Cyberangriffe KI-Agenten: Werden mit KI orchestrierte Cyberangriffe zur Realität?

Anbieter zum Thema

Zscaler Germany GmbH

d.velop AG

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Lange gab es keine Beweise für KI-gesteuerte Angriffe. Mit der ersten gemeldeten, mit KI-Agenten orchestrierten Cyberspionage-Kampagne hat sich dies geändert. Das ThreatLabZ-Team von Zscaler gibt Tipps, wie sich Sicherheitsverantwortliche vor KI-gesteuerten Angriffe schützen können.

Anthropic berichtete über eine von China staatlich geförderte Cyberspionage-Kampagne, bei der 80 bis 90 Prozent der taktischen Operationen mithilfe von KI-Agenten automatisiert wurden. Dazu zählen Aufklärung, Exploit-Validierung, Sammeln von Anmeldedaten, laterale Bewegung, Datenanalyse und Exfiltration. Die menschliche Aufsicht beschränkte sich auf Eskalationsschritte. Etwa 30 Organisationen waren von diesem Angriff betroffen – darunter große Technologieunternehmen und Regierungsbehörden.

KI-Agenten perfektionieren bewährte Angriffstaktiken

Die Art und Weise des Angriffsmusters basiert auf einem bewährten Playbook. Bisher nie dagewesen ist jedoch die Geschwindigkeit, mit der KI diese Attacke umgesetzt hat. Während menschliche Angreifer Minuten bis Stunden benötigen, um die Angriffsstrategie zu überdenken oder an neue Informationen anzupassen, kann künstliche Intelligenz das in einer Millisekunde bewältigen. Zugleich können verschiedene Optionen gleichzeitig getestet werden und damit erweist sich das KI-Vorgehen als deutlich effektiver. Darüber hinaus kennt die KI keine kognitive Erschöpfung und kann sich somit kreativ mit Permutationsgenerierung, Pfaddurchquerung und OPSEC-Sicherheit befassen, was weit über die menschlichen Fähigkeiten hinausgeht.

Die Kunst der Täuschung: Die Schwachstelle in KI-orchestrierten Angriffen

Da KI-Agenten massiv parallel arbeiten und alle realisierbaren Optionen gleichzeitig verfolgen, ist die Wahrscheinlichkeit der Interaktion mit einer Attrappe hoch. Autonome Hacking-Agenten legen keine Vorsicht an den Tag oder sind zögerlich, wie der Mensch. KI-Agenten werden alle Möglichkeiten mit hoher Wahrscheinlichkeit aggressiv verfolgen und durch ein solches Verhalten Frühwarnsignale bei den Sicherheitsteams auslösen. Somit kann ein KI-gesteuerter Hacker-Angriff abgewehrt beziehungsweise frühzeitig mithilfe einer gezielten Täuschungsstrategie erkannt werden. Bei der Implementierung einer solchen Strategie sind fünf folgende Aspekte zu beachten:

• Perimeter-Täuschung: Platzieren eines Köders in Form von VPNs, Firewalls, E-Mail-Servern und Test-Umgebungen, die Schwachstellen aufweisen.
• Identitätsbasierte Täuschung: Einsatz von Honeypot-Usern, SPNs, Rollen und Schlüsseln, die den tatsächlichen RBAC- und Gruppenstrukturen entsprechen. Verbinden des ersten Kontakts mit einer automatischen Sperrung und einer verstärkten Authentifizierung.
• Realistische Täuschung: Einrichten von Schein-Webdiensten, Datenbanken, Registrierungen und Verwaltungskonsolen mithilfe von Vorlagen, die dem realen Stack entsprechen (Versionen, Banner, Authentifizierungsabläufe). Regelmäßiges Wechseln von Bannern und kleineren Fehlkonfigurationen.
• Dark-Data-Köder: Einbetten von Lockdateien, die als Köder in sensibel aussehenden Datensätzen und Konfigurationsfeldern fungieren, und Überwachen dieser zum Zeitpunkt der Abfrage/Exfiltration mit deterministischen Warnmeldungen.
• Automatisierung der Reaktion: Behandeln eines Treffers auf eine Lockdatei als Auslöser für eine Eindämmung/Orchestrierung durch den Widerruf des Tokens, Isolieren des/der Hosts/Sitzungen, Blockieren des Datenausgangs – und darauffolgende Weiterleitung des angereicherten Kontexts an SOC-Playbooks und IR.

KI-Agenten treten als eigenständige Cyber-Akteure auf

Dieses jüngst aufgedeckte Angriffsmuster zeigt auf, dass künstliche Intelligenz als eigenständiger Cyber-Akteur auftreten kann. Die oben beschriebenen Täuschungstechniken können von KI-Agenten gesteuerte Cyberangriffe in klare Warnsignale verwandeln. Diese moderne Technik sollte mit bestehenden Sicherheitskontrollen wie Identitäts-, Geräte-, Netzwerk- und Datenschutzsystemen kombiniert werden. So lassen sich Angriffe früher erkennen, schneller eindämmen und die Zeit, die Angreifer im System verbringen können, stark verkürzen.

Übernahme von Red Canary

Security Operations: Zscaler forciert KI-gesteuerte Plattform