Claude Mythos verdeutlicht laut dem Beitrag die Lücke zwischen Entdeckung und Behebung. Das Modell übertraf menschliche Expertise, indem es eine komplexe Simulation eines Unternehmensnetzwerks löste, die mehr als zehn Stunden erfahrener Programmierarbeit erfordert hätte. Zudem fand es Probleme in jahrzehntealter Software, die in tausenden Sicherheitsüberprüfungen übersehen worden waren. Mythos ist dabei nicht das einzige Modell mit dieser Fähigkeit — andere Akteure haben Schwachstellen bereits mit einfacheren Sprachmodellen aufgespürt.

Wer Software einsetzt, sollte nach Einschätzung des Beitrags davon ausgehen, dass diese tausende unbekannter Schwachstellen enthält. Das sei kein Versagen des Sicherheitsteams, sondern die strukturelle Folge von 30 Jahren angehäufter Software-Komplexität, die nun auf einen Sprung bei den offensiven KI-Fähigkeiten trifft.

Das Modell, von einem Einbruch auszugehen, stützt sich auf automatisierte Verfahren, die die Zeit bis zur Eindämmung verkürzen sollen. Im Mittelpunkt steht die Senkung der mittleren Zeit bis zur Eindämmung (Mean-Time-to-Contain, MTTC), flankiert von den Kennzahlen für Erkennung und Reaktion (MTTD und MTTR). Voraussetzung dafür ist eine umfassende Sichtbarkeit des Netzwerks in Echtzeit, mit der Sicherheitszentralen Verhalten nach einem Einbruch erkennen, den betroffenen Bereich bestimmen und Vorfälle stoppen können.

Autonome KI-Angriffe nutzen dem Beitrag zufolge zunehmend Techniken zur Tarnung, etwa Living-off-the-Land-Methoden, die schädliche Aktivität in legitimen Werkzeugen und Prozessen verbergen. Network-Detection-and-Response-Plattformen (NDR) überwachen den Netzwerkverkehr fortlaufend auf auffälliges Verhalten. Hinweise auf seitliche Bewegung im Netz seien etwa ungewöhnliche SMB-Admin-Freigaben, NTLM dort, wo Kerberos erwartet wird, oder neue Pivots über RDP, WMI oder DCOM.

Auch verdeckte Befehls- und Kontrollkommunikation lasse sich erkennen — etwa an beaconartigen Verbindungsmustern, seltenen JA3/JA4- und SNI-Paaren, hochentropischem DNS oder nicht genehmigtem DoH oder DoT. Auf Datenabfluss deuteten Auffälligkeiten wie Uploads außerhalb der Geschäftszeiten, ein Missverhältnis zwischen Up- und Download, erstmals kontaktierte Ziele wie S3, Blob oder GCS, Kompression vor dem Abfluss oder Tunnel und VPNs zu neuen Zielen hin.

Viele Organisationen verfügen laut dem Beitrag weiterhin über kein genaues Echtzeit-Inventar ihrer Software und verstehen daher nicht, wie ihre Systeme verbunden sind und kommunizieren. Eine automatisierte Bestandsaufnahme und Zuordnung der Systeme helfe, die eigene Angriffsfläche zu erfassen und das Zeitfenster für Angriffe zu verkleinern.

Ist ein Einbruch erkannt, zählt das schnelle Verständnis seines Ausmaßes. Corelight Investigator als Teil der Open NDR Platform des Unternehmens korreliert dem Beitrag zufolge automatisch Warnmeldungen und Netzwerkaktivität, um detaillierte Zeitleisten von Angriffen zu rekonstruieren und Reaktionsabläufe zu automatisieren. Die dritte Säule des Modells ist die Eindämmung: Automatisierte Begrenzung im Netzwerk soll verhindern, dass schnelle Bedrohungen zu großflächigen Vorfällen eskalieren.