Absicherung von Cloud : Einblicke aus MITRE ATLAS und der Bedarf an KI-gesteuertem CDR

16. Mai 2025

Absicherung von Cloud : Einblicke aus MITRE ATLAS und der Bedarf an KI-gesteuertem CDR

In dem Maße, wie Unternehmen KI in geschäftskritische Systeme integrieren, wächst die Angriffsfläche über traditionelle IT- und cloud hinaus. ATLAS füllt diese Lücke, indem es KI-spezifische Angriffsszenarien, reale Verhaltensweisen von Angreifern in freier Wildbahn und auf KI-gestützte Umgebungen zugeschnittene Abwehrstrategien dokumentiert.

Was ist der MITRE ATLAS-Rahmen?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) ist eine lebendige, öffentlich zugängliche Wissensdatenbank, die Taktiken und Techniken von Angreifern katalogisiert, die auf KI-gestützte Systeme abzielen. Nach dem Vorbild des weit verbreiteten MITRE ATT&CK®-Frameworks ist ATLAS auf die einzigartigen Bedrohungen, Schwachstellen und Risiken zugeschnitten, die von Technologien der künstlichen Intelligenz ausgehen.

ATLAS ist eine kuratierte Ressource, die auf:

Beobachtungen von Angriffen in der realen Welt
KI-Red-Team-Demonstrationen
Sicherheitsforschung aus Regierung, Industrie und Wissenschaft

Es wird erfasst , wie Angreifer KI- und maschinelle Lernsysteme angreifen, einschließlich Verhaltensweisen, Techniken und Tools, die entweder spezifisch für KI-Kontexte sind oder an diese angepasst wurden.

Von der Bewaffnung zum Missbrauch der Infrastruktur: eine Verlagerung des Schwerpunkts der Angreifer

Die überwiegende Mehrheit der Aktivitäten betrifft Bedrohungsakteure , die generative KI nutzen, um ihre Kampagnen durch Aufgaben wie diese zu beschleunigen:

Schreiben von phishing oder Social-Engineering-Skripten
Erforschung von Schwachstellen oder Techniken
Fehlersuche bei malware oder Entwicklung von Tools
Generierung von Inhalten für Betrügereien oder gefälschte Identitäten Aber ein noch besorgniserregenderes Muster gewinnt an Aufmerksamkeit: Angreifer verwenden immer neue Taktiken, bei denen die Ausnutzung von cloud LLM-Ressourcen - wie AWS Bedrock und Azure AI Foundry -zu einem wachsenden Vektor für Profit und Missbrauch geworden ist.

AWS-Bedrock — Abbildung: Amazon Bedrock ist ein Service, mit dem Benutzer generative KI-Anwendungen erstellen und skalieren können. Es handelt sich um einen vollständig verwalteten Service, der die Bereitstellung grundlegender Modelle von Anthropic, Meta und anderen unterstützt.

Öffentliche LLMs können Text generieren oder bei der Skripterstellung helfen, aber cloud Modelle sind tief in hochwertige Unternehmensabläufe integriert. Diese Systeme bieten Angreifern Zugang zu Rechenleistung, sensiblen Daten und vertrauenswürdigen Ausführungsumgebungen.

Meme zur Veranschaulichung der Tatsache, dass Angreifer es vorziehen, cloud zu missbrauchen, anstatt GenAI für allgemeine Zwecke zu nutzen

Warum sollte man cloud KI anstelle von kostenlosen Open-Source-Modellen einsetzen?

Cloud wie AWS Bedrock und Azure AI Foundry sind attraktive Ziele, weil sie:

Offenlegung einer mandantenfähigen Infrastruktur: Eine Sicherheitslücke in gemeinsam genutzten Komponenten kann sich auf mehrere Kunden auswirken.
Zugang zu vertraulichen Unternehmensdaten zu ermöglichen: Insbesondere in Verbindung mit RAG-Workflows (Retrieval-Augmented Generation), die LLM-Antworten durch Abruf und Einspeisung von Unternehmensdaten aus verbundenen Wissensquellen verbessern.
Ermöglichung von Vertrauensmissbrauch und Identitätsintegrationen: Cloud und IAM-Rollen können für Privilegieneskalation oder laterale Bewegungen missbraucht werden.
Der Betrieb kostet Geld: Angreifer können dies ausnutzen, indem sie Rechenressourcen entführen (LLMjacking).

Der Missbrauch dieser Plattformen ermöglicht es den Angreifern, im Vergleich zur Verwendung von Open-Source- oder öffentlichen APIs verdeckt zu operieren und eine höhere Rendite zu erzielen.

Warum Angreifer es auf generative KI-Infrastrukturen abgesehen haben

Angreifer, die es auf cloud GenAI-Dienste abgesehen haben, verfolgen in erster Linie drei Ziele: finanziellen Gewinn, Datenexfiltration und destruktive Absichten. Ihr Erfolg hängt stark davon ab, wie sie den ersten Zugang zur Unternehmensinfrastruktur erhalten.

1. Finanzieller Gewinn

Angreifer können versuchen, Unternehmenskonten zu kapern oder eine falsch konfigurierte Infrastruktur auszunutzen, um nicht autorisierte Inferenzaufträge auszuführen - eine Taktik, die als LLMjacking bekannt ist. Sie können auch cloud für kostenlose Berechnungen oder kostenpflichtigen Modellzugang missbrauchen.

2. Exfiltration

Raffinierte Angreifer haben es auf proprietäre Modelle, Trainingsdaten oder sensible Unternehmensdokumente abgesehen, auf die sie über RAG-Systeme (Retrieval-Augmented Generation) zugreifen. Inferenz-APIs können auch missbraucht werden, um im Laufe der Zeit Daten zu verlieren.

3. Zerstörung

Einige Akteure versuchen, die Systemleistung oder -verfügbarkeit zu beeinträchtigen, indem sie Denial-of-Service-Angriffe starten, Trainingspipelines vergiften oder die Modellergebnisse verfälschen.

Der Missbrauch öffentlicher LLMs ermöglicht zwar einige Angreiferaktivitäten, doch die strategischen Vorteile eines Angriffs auf die GenAI-Infrastruktur von Unternehmen - Datenzugriff, Skalierbarkeit und Ausnutzung des Vertrauens - machen diesen Vektor attraktiver und wirkungsvoller.

Wie MITRE ATLAS Ihnen hilft, diese Bedrohungen zu verstehen und abzubilden

MITRE ATLAS bietet einen strukturierten Überblick über reale Taktiken und Techniken, die gegen KI-Systeme eingesetzt werden, was direkt mit den Risiken von Plattformen wie AWS Bedrock, Azure AI und anderen verwalteten GenAI-Services übereinstimmt.

ATLAS deckt eine breite Palette von Techniken ab, die über die mit der cloud KI-Infrastruktur verbundenen Techniken hinausgehen, darunter die Erkundung von KI-Modellen, die Vergiftung von Open-Source-Modellen oder -Datensätzen, die Kompromittierung von LLM-Plugins und viele andere.

Im Folgenden finden Sie einige Beispiele für spezifische Techniken, die ein Bedrohungsakteur bei einem Angriff auf eine cloud KI-Infrastruktur einsetzen könnte:

Erster Zugang

Gültige Konten (AML.T0012): Angreifer beschaffen sich legitime Zugangsdaten oft über phishing , Credential Stuffing oder Verletzungen der Lieferkette.
Ausnutzung von öffentlich zugänglichen Anwendungen (AML.T0049): Unzureichend gesicherte oder ungeschützte Endpunkte (z. B. RAG-Assistenten oder APIs) können genutzt werden, um in GenAI-Systeme einzudringen.

Dark-Web-Ökosystem für LLM-Jacking - Kompromittierte Konten und AWS IAM-Schlüssel werden über Untergrunddienste verkauft, sodass Verbraucher unbezahlte Inferenz-Workloads auf cloud LLMs ausführen können. — Abbildung: Dark Web-Ökosystem für LLM-Jacking - Kompromittierte Konten und AWS IAM-Schlüssel werden über Untergrunddienste verkauft, sodass Verbraucher unbezahlte Inferenz-Workloads auf cloud LLMs ausführen können.

AI Model Access

AI Model Inference API Zugang (AML.T0040): Direkter Zugriff auf Inferenz-APIs, um nicht autorisierte Abfragen oder Arbeitslasten auszuführen.
KI-gestütztes Produkt oder Dienstleistung (AML.T0047): Unternehmenssoftware, die mit GenAI integriert ist, um Ausgaben zu manipulieren oder interne Daten zu extrahieren.

Ausführung

LLM Prompt Injektion (AML.T0051): Einschleusen bösartiger Eingaben, die Leitplanken oder Logik unterlaufen, insbesondere in RAG- oder workflow-integrierten Systemen.

Privilegieneskalation/Verteidigungsumgehung

LLM Jailbreak (AML.T0054): Umgehung von Modellkontrollen, um eingeschränkte Funktionen freizuschalten oder schädliche Inhalte zu erzeugen.

Nachdem die Aufklärer die aktivierten LLM-Modelle bestätigt haben, deaktivieren sie die Aufforderungsprotokollierung, um ihre Spuren zu verwischen. Indem sie die Protokollierung deaktivieren, verhindern sie, dass das System ihre unerlaubten Eingabeaufforderungen aufzeichnet, so dass es schwer zu erkennen ist, was sie mit den gekaperten Modellen machen. — Abbildung: Nachdem die Aufklärer die aktivierten LLM-Modelle bestätigt haben, deaktivieren sie die Aufforderungsprotokollierung, um ihre Spuren zu verwischen. Indem sie die Protokollierung deaktivieren, verhindern sie, dass das System ihre unerlaubten Eingabeaufforderungen aufzeichnet, was es schwierig macht, zu erkennen, was sie mit den gekaperten Modellen machen.

Entdeckung

Entdecken Sie die AI-Modellfamilie (AML.T0014): Identifizierung der Modellarchitektur oder der Herstellermerkmale, um Angriffe anzupassen.
KI-Artefakte entdecken (AML.T0007): Auffinden von Protokollen, Prompt-Historien oder Datensätzen, die Systeminterna offenbaren.

Angriffsfluss für unbefugte Modellaktivierung - Sobald sie mit kompromittierten IAM-Schlüsseln in eine cloud eingedrungen sind, führen Angreifer eine Erkundung durch, um grundlegende Modelle zu entdecken, sie zu aktivieren und Inferenzen zu initiieren - was Kosten und Risiken für das Opfer mit sich bringt. — Abbildung: Angriffsfluss für unbefugte Modellaktivierung - Sobald sie mit kompromittierten IAM-Schlüsseln in eine cloud eingedrungen sind, führen Angreifer eine Erkundung durch, um grundlegende Modelle zu entdecken, sie zu aktivieren und Inferenzen zu initiieren - was für das Opfer mit Kosten und Risiken verbunden ist.

Sammlung und Exfiltration

Daten aus Informationsspeichern (AML.T0036): Sammeln von strukturierten/unstrukturierten Daten, die über RAG abgerufen werden oder in KI-Dienste eingebettet sind.
Exfiltration über AI Inference API (AML.T0024): Langsames Extrahieren von Daten durch Missbrauch der Inferenzschicht.
LLM-Datenleck (AML.T0057): Auslösen von unbeabsichtigten Datenlecks durch sorgfältig gestaltete Abfragen.

Auswirkungen

Denial of AI Service (AML.T0029): Überlastung oder Störung von AI-Endpunkten, um die Verfügbarkeit zu beeinträchtigen.
Externe Schäden (AML.T0048): Verursachen von finanziellen, rufschädigenden, rechtlichen oder physischen Schäden durch den Missbrauch von KI-Systemen oder die Manipulation von KI-Ausgaben in kritischen Anwendungen.

Angreifer, der gestohlene IAM-Anmeldeinformationen ausnutzt — Abbildung: Auch hier beginnt ein Angreifer mit dem Ausnutzen gestohlener IAM-Anmeldeinformationen, gefolgt von der Aufklärung. Als Nächstes kann der Angreifer testen, ob für die aktivierten Modelle Schutzmechanismen vorhanden sind. Wenn der Angreifer über genügend Berechtigungen verfügt, kann er sogar die Leitplanken manipulieren und das Modell besser ausnutzen, insbesondere benutzerdefinierte Modelle.

Diese Techniken veranschaulichen, wie Angreifer jede Ebene der KI-Infrastruktur ausnutzen - Zugang, Ausführung, Daten und Auswirkungen. MITRE ATLAS liefert das Mapping, das SOC-Teams benötigen, um Erkennungen zu priorisieren, Abwehrmaßnahmen zu validieren und Red Teams in KI-Umgebungen von Unternehmen effektiv einzusetzen.

Wie Vectra AI mit MITRE ATLAS zusammenarbeitet

Vectra AI bildet seine Erkennungslogik auf MITRE ATLAS ab, um SOC-Teams bei der Identifizierung zu unterstützen:

Identitäten mit verdächtigem Zugriff auf GenAI-Plattformen wie AWS Bedrock und Azure AI Foundry
Versuche, Abwehrmaßnahmen zu umgehen und Ermittlungen zum Missbrauch von GenAI zu behindern
Anomale Nutzung von GenAI-Modellen im Einklang mit der Kompromittierung von cloud

Zusätzlich zum Aufdecken dieser Verhaltensweisen verstärkt der KI-Priorisierungsagent von Vectra den Fokus der Analysten, indem er die Risikoprofile von Identitäten, die mit verdächtigen Zugriffen und der Aktivierung von GenAI-Modellen verbunden sind, erhöht. Da Vectra AI agentenlose, identitätsgesteuerte Erkennung in hybriden cloud und SaaS-Umgebungen bietet, ist es einzigartig positioniert, um Bedrohungen zu erkennen, die herkömmliche Tools möglicherweise übersehen - insbesondere in KI-integrierten Workflows.

Abbildung von Vectra AI auf MITRE ATLAS-Framework — *Überblick über unseren derzeitigen Einblick in die Techniken und Untertechniken, die im ATLAS-Rahmenwerk von MITRE definiert sind (veröffentlicht am 17. März 2025).*

Das Bild ändert sich. Generative KI ist nicht mehr nur ein Werkzeug in den Händen von Angreifern, sondern jetzt auch ein Ziel. Und mit der zunehmenden Verbreitung in Unternehmen wird auch die Raffinesse dieser Angriffe zunehmen. Durch die Verwendung von Frameworks wie MITRE ATLAS und den Einsatz von Lösungen wie der Vectra AI Platform können Sicherheitsteams den sich entwickelnden Bedrohungen einen Schritt voraus sein und sicherstellen, dass KI einen Mehrwert bietet, ohne die Integrität zu beeinträchtigen.

Möchten Sie mehr erfahren?

Vectra AI ist der führende Anbieter von KI-gestützter hybrider cloud und -Reaktion. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Services, um sich vor ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns