Kleine Sprachmodelle und ihre Auswirkungen auf die OT-Sicherheit
Prayukth KV
Kleine Sprachmodelle und ihre Auswirkungen auf die OT-Sicherheit
Während Small Language Models (SLMs) oft als sicherer (in mancher Hinsicht) oder sogar harmloser als ihre größeren Gegenstücke betrachtet werden, ist es durchaus möglich, SLMs leicht zu missbrauchen, um OT-Infrastruktur anzugreifen. In unserem neuesten Blogbeitrag enthüllen wir die Cybersecurity-Dimensionen von SLMs und welche Sicherheitsmaßnahmen von OT-Betreibern ergriffen werden können, um ihre Infrastruktur gegen auf SLMs basierte Angriffe zu schützen.
Die Bedrohungen durch SLMs verstehen
· Datensammlung: SLMs können geschult werden, um Daten über bestimmte Unternehmen und anfällige Ziele innerhalb solcher Organisationen zu sammeln (oder zu exfiltrieren). Beispielsweise kann ein Personalverantwortlicher ein Ziel für eine bösartige Nutzlast in einem Bewerbungsschreiben sein.
· Social Engineering: Die oben genannten Daten können auch genutzt werden, um SLMs zu trainieren, um hoch überzeugende und personalisierte Phishing-E-Mails, Nachrichten, Anrufe oder sogar Deepfake-Audio/-Video zu erstellen. Aufgrund der geringen Größe der SLMs können sie schneller trainiert werden. SLMs können auch verwendet werden, um geleakte Passwörter von Zielpersonen aus dem Web und dem Dark Web zu erkennen und abzuschröpfen.
· Verwundbarkeitsscans und Exploit-Generierung: Bösewichte können SLMs als "persistente Angriffsagenten" nutzen, um Schwachstellen, ungepatchte Systeme oder Systeme im Wartungsmodus ohne ausreichende Kontrolle zu entdecken. Durch das Training eines SLMs auf Netzwerk-Konfigurationsdaten, Fehlerberichte und Code kann es schnell mehrere Schwächen in einem System identifizieren und mögliche Angriffspfade für Bedrohungsakteure generieren. Weiterhin können SLMs verwendet werden, um bösartigen Code zu generieren oder bestehende Exploits anzupassen, um Sicherheitsmaßnahmen zu umgehen.
· Angriffe auf SLMs: Die Modelle selbst können ein Ziel sein. Angreifer können Techniken wie Prompt Injection verwenden, bei der ein bösartiger Prompt erstellt wird, um das SLM zu zwingen, unbeabsichtigte Aktionen auszuführen, oder Data Poisoning, bei dem bösartige Daten in den Trainingssatz eingespeist werden, um das Verhalten und die Ausgaben des Modells zu manipulieren. Wenn sie in einer verbundenen Umgebung eingesetzt werden,
· können SLMs auch verwendet werden, um Zero-Days in Geräten zu finden
· Denial of Service (DoS) Angriffe: SLMs können verwendet werden, um innerhalb kurzer Zeit eine massive Anzahl von Anfragen zu generieren, um einen Server zu überlasten und einen Dienst für legitime Benutzer unzugänglich zu machen.
· Lieferkettenangriffe: SLMs können auch von schädlichen Akteuren in Komponenten eingebettet werden, die Teil eines kritischen Systems sind, um später als Hintertüren ausgenutzt zu werden.
Wie in unserem Bericht zur OT-Sicherheitsbedrohungslandschaft erwähnt, unterstützen SLMs auch Bedrohungsakteure bei der Planung groß angelegter Breach-Kampagnen. Mini-SLMs werden auch entworfen, um als Malware-Zusammensteller zu fungieren und/oder offene Ports oder Einstiegspunkte in ein Zielnetzwerk zu identifizieren. Mindestens zwei APT-Gruppen haben ihre eigenen Mini-SLMs entwickelt und verwenden diese aktiv, um nach neuen Malware-Varianten zu suchen, die in freier Wildbahn geerntet werden können.
Wie können OT-Betreiber ihre Infrastruktur gegen Bedrohungen durch KI und SLMs schützen?
· SLMs und der Einsatz von KI im Allgemeinen sollten als Aktivität betrachtet werden, die eine vorherige Genehmigung und Ausnahmeregelung erfordert. Standardmäßig sollten KI und SLMs als weniger sichere Optionen für die Verbindung mit Geschäftstätigkeiten angesehen werden
· Stellen Sie sicher, dass OT-Sicherheitsprüfungen regelmäßig durchgeführt werden: Durch die Durchführung von IEC 62443-basierten Bewertungen können OT-Betreiber sicherstellen, dass Sicherheitsrisiken identifiziert und behoben werden, bevor sie ausgenutzt werden. Der Risikobewertungsanbieter sollte in IEC 62443 versiert sein, insbesondere bei der Durchführung von OT-Risikobewertungen gemäß IEC 62443 2-1, 3-2 und 3-3
· Mitarbeiter regelmäßig schulen: Stellen Sie sicher, dass die Mitarbeiter sich der Bedrohungen durch den Einsatz von KI bewusst sind und keine Verhaltensweisen an den Tag legen, die Daten, Anmeldedaten oder Teile der Infrastruktur gefährden könnten
· NDR einsetzen: Durch den Einsatz einer Network Detection and Response-Lösung wie Shieldworkz können OT-Betreiber jede anomale Aktivität oder Bedrohung erkennen und eine geeignete Antwort auslösen, um die Bedrohung einzudämmen
· Stellen Sie eine ausreichende Vorbereitung und Reaktionsbereitschaft auf Zwischenfälle bereit, um mit jedem Vorfall, der durch eine Verletzung durch KI verursacht wird, umzugehen.
· Schützen Sie Kronjuwelen mit zusätzlichem Schutz: Verwenden Sie Mikrosegmentierung, um Kernsysteme vor unbefugter Aktivität zu sichern
· Entwickeln und implementieren Sie eine unternehmensweite OT-Sicherheitsrichtlinie , die sich der durch den Einsatz von KI verursachten Bedrohungen bewusst ist.
Interessiert an einer IEC 62443-basierten Bewertung, um die Schwächen Ihrer Sicherheitsposition kennenzulernen? Kontaktieren Sie uns
Erhalten Sie eine kostenlose NIS2-Bereitschaftsaudit-Beratung.
Sprechen Sie uns für ein Informationspaket über IEC 62443 und KI-Sicherheit an
Erfahren Sie mehr über unsere Angebote zur OT-Sicherheit.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
Entpacken Sie Handalas Resilienz-Leitfaden
Prayukth K V
Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit
Team Shieldworkz
Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden
Prayukth K V
Bewältigung der Herausforderungen bei der Umsetzung von NIS2
Team Shieldworkz
Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht
Team Shieldworkz
