Andrew Grealy: Laut einer Umfrage verfügen sechzig Prozent der Unternehmen über bekannte, aber noch nicht gepatchte Schwachstellen. Dies liegt vor allem daran, dass sich Sicherheitsteams traditionell darauf konzentrieren, hoch bewertete, risikoreiche CVEs (Common Vulnerabilities and Exposures) mit einer Bewertung von über 8 oder 9 zu patchen, anstatt CVEs mit niedrigeren Bewertungen zu berücksichtigen. Bei diesem Ansatz wird jedoch ein entscheidender Punkt übersehen: Bösewichte interessieren sich nicht für CVE-Bewertungen. Stattdessen suchen sie nach dem einfachsten Weg in das Unternehmen, und das ist oft keine hochriskante Schwachstelle, die gerade in den Schlagzeilen war. Angreifer zielen auf niedrig bewertete Schwachstellen auf der gesamten Angriffsoberfläche ab – solche, die einen Einfallstor für eine Kompromittierung bieten.

Sobald sie in ein Unternehmen eingedrungen sind, können sich die Angreifer lateral im gesamten Netzwerk bewegen. Anstatt nur auf CVEs und ähnliche Listen zu achten, sollten Unternehmen daher einen proaktiven Cybersicherheitsansatz verfolgen, der es den Sicherheitsteams ermöglicht, die gesamte Angriffsfläche zu schützen und das Cyberrisiko ihres Unternehmens in Echtzeit zu verwalten. Durch die Verwaltung des gesamten Lebenszyklus von Cyberbedrohungen – Erkennung und Verwaltung von Ressourcen, Erkennung von Bedrohungen in der Frühphase, Erkennung von Schwachstellen, Priorisierung und Behebung – können Sicherheitsteams ihre proaktive Cyber-Sicherheitsabwehr effektiver gestalten.

Anstatt nur die hoch eingestuften CVEs auszunutzen, haben es Angreifer auf die häufigsten Schwachstellen abgesehen. Aus diesem Grund sollten sich Sicherheitsteams nicht nur auf die hoch bewerteten CVEs konzentrieren, sondern auch die allgemeinen Schwachstellen verstehen und deren Schutz verstärken. Sicherheitsteams sollten nicht ihre gesamte Zeit und Mühe darauf verwenden, zuerst die bekannten Schwachstellen zu patchen und die Liste von hoch zu niedrig eingestuften CVEs abzuarbeiten. Diesen Prozess sollten sie so weit wie möglich mit KI-gesteuerten Diensten automatisieren, um Zeit und Ressourcen zu gewinnen, um stattdessen mehr Zeit auf die Suche nach den allgemeinen Schwachstellen verwenden zu können.

Sicherheitsteams sollten in der Tat unbedingt nach unbekannten Schwachstellen und Schatten-IT suchen und ihre Angriffsfläche auch aus der Perspektive eines Angreifers betrachten. Beispiele für häufig vernachlässigte Assets sind unternehmenseigene oder von Drittanbietern entwickelte Programme, die auf bestimmte Geschäftsmodelle oder -prozesse ausgerichtet sind, aber nicht regelmäßig gepatcht werden. Solche Software kann voller unbekannter Schwachstellen sein, die niemand von außen sehen und beheben kann. Die Gefahr besteht dann, wenn Angreifer in diese Programme eindringen und sich damit Zugang zum Unternehmen verschaffen. Da sowohl Angreifer als auch Sicherheitsteams über bekannte Schwachstellen Bescheid wissen, ist es wahrscheinlicher, dass diese überwacht und gesichert werden, sobald sie entdeckt werden. Unbekannte Schwachstellen schaffen jedoch blinde Flecken für Sicherheitsteams, die Angreifer ausnutzen können, gerade weil sie vor den Sicherheitsteams nicht gesehen werden. So haben sie genügend Zeit, sich lateral zwischen den Systemen zu bewegen und ihre Ziele, etwa Informationsdiebstahl – unbemerkt von den Sicherheitsteams – zu erreichen.

Der Wettlauf um den Einsatz von KI in der Cybersicherheit hat begonnen. Sowohl Bedrohungsakteure als auch Verteidiger setzen KI-gesteuerte Systeme ein. Mithilfe von KI können Bedrohungsakteure das Ausmaß und die Raffinesse von Angriffen in einer Weise steigern, wie es ihnen bisher nicht möglich war. Unser Armis-Labs-Team hat mehrere Bedrohungsakteure identifiziert, die KI aktiv nutzen, um ihre Cyberfähigkeiten zu verbessern. Darüber hinaus senkt KI auch die Einstiegshürde selbst für unbedarfte Angreifer. Das bedeutet, dass für das Einschleusen von KI-gestützter Malware, Phishingkampagnen und Denial-of-Service-Angriffe nicht mehr die umfassenden technischen Kenntnisse erforderlich sind, die früher erforderlich waren. Bedrohungsakteure haben nun die Möglichkeit, Angriffe zu automatisieren und anzupassen, wodurch sie präziser und schwieriger zu erkennen sind.

Die einzige Möglichkeit, KI-gestützte Angriffe zu bekämpfen, sind KI-gestützte, defensive Cybersicherheitsprodukte. Für Unternehmen ist ein proaktiver Sicherheitsansatz, der KI-gestütztes Cyber-Exposure-Management nutzt, entscheidend, um mit den immer raffinierteren Cyber-Bedrohungen von heute Schritt zu halten. KI verbessert die Fähigkeiten zur Erkennung und Automatisierung von Bedrohungen und ermöglicht es Unternehmen, Risiken schneller und effizienter zu identifizieren und zu neutralisieren und gleichzeitig ihre Abwehr an die Dynamik der heutigen Bedrohungslandschaft anzupassen. Glücklicherweise haben Verteidiger den Vorteil, dass sie ihre eigene Umgebung genau kennen, was ihnen einen erheblichen Vorteil gegenüber Angreifern verschafft, die von außen agieren. Führungskräfte müssen den Einsatz von KI-gestützten Tools zur Verteidigung der gesamten Angriffsfläche ihres Unternehmens und zur Verwaltung des Cyber-Risikos ihres Unternehmens in Echtzeit priorisieren, um den gesamten Lebenszyklus von Cyberbedrohungen effektiv anzugehen.

Armis verfügt über ein spezielles Daten- und Forschungsteam – Armis Labs – das sich der Untersuchung und Aufdeckung neuer Angriffsvektoren widmet, die Unternehmensinfrastrukturen gefährden, sowie der Identifizierung der verstecktesten, risikoreichsten Assets, die von Angreifern ins Visier genommen werden. Armis Labs analysiert ständig Daten aus der Armis Asset Intelligence Engine, einer kollektiven KI-gestützten Wissensdatenbank, die Milliarden von Assets weltweit überwacht, um Cyberrisikomuster und -verhaltensweisen zu identifizieren und die Ergebnisse in Echtzeit bereitzustellen. Diese Intelligenz wiederum bildet die Grundlage für Armis Centrix, unserer Plattform für das Management von Cyberrisiken.

Wir verfolgen eine Reihe von Trends, da die Bedrohungslandschaft immer dynamischer wird. Wie erwartet, wird es weitere Entwicklungen geben, wie KI sowohl die defensiven als auch die offensiven Fähigkeiten verbessern wird. Hierzu gehört, dass große Sprachmodelle das derzeitige Niveau an Fachwissen übertreffen werden, auch wenn sie immer noch vor der Herausforderung stehen, ein tiefes Verständnis zu entwickeln. Es wird erwartet, dass Large Language Models aufgrund ihrer weiten Verbreitung und der ständigen Verbesserung ihrer Fähigkeiten ihre Vorrangstellung behalten. Vor diesem Hintergrund werden generative KI-Modelle eine entscheidende Rolle bei der Cybersicherheit für Angreifer und Verteidiger spielen. An der Verteidigungsfront werden diese Modelle beim Erstellen fortschrittlicher Playbooks, dem Formulieren von Sicherheitsrichtlinien, dem Generieren von Testfällen für Sicherheitssysteme und dem Rationalisieren von Prozessen wie dem Patchmanagement helfen. Umgekehrt können Angreifer generative KI verwenden, um Social-Engineering-Techniken zu verfeinern oder die Entwicklung von bösartigem Code zu automatisieren. Cyberkriminelle könnten KI nutzen, um Phishingangriffe maßzuschneidern, bestehende Schwachstellen als Waffe einzusetzen und KI-gesteuerte Malware zu entwickeln, die sich dynamisch anpasst, um Sicherheitsmaßnahmen zu umgehen. Folglich benötigen Cybersecurity-Experten robuste, KI-gestützte Tools.