Bisher nie dagewesen ist jedoch die Geschwindigkeit, mit der KI diese Attacke umgesetzt hat. Während menschliche Angreifer Minuten bis Stunden benötigen, um die Angriffsstrategie zu überdenken oder an neue Informationen anzupassen, kann KI das in einer Millisekunde bewältigen. Zugleich können verschiedene Optionen gleichzeitig getestet werden und damit erweist sich das KI-Vorgehen als deutlich effektiver. Darüber hinaus kennt die KI keine kognitive Erschöpfung und kann sich somit kreativ mit Permutationsgenerierung, Pfaddurchquerung und OPSEC-Sicherheit befassen, was weit über die menschlichen Fähigkeiten hinausgeht.

Die Kunst der Täuschung: Die Schwachstelle in KI-orchestrierten Angriffen

Da KI-Agenten massiv parallel arbeiten und alle realisierbaren Optionen gleichzeitig verfolgen, ist die Wahrscheinlichkeit der Interaktion mit einer Attrappe hoch. Autonome Hacking-Agenten legen keine Vorsicht an den Tag oder sind zögerlich, wie der Mensch. KI-Agenten werden alle Möglichkeiten mit hoher Wahrscheinlichkeit aggressiv verfolgen und durch ein solches Verhalten Frühwarnsignale bei den Sicherheitsteams auslösen. Somit kann ein KI-gesteuerter Hacker-Angriff abgewehrt bzw. frühzeitig mithilfe einer gezielten Täuschungsstrategie erkannt werden.

Bei der Implementierung einer solchen Strategie sind die folgenden Punkte zu beachten:

  • Perimeter-Täuschung: Platzieren eines Köders in Form von VPNs, Firewalls, E-Mail-Servern und Test-Umgebungen, die Schwachstellen aufweisen.
  • Identitätsbasierte Täuschung: Einsatz von Honeypot-Usern, SPNs, Rollen und Schlüsseln, die den tatsächlichen RBAC- und Gruppenstrukturen entsprechen. Verbinden des ersten Kontakts mit einer automatischen Sperrung und einer verstärkten Authentifizierung.
  • Realistische Täuschung: Einrichten von Schein-Webdiensten, Datenbanken, Registrierungen und Verwaltungskonsolen mithilfe von Vorlagen, die dem realen Stack entsprechen (Versionen, Banner, Authentifizierungsabläufe). Regelmäßiges Wechseln von Bannern und kleineren Fehlkonfigurationen.
  • Dark Data-Köder: Einbetten von Lockdateien, die als Köder in sensibel aussehenden Datensätzen und Konfigurationsfeldern fungieren, und Überwachen dieser zum Zeitpunkt der Abfrage/Exfiltration mit deterministischen Warnmeldungen.
  • Automatisierung der Reaktion: Behandeln eines Treffers auf eine Lockdatei als Auslöser für eine Eindämmung/Orchestrierung durch den Widerruf des Tokens, Isolieren des/der Hosts/Sitzungen, Blockieren des Datenausgangs – und darauffolgende Weiterleitung des angereicherten Kontexts an SOC-Playbooks und IR.

Ausblick

Dieses jüngst aufgedeckte Angriffsmuster zeigt auf, dass KI als eigenständiger Cyber-Akteur auftreten kann. Die oben beschriebenen Täuschungstechniken können von KI gesteuerte Cyberangriffe in klare Warnsignale verwandeln. Diese moderne Technik sollte mit bestehenden Sicherheitskontrollen wie Identitäts-, Geräte-, Netzwerk- und Datenschutzsystemen kombiniert werden. So lassen sich Angriffe früher erkennen, schneller eindämmen und die Zeit, die Angreifer im System verbringen können, stark verkürzen.

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de

Zurück