Abwehr von Supply-Chain-Angriffen
KI schützt die digitale Lieferkette
Fortsetzung des Artikels von Teil 1
Globalisierungsproblem
Mit der zunehmenden Nutzung von Drittanbieter-Software und -Services müssen Unternehmen die Angebote und Kommunikation ihrer Zulieferer strenger prüfen. Im Zuge der steigenden Globalisierung und Vernetzung nutzen jedoch auch die Zulieferer selbst weitere externe Dienstleistungen. So kann jede Sicherheitslücke in der weltweiten digitalen Supply Chain sozusagen als Kollateralschaden jede beliebige Organisation betreffen. Sogar wer die Software mit der Schwachstelle selbst gar nicht einsetzt, kann durch eingeschleppte Risiken Schaden erleiden.
Angesichts dieser neuen Gefahr dürfen sich Organisationen nicht mehr nur auf ihre eigene Cybersecurity konzentrieren. Sie müssen auch sicherstellen, dass ihre Lieferanten geeignete Schutzmaßnahmen ergreifen. Doch dies allein reicht nicht, da Cyberkriminelle immer wieder Wege finden, um selbst strengste Kontrollen zu umgehen. Daher gibt es kein Patentrezept, um alle Angriffe auf die digitale Supply Chain zu entdecken. Die eigentliche Herausforderung besteht darin, das Risiko zu akzeptieren. Das heißt: Unternehmen sollten nicht mehr erwarten, dass sie Supply-Chain-Angriffe vollständig vermeiden können. Stattdessen müssen sie in der Lage sein, erfolgreiche Angriffe möglichst schnell zu erkennen und zu stoppen.
Die wohl schwierigste Aufgabe ist es dabei, Phishing-Mails von gehackten Konten eines Lieferanten zu erkennen. Denn herkömmliche Security-Tools lassen solche gefälschten E-Mails durch, da sie scheinbar von vertrauenswürdigen Partnern stammen. Dagegen können neue KI-Techniken solche E-Mails erkennen, da sie vom bisherigen Verhalten des Absenders abweichen. Wie dies funktioniert, erklärt folgendes Beispiel aus der Praxis. Beim Empfänger der Phishing-Mail handelt es sich um einen Getränkehersteller. Er verfügt über eine weit verzweigte globale Lieferkette mit vielen Partnern. Angreifer kompromittierten einen dieser Partner und versandten Phishing-Mails an alle Kunden, darunter den Getränkelieferanten. Obwohl der Absender vom KI-basierten Security-Programm bereits als vertrauenswürdig eingestuft war, erkannte es leichte Veränderungen im Vergleich zu früheren E-Mails. Diese Kommunikation wurde entsprechend als „Out of Character“ (uncharakteristisch) und „Suspicious Link“ (verdächtiger Link) markiert – mit Spam-Wahrscheinlichkeit von 100 Prozent.
Die KI-Lösung erkannte eine Reihe von Anomalien, darunter die Quelle der E-Mail, die Art der Links und ihre Verbindung mit dem Unternehmen sowie die Sprache und die Absicht des E-Mail-Textes. Tatsächlich konnte nur das KI-basierte System auf Basis von unüberwachtem maschinellem Lernen (ML) diese subtilen Abweichungen erkennen. Die anderen vom Unternehmen genutzten Security-Tools ließen diese E-Mail durch. Der verdächtige Link führte zur legitimen Dateispeicherseite canva.com, die jedoch zum Hosten einer Malware diente. Cyberkriminelle verwenden diese Taktik häufig, um herkömmliche Sicherheitstools zu täuschen, die solche Dateispeicher auf Basis von Reputationsprüfungen als legitim einstufen. Die KI-Lösung erkannte jedoch, dass dieser spezielle Link verdächtig ist.
Der kompromittierte Anbieter entdeckte nach kurzer Zeit den Angriff und versandte seinerseits legitime E-Mails mit einer Warnung vor den Phishing-Versuchen an seine Kunden und Partner. Obwohl diese kurz nach den bösartigen E-Mails eintraf, be-wertete die KI-Lösung diese nur mit 31 Prozent Wahrscheinlichkeit als Spam. Als
anschließend die Angreifer weiterhin Phishing-Mails über das gleiche Konto verschickten, erkannte sie diese wiederum als Gefahr.
Sichere agile Entwicklung
Aber nicht nur Phishing, auch kompromittierte Software gefährdet die Lieferkette. Schon zu Beginn des Entwicklungsprozesses können Schwachstellen im Code entstehen, sei es durch fehlende Sicherheitstests oder durch Komponenten von Drittanbietern. Deshalb müssen DevSecOps-Prozesse für eine sichere agile Entwicklung sorgen. Unternehmen sollten dabei nicht nur ihre Eigenentwicklungen berücksichtigen, sondern auch die genutzte Software oder Komponenten von Drittanbietern. Wer keine nachprüfbaren Sicherheitsgarantien geben kann, muss damit rechnen, dass sein Code überprüft oder abgelehnt wird.
Auch im laufenden Betrieb oder bei Updates können Cyberkriminelle Schwachstellen in installierter Drittanbieter-Software ausnutzen. Wenn sich Angreifer bereits im System befinden, ist Abwehrtechnik unbedingt nötig, die das Ausnutzen von Schwachstellen innerhalb der eigenen Infrastruktur erkennt. Dies ist mit herkömmlichen Security-Tools kaum möglich. KI-gestützte Analysen erkennen dagegen solche Auffälligkeiten und Abweichungen. Dazu dient eine KI, die das individuelle Verhalten einer Organisation selbstständig erlernt. So versteht sie, was in dieser einzigartigen digitalen Umgebung „normal“ ist, und kann Abweichungen und anormales Verhalten erkennen und stoppen.
Dieses Verständnis für jeden Benutzer und jedes Gerät im gesamten Unternehmen entwickelt sich im laufenden Betrieb weiter. Mit unüberwachtem ML lassen sich somit Angriffe entdecken, sobald diese Daten manipulieren, Abwehrmaßnahmen umgehen oder andere ungewöhnliche Aktivitäten durchführen. Gerade bei Innentätern oder Supply-Chain-Angriffen ist diese Methode unverzichtbar, da herkömmliche Security-Tools die Quellen als vertrauenswürdig einschätzen.
Maximilian Heinemeyer ist Chief Product Officer bei Darktrace.
- KI schützt die digitale Lieferkette
- Globalisierungsproblem
Lesen Sie mehr zum Thema
