Der Zugriff auf Code mit Hilfe von KI-Modellen hebelt herkömmliche Kontrollen und Zero-Trust aus. Ein Kommentar Martin Zugec, Technical Solutions Director bei Bitdefender, zu Claude Mythos Preview und zur Gefahr für die IT-Supply-Chain
„Ich denke, dass die Diskussionen rund um Mythos einen wichtigen Aspekt ausblenden: die Rolle aktueller Supply-Chain-Attacken. Mythos agierte mit einem vollen Zugriff zu Quellcode in Open-Source-Umgebungen. Im Gegensatz zu herkömmlichen Angriffen untersuchte das Modell nicht Systeme von außen.
Und das ist der entscheidende Unterschied. Er spiegelt genau die Szenarien moderner Angriffe aus der IT-Lieferkette wider. Hier haben die kriminellen Akteure vor der Distribution Einsicht in den Code einer Software, in die der Kunde vertraut. So können sie vor deren Implementierung systematisch Schwachstellen identifizieren oder einbauen.
Die IT-Verantwortlichen haben sich sehr stark auf die Kontrolle von Identitäten oder Netzwerken konzentriert. Sie übersehen aber die Angriffsebene des ausführbaren Codes, die Angreifer zunehmend ausbeuten. Und diese Gefahr ist groß: Denn Anwender gewähren ihr Vertrauen auf der Basis von Signaturen, Reputation und Herkunft. Diese Kriterien versagen aber bei einer kompromittierten Supply-Chain völlig. Sobald Code erst einmal signiert und verteilt ist, haben herkömmliche Kontrollverfahren in der digitalen Lieferkette keinen Ansatzpunkt mehr: Es bleiben weder Signaturen noch bekannte Schwachstellen (Commvon Vulnerabilities and Exposures / CVE) oder andere Indikatoren zur Überprüfung. Jetzt ist eine zuverlässige Kontrolle nur noch durch das Erkennen und Einschränken des Laufzeitverhaltens möglich.
Abhilfe schafft ausschließlich ein Zero-Trust-Ansatz, der auch die Effekte des Codes validieren muss – und nicht nur seine Art oder seine Herkunft. Wer nicht kontinuierlich das Verhalten überprüft, vertraut dem Angreifer und weiß es vielleicht noch nicht.“
#Bitdefender
