Die Cybersecurity erlebt die Revolution der Künstlichen Intelligenz (KI). Jeden Tag wird eine neue Ankündigung eines Produkts oder Features gemacht, das sich KI-Modelle (LLMs) zunutze macht, um die Sicherheitsoperationen schneller, präziser oder effizienter zu machen. Einige Experten sprechen bereits aufgeregt von vollständig autonomen SOCs, wobei die Aufgabe des Sicherheitsanalysten dem Untergang geweiht ist. Die Frage ist jedoch, ob wir wirklich erwarten können, dass KI die Fähigkeiten zur Bedrohungserkennung und -abwehr übernehmen wird. Während die Entstehung der KI-Singularität noch möglich ist, kann nicht behauptet werden, dass ein vollständig autonomer, KI-gesteuerter SOC niemals existieren wird.
Die generativen KI-Fähigkeiten sind in der Tat beeindruckend, aber sie sind noch begrenzt. Basierend auf einer Vielzahl von Trainingsdaten erstellen GenAI-Systeme Texte, Bilder und sogar Musik. Dennoch sind diese Kreationen von Ideen und Konzepten begrenzt, die von Menschen geschaffen wurden. Originalideen sind für aktuelle Systeme noch weit außer Reichweite. Diese Systeme sind begrenzt, weil sie die Konzepte und Ideen, mit denen sie arbeiten, nicht verstehen und nur Textströme generieren, die ihren Trainingsmengen ähneln. Es gibt klare Anzeichen von “verklärtem Autocompletion”, wie es einige beschrieben haben.
Die Bedrohungserkennung stellt ein riskantes Terrain für SOCs dar, die LLMs verwenden, da es so aussieht, als ob die Modelle Erkennungsinhalte für uns erstellen können. Die Schaffung einer Regel für die Erkennung einer log4j-Attacke ist zwar möglich, jedoch noch sehr begrenzt. KI-Modelle haben Schwierigkeiten, unbekannte Angriffe zu erkennen, da es eine Zeitspanne zwischen dem ersten Auftreten von Angriffen und ihrer Entdeckung, Verständnis und Beschreibung durch Menschen gibt, bevor die KI die Inhalte verarbeiten kann. Menschen mussten diese Angriffe zuerst finden und verstehen, bevor die Inhalte produziert wurden.
Menschen sind begeistert von der Leistungsfähigkeit dieser neuen Modelle und behaupten, dass LLMs bald unbekannte Angriffe erkennen werden. Dies ist jedoch aufgrund der beschränkten KI-Technologie und des Konzepts unbekannter Angriffe nicht korrekt. Smarte Angreifer finden heraus, wie Erkennungssysteme funktionieren, und entwickeln dann neue Angriffe, die außerhalb des Sichtbereichs der Detektionsmaschinen liegen. Es gibt bisher kein KI-System, das Angriffsverhalten auf diesem Niveau analysieren kann und Lösungen bereitstellt. Das bleibt weiterhin Aufgabe von Menschen, bis eine künstliche allgemeine Intelligenz (AGI) entwickelt wird.