Rydning af “tågen af mere” i cybersikkerhed

Ved RSA-konferencen i San Francisco denne måned, var der en svimlende række af nye og varme løsninger på display fra cybersikkerhedsindustrien. Stand efter stand påstod, at de var værktøjet, der ville redde din organisation fra, at dårlige aktører stjæler dine gode sager eller afpresning dig for millioner af dollars.

Efter megen overvejelse er jeg kommet til den konklusion, at vores industri er tabt. Tabt i suppen af detect og respond med endeløs vrøvl, der påstår, at dine problemer vil forsvinde, så længe du blot tilføjer endnu et lag. Omgivet af en tåge af teknologiinvesteringer, personale, værktøjer og infrastrukturlag, har virksomheder nu dannet en labyrint, hvor de ikke længere kan se skoven for træerne, når det kommer til at identificere og forhindre trusler. Disse værktøjer, der er ment til at beskytte digitale aktiver, driver i stedet frustration for både sikkerheds- og udviklingsteams gennem øgede arbejdsbyrder og inkompatibelt værktøj. “Tågen af mere” virker ikke. Men ærligt talt, har den aldrig virket.

Cyberangreb begynder og ender i kode. Det er så enkelt. Enten har du en sikkerhedsfejl eller sårbarhed i koden, eller koden er skrevet uden sikkerhed i mente. Enten vej, hver enkelt angreb eller overskrift, du læser, kommer fra kode. Og det er softwareudviklerne, der står over for det ultimative fulde problem. Men udviklere er ikke uddannet i sikkerhed, og ærligt talt, kan de måske aldrig blive. Så de implementerer gode gamle kode-søgetools, der blot søger efter mønstre i koden. Og frygt for hvad du beder om, fordi de får alert-tsunamien, jagende røde hunde og fantomer for det meste af dagen. I virkeligheden bruger udviklere op til en tredjedel af deres tid på at jagte falske positiver og sårbarheder. Kun ved at fokusere på forebyggelse kan virksomheder virkelig starte med at styrke deres sikkerhedsprogrammer og lægge grundlaget for en sikkerhedsdrevet kultur.

Finding og fikse på kode niveau

Det siges ofte, at forebyggelse er bedre end kur, og denne mundheld holder særligt sandt i cybersikkerhed. Derfor investerer og tilføjer virksomheder, selv under strammere økonomiske begrænsninger, stadig mere sikkerheds-værktøj, og skaber multiple barrierer for at reducere sandsynligheden for succesfulde cyberangreb. Men på trods af, at der tilføjes mere og mere lag af sikkerhed, sker de samme typer angreb stadig. Det er tid for virksomheder at antage en frisk perspektiv – en, hvor vi fokuserer på problemet på det grundlæggende niveau – ved at finde og fikse sårbarheder i koden.

Applikationer tjener ofte som den primære indgangspunkt for cyberkriminelle, der søger at udnytte svagheder og få adgang til følsomme data. I slutningen af 2020, kom SolarWinds-kompromiset til lyset, og efterforskere fandt en kompromitteret byggeproces, der tillod angribere at injicere ondsindet kode i Orion-netværks-overvågningssoftware. Dette angreb understregede behovet for at sikre hver enkelt skridt i software-byggeprocessen. Ved at implementere robuste applikations-sikkerhedsforanstaltninger, eller AppSec, kan virksomheder mindske risikoen for disse sikkerhedsbrud. For at gøre dette, skal virksomheder se på en ‘shift left’-mentalitet, og bringe forebyggende og prædiktive metoder til udviklings-stadiet.

Selv om dette ikke er en helt ny idé, kommer det med ulemper. En betydelig ulempe er øget udviklingstid og omkostninger. Implementering af omfattende AppSec-foranstaltninger kan kræve betydelige ressourcer og ekspertise, hvilket fører til længere udviklingscykler og højere udgifter. Derudover udgør ikke alle sårbarheder en høj risiko for virksomheden. Muligheden for falske positiver fra detections-værktøjer fører også til frustration blandt udviklere. Dette skaber en kløft mellem forretnings-, ingeniør- og sikkerhedsteams, hvis mål måske ikke er i harmoni. Men generativ AI kan være løsningen, der lukker denne kløft for godt.

Indgang i AI-æraen

Ved at udnytte den almindelige natur af generativ AI inden for AppSec vil vi endelig lære fra fortiden for at forudsige og forhindre fremtidige angreb. For eksempel kan du træne en Large Language Model eller LLM på alle kendte kode-sårbarheder, i alle deres varianter, for at lære de essentielle funktioner af dem alle. Disse sårbarheder kan omfatte almindelige problemer som buffer-overløb, injektionsangreb eller utilstrækkelig input-validering. Modellen vil også lære de nuancerede forskelle efter sprog, ramme og bibliotek, samt hvad kode-fikser er succesfulde. Modellen kan derefter bruge denne viden til at scanne en virksomheds kode og finde potentielle sårbarheder, der endnu ikke er identificeret. Ved at bruge konteksten omkring koden kan scan-værktøjer bedre detektere rigtige trusler. Dette betyder korte scan-tider og mindre tid til at jagte og fikse falske positiver og øget produktivitet for udviklingsteams.

Generative AI-værktøjer kan også tilbyde foreslåede kode-fikser, automatisere processen med at generere patches, og betydeligt reducere tiden og indsatsen, der kræves for at fikse sårbarheder i kodebasen. Ved at træne modeller på enorme repositorier af sikre kodebasen og bedste praksis, kan udviklere udnytte AI-genererede kode-fragmenter, der overholder sikkerhedsstandarder og undgår almindelige sårbarheder. Denne proaktive tilgang reducerer ikke kun sandsynligheden for at introducere sikkerhedsfejl, men accelererer også udviklingsprocessen ved at give udviklere forhåndsgodkendte og validerede kode-komponenter.

Disse værktøjer kan også tilpasse sig til forskellige programmeringssprog og kodestile, hvilket gør dem alsidige værktøjer til kode-sikkerhed på tværs af forskellige miljøer. De kan forbedre sig over tid, da de fortsætter med at træne på nye data og feedback, hvilket fører til mere effektive og pålidelige patch-generering.

Menneske-elementet

Det er vigtigt at bemærke, at selv om kode-fikser kan automatiseres, er menneskelig oversigt og validering stadig afgørende for at sikre kvaliteten og korrektheden af genererede patches. Mens avancerede værktøjer og algoritmer spiller en betydelig rolle i at identificere og mindske sikkerheds-sårbarheder, er menneskelig ekspertise, kreativitet og intuition stadig uundværlig for at sikre applikationer effektivt.

Udviklere er ultimativt ansvarlige for at skrive sikker kode. Deres forståelse af sikkerheds-bedste-praksis, kodestandarder og potentielle sårbarheder er afgørende for at sikre, at applikationer er bygget med sikkerhed i mente fra begyndelsen. Ved at integrere sikkerheds-træning og -bevidsthed i udviklingsprocessen kan virksomheder udvikle udviklere til at proaktivt identificere og adresse sikkerheds-problemer, og reducere sandsynligheden for at introducere sårbarheder i kodebasen.

Derudover er effektiv kommunikation og samarbejde mellem forskellige interessenter inden for en virksomhed afgørende for AppSec-succes. Mens AI-løsninger kan hjælpe med at “lukke kløften” mellem udvikling og sikkerhedsdrift, kræver det en kultur af samarbejde og fælles ansvar for at bygge mere robuste og sikre applikationer.

I en verden, hvor trusselslandskabet konstant udvikler sig, er det let at blive overvældet af den enorme mængde af værktøjer og teknologier, der er til rådighed i cybersikkerhedsrummet. Men ved at fokusere på forebyggelse og finde sårbarheder i koden kan virksomheder reducere “fedtet” i deres eksisterende sikkerhedsstak, og spare en eksponentiel mængde tid og penge undervejs. På grundlæggende niveau vil sådanne løsninger være i stand til ikke kun at finde kendte sårbarheder og fikse zero-day-sårbarheder, men også for-zero-day-sårbarheder, før de sker. Vi kan måske endelig holde trit med, eller endda komme foran, de udviklende trusler.