Black Hat 2023 – Rückblick: 7 wichtige Erkenntnisse und was uns erwartet
Die Sicherheitswelt traf sich kürzlich auf der Black Hat 2023 in Las Vegas für eine vollgepackte Woche mit Schulungen, Briefings und Anbieter-Sitzungen zu Themen rund um die Cybersicherheit. Dashlane war dabei und hat sich inspirieren lassen.
Die Konferenz hatte für Sicherheitsbegeisterte aller Couleur und Qualifikationsniveaus etwas zu bieten. Im Folgenden stellen wir Ihnen die wichtigsten Themen vor, die für die Zukunft der Cybersicherheit wegweisend sein werden.
KI hat die Macht, anzugreifen, zu verteidigen und Gegenangriffe durchzuführen
Es ist nicht überraschend, dass die KI im Mittelpunkt der diesjährigen Konferenz stand. In ihrer Eröffnungsrede erinnerte uns Maria Markstedter, CEO von Azeria Labs, daran, dass die KI angreifen, verteidigen und Gegenangriffe durchführen kann. Genau wie ein Mensch kann sie jedoch auch auf einen Phishing-Link reinfallen (wer möchte dies zum Anlass nehmen, auf Passkeys umzusteigen?). Es ist offensichtlich, dass wir noch nicht mal annähernd das volle Potenzial der KI-Fähigkeiten in Bezug auf offensive und defensive Sicherheit ausgeschöpft haben. Da ist noch viel Luft nach oben.
Hacker waren Menschen. Jetzt werden sie zu KI.
Wie verteidigt man sich gegen einen Social-Engineering-Angriff, bei dem man von einem KI-Bot angerufen wird, der genau wie der eigene Vorgesetzte spricht? Denken Sie an Terminator 2, als der T1000 sich als Johns Pflegeeltern ausgab; Terminator Arnold kontert, indem er John nachahmt und dem T1000 eine Frage stellt, die nur die Mutter beantworten kann, um die Imitation zu entlarven. Da KI-basierte Hacks immer häufiger auftreten, müssen Sie sicherstellen können, dass Sie der Person vertrauen können, mit der Sie kommunizieren.
Alles dreht sich um Daten
Ein weiterer roter Faden war die Bedeutung von Daten als Informationsquelle und wie man sie nutzt, um KI-Modelle zu trainieren sowie Angriffe zu verhindern, zu erkennen und darauf zu reagieren. Daten sind auch ein Asset. Die meisten Gespräche bei Black Hat drehten sich um Datenschutz und wie man unbefugten Zugriff darauf sowie Datenverlust verhindert. Brian Vecci von Varonis scherzte in seinem Vortrag: „Daten sind wie Jurassic Park: Sie tauchen auf unerwartete Weise zu einem unerwarteten Zeitpunkt an unerwarteten Orten auf.“
KI-Chatbots werden schnell zu einem alltäglichen Tool. Erfahren Sie, inwiefern KI-Chatbots wie ChatGPT Jobs beeinflussen könnten.
Identität muss ein Kernelement der Sicherheit sein
Selbst nach so vielen Jahren haben wir in der Sicherheitsbranche immer noch Schwierigkeiten, die Identität zu einem zentralen Bestandteil der Sicherheit zu machen. Gefährdete Identitäten – menschliche Identitäten sowie solche, die von Computern zur Kommunikation mit anderen Maschinen verwendet werden – sind und werden weiterhin die Hauptursache für die meisten Sicherheitsverletzungen sein. Glücklicherweise wird Identität bei der Modernisierung von Unternehmen mittlerweile in fast allen Aspekten der Sicherheit berücksichtigt. Dinge wie Verhaltensanalysen von Nutzern, Zero Trust und das Prinzip der geringsten Privilegien sind viel erfolgreicher, wenn man mit Blick auf die Identität an sie herangeht.
Passkeys sind die Zukunft, insbesondere im Zeitalter der KI
Technologie-Vorreiter der gesamten Branche arbeiten gemeinsam an einer passwortlosen Zukunft. Auch Phishing war wie immer ein großes Thema in vielen Sitzungen. Mit Dingen wie MFA-Bombing, Fatigue und Proxying (MFA steht für Multi-Faktor-Authentifizierung) ist MFA nicht mehr die kugelsichere Methode zum Schutz der Identität, für die wir sie gehalten haben. Uber, Microsoft und Twilio wurden alle Opfer der Umgehung ihrer MFA durch diese neue Art von Angriffen.
Eine Partnerschaft des öffentlichen und privaten Cybersicherheitssektors ist von entscheidender Bedeutung
Die amtierende National Cyber Director Kemba Walden sprach über die National Cybersecurity Strategy und die Herausforderungen, die durch den erheblichen Mangel an Cybersicherheitstalenten verursacht werden. Im White House Office des National Cyber Director gibt es mittlerweile sechsmal mehr Angestellte, aber die Regierung weiß, dass sie nicht alle Bedrohungen alleine bewältigen können. ONCD, CISA und andere Agenturen arbeiten jetzt eng mit dem privaten Sektor zusammen, unter anderem mit White-Hat-Hackern. Wenn Sie bereits an vergangenen Konferenzen von Black Hat oder DefCon teilgenommen haben, wissen Sie, dass Regierungsbeamte nicht willkommen waren – es gab sogar einen „Finde den Beamten“-Wettbewerb, um sie aufzuspüren. Doch dieses Jahr haben hochrangige Bundesbeamte Vorträge und sogar Keynotes gehalten. Diese Teilnahme zeigt, dass sowohl der private als auch der öffentliche Sektor erkennen, dass sie einander brauchen, um hochrangige nationalstaatliche Angriffe in Schach zu halten und einen Cyberkrieg zu verhindern.
Der Krieg in der Ukraine macht es zur Realität
Jen Easterly, Director bei CISA, und Victor Zhora, stellvertretender Vorsitzender der Cybersicherheitsabteilung der Ukraine, diskutierten die Bedeutung der Partnerschaft zwischen den USA und der Ukraine im Kampf gegen ausgeklügelte nationalstaatliche Angriffe. Aufgrund der großen Herausforderungen, vor denen die Ukraine steht, lernen wir ebenso so viel von ihnen wie sie von uns. Die „Cyberkriegsverbrechen“, über die Zhora gesprochen hat, machen Cyberangriffe realer. In diesen Fällen fordern Cyberangriffe Menschenleben. Das zeigt, dass wir die harmlosen Zeiten, in denen Jugendliche von zuhause aus Computer zum Spaß hackten, längst hinter uns gelassen haben.
Es ist beruhigend, wenn so viele Sicherheitsexperten ihr Wissen darüber teilen, wie wir gemeinsam proaktiv und reaktionsschnell jede neue Herausforderung angehen können. Genau wie die Cybersicherheitslandschaft werden auch wir uns schnell weiterentwickeln.
Sie interessieren sich für generative KI? Erfahren Sie mehr über die Auswirkungen auf die Online-Sicherheit, ethische Bedenken und wie Sie sie verantwortungsvoll einsetzen können.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten