Chatbots & LLMs in der Sicherheitspraxis
6 Wege zu mehr Security mit Generative AI
Foto: Yurchanka Siarhei - shutterstock.com
Die potenziellen Auswirkungen und Risiken von Generative-AI-Chatbots und Large Language Models (LLMs) auf, respektive für die Cybersicherheit werden seit dem kometenhaften Aufstieg von ChatGPT heiß diskutiert. Die Sicherheitsrisiken sind nicht wegzudiskutieren - generative KI hat jedoch auch das Potenzial, die Cybersicherheit in Unternehmen auf verschiedenen Ebenen voranzubringen. Angesichts der Aktivitäten im kriminellen Cyberuntergrund in Zusammenhang mit Generative AI könnte eine zusätzliche Härtung jedenfalls nicht schaden.
Im Folgenden zeigen wir Ihnen sechs Möglichkeiten auf, mit generativen KI-Chatbots und LLMs (künftig) Ihre Security zu optimieren.
1. Vulnerability Scanning
Glaubt man einer aktuellen Untersuchung der Cloud Security Alliance (CSA), lassen sich Vulnerability Scanning und Filtering mit Hilfe generativer KI-Modelle signifikant verbessern. In ihrem Report zeigen die Experten der CSA auf, dass sich OpenAIs Codex API als effektiver Schwachstellen-Scanner für Programmiersprachen wie C, C#, Java und JavaScript eignet: "Man kann davon ausgehen, dass LLMs wie die der Codex-Familie zur Standardkomponente bei künftigen Vulnerability-Scannern wird", heißt es in der Studie. So könne beispielsweise eine Lösung entwickelt werden, die unsichere Code-Patterns identifiziere und Developer dabei unterstütze, potenzielle Schwachstellen zu beheben, bevor sie zu kritischen Risiken werden, stellen die Security-Experten in Aussicht.
In Sachen Vulnerability Filtering könnten Generative-AI-Modelle nach Meinung der Sicherheitsforscher künftig wertvollen Kontext für die Bedrohungserkennung liefern, den menschliches Sicherheitspersonal möglicherweise übersehe. Als Beispiel nennen die CSA-Experten TT1059.001 - einen technischen Identifier innerhalb des MITRE ATT&CK-Frameworks. Dieser sei nicht allen Cybersecurity-Profis bekannt, was umfassende Erklärungen erfordere. Mit ChatGPT könne der Code hingegen zielgenau identifiziert und eine entsprechende Erklärung ausgegeben werden, schreiben die Forscher.
Im Mai kündigte das Unternehmen OX Security die ChatGPT-Integration OX-GPT an. Sie soll Entwickler mit maßgeschneiderten Empfehlungen für (Cut-and-Paste-)Code-Fixes unterstützen. Auch dabei, mögliche Kompromittierungsversuche zu verhindern und damit Schaden vom Unternehmen abzuwenden.
CSA has released Security Implications of ChatGPT, a whitepaper release candidate that provides guidance across four dimensions of concern around this extremely popular Large Language Model. Download now --> https://t.co/q5yt3xVshB pic.twitter.com/N4oubciPcp
— CloudSecurityAlliance (@cloudsa) April 24, 2023
2. Addons und API-Analyse
Anwendungs-Firewalls arbeiten auf Schicht 7 des OSI-Modells und können zahlreiche Bedrohungen wie Injections, Cross-Site Scripting (XSS) und andere Angriffe abfangen. Der Schutz gilt also der Server-Anwendung und deren Daten, nicht dem darauf zugreifenden Browser oder Gerät.?Aus technischer Perspektive handelt es sich meist um einen Reverse Proxy, der die?allenfalls?verschlüsselte (HTTPS-) Verbindung aufbricht, den Datenfluss in beide Richtungen kontrolliert und bei Bedarf verändert. Alternativ werden die Schutzfunktionen in die Anwendung eingebettet, diese Variante wird Runtime Application Self Protection (RASP) genannt und ist weniger verbreitet, weil die?Integration in die Anwendung deutlich aufwändiger ist.
Indem sie die APIs von Portable Executable (PE)-Dateien analysieren und mitteilen, wofür diese verwendet werden, könnten LLMs außerdem in Sachen Kommunikation über Applikationen unterstützen, so Fulmer: "Das kann die Zeit reduzieren, die Sicherheitsforscher damit verbringen, PE-Files zu durchsuchen und die API-Kommunikation zu analysieren."
3. Threat Hunting
Laut den Spezialisten der Cloud Security Alliance können Security-Entscheider die Effizienz steigern und die Reaktionszeiten verkürzen, indem sie ChatGPT und andere LLMs für Threat-Hunting-Zwecke nutzten. Generative AI könne dabei unterstützen, Bedrohungen schnell(er) zu identifizieren und zu entschärfen, indem es Abfragen für Malware-Research und -Detection-Tools erstelle. Die Regeln ließen sich dabei auf der Grundlage spezifischer Anforderungen und der Bedrohungen, die ein Unternehmen in seiner Umgebung erkennen beziehungsweise überwachen möchte, anpassen.
Die Verteidiger könnten sich hingegen auf die kritischen Aspekte ihrer Cybersicherheitsmaßnahmen konzentrieren, schreiben die Forscher.
: Mittels Block-Listen werden verdächtige Muster und bekannte Angriffsarten wie Cross-Site-Scripting oder Injection-Angriffe erkannt und blockiert.