Connect with us

Καθαρίζοντας το «Σύννεφο του Περισσότερου» στην Κυβερνοασφάλεια

Κυβερνοασφάλεια

Καθαρίζοντας το «Σύννεφο του Περισσότερου» στην Κυβερνοασφάλεια

mm
Published
Updated

Tại την RSA Conference στο Σαν Φρανσίσκο αυτό το μήνα, μια αποπνικτική ποικιλία από νέες και καυτές λύσεις ήταν σε έκθεση από την βιομηχανία κυβερνοασφάλειας. Στάντα μετά στάντα ισχυρίστηκαν ότι είναι το εργαλείο που θα σώσει τον οργανισμό σας από κακόβουλους ηθοποιούς που κλέβουν τα αγαθά σας ή σας εκβιάζουν για εκατομμύρια δολάρια.

Μετά από πολλή σκέψη, έχω καταλήξει στο συμπέρασμα ότι η βιομηχανία μας είναι χαμένη. Χαμένη στο σούπα του ανίχνευσης και απόκρισης με ατελείωτο λόγο που ισχυρίζεται ότι τα προβλήματα σας θα εξαφανιστούν εάν προστεθεί μόνο ένα άλλο επίπεδο. Περιβαλλόμενοι από μια δίνη τεχνολογικών επενδύσεων, προσωπικού, εργαλείων και επιπέδων υποδομής, οι εταιρείες έχουν τώρα σχηματίσει ένα λαβύρινθο όπου δεν μπορούν πλέον να δουν το δάσος για τα δέντρα όταν πρόκειται για την αναγνώριση και την πρόληψη των απειλών. Αυτά τα εργαλεία, που προορίζονται για την προστασία των ψηφιακών περιουσιακών στοιχείων, αντί να προστατεύουν, προκαλούν εκνευρισμό τόσο για τις ομάδες ασφαλείας όσο και για τις ομάδες ανάπτυξης μέσω της αύξησης του φόρτου εργασίας και των ασυμβίβαστων εργαλείων. Το «σύννεφο του περισσότερου» δεν λειτουργεί. Αλλά, για να είμαι ειλικρινής, ποτέ δεν έχει λειτουργήσει.

Οι κυβερνοεπιθέσεις αρχίζουν και τελειώνουν στον κώδικα. Είναι τόσο απλό. Ή έχετε μια ασφαλή ελάττωμα ή ευπάθεια στον κώδικα, ή ο κώδικας γράφτηκε χωρίς να ληφθεί υπόψη η ασφάλεια. Σε κάθε περίπτωση, κάθε επίθεση ή επικεφαλίδα που διαβάζετε, προέρχεται από τον κώδικα. Και είναι οι προγραμματιστές που αντιμετωπίζουν την απόλυτη πλήρη βαρύτητα του προβλήματος. Αλλά οι προγραμματιστές δεν εκπαιδεύονται στην ασφάλεια και, για να είμαι ειλικρινής, μπορεί να μην το κάνουν ποτέ. Έτσι, εφαρμόζουν παλιές μεθόδους αναζήτησης κώδικα που απλώς ψάχνουν τον κώδικα για πρότυπα. Και φοβηθείτε για αυτό που ζητάτε, γιατί ως αποτέλεσμα, λαμβάνουν την τσουνάμι των ενεργειών, κυνηγώντας κρυφούς εχθρούς και φαντάσματα για το μεγαλύτερο μέρος της ημέρας. Στην πραγματικότητα, οι προγραμματιστές δαπανών jusqu έως ένα τρίτο του χρόνου τους κυνηγώντας ψευδείς θετικούς και ευπαθειές. Μόνο εστιάζοντας στην πρόληψη, οι επιχειρήσεις μπορούν πραγματικά να αρχίσουν να ενισχύουν τα προγράμματα ασφαλείας τους και να θεμελιώνουν τις βάσεις για μια ασφαλή κουλτούρα.

Αναζήτηση και Διόρθωση στο Επίπεδο Κώδικα

Λέγεται συχνά ότι η πρόληψη είναι καλύτερη από την θεραπεία, και αυτό το ρητό ισχύει ιδιαίτερα στην κυβερνοασφάλεια. Για αυτό, ακόμη και μέσα σε στενότερες οικονομικές περιορισμοί, οι επιχειρήσεις συνεχίζουν να επενδύουν και να συνδέουν περισσότερα εργαλεία ασφαλείας, δημιουργώντας πολλαπλά εμπόδια εισόδου για να μειώσουν την πιθανότητα επιτυχημένων κυβερνοεπιθέσεων. Αλλά παρά την προσθήκη περισσότερων και περισσότερων επιπέδων ασφαλείας, οι ίδιες τύποι επιθέσεων συνέχισαν να συμβαίνουν. Είναι ώρα για τις οργανώσεις να υιοθετήσουν μια νέα προοπτική – μια όπου εστιάζουμε στο πρόβλημα στο επίπεδο ρίζας – αναζητώντας και διορθώνοντας ευπαθειές στον κώδικα.

Οι εφαρμογές συχνά χρησιμεύουν ως ο πρωταρχικός σημείο εισόδου για κυβερνοεγκλήματίες που επιδιώκουν να εκμεταλλευτούν ασθένειες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα. Το τέλος του 2020, η επίθεση SolarWinds ήρθε στο φως και οι ερευνητές βρήκαν μια συμβιβασμένη διαδικασία κατασκευής που επέτρεψε στους επιτιθέμενους να εντάξουν κακόβουλο κώδικα στο λογισμικό παρακολούθησης δικτύου Orion. Αυτή η επίθεση υπογράμμισε την ανάγκη για την ασφάλεια κάθε βήματος της διαδικασίας κατασκευής λογισμικού. Υλοποιώντας ρομποτικές μέτρα ασφαλείας εφαρμογών, ή AppSec, οι οργανώσεις μπορούν να μετριάσουν τον κίνδυνο αυτών των παραβιάσεων ασφαλείας. Για να το κάνουν αυτό, οι επιχειρήσεις πρέπει να κοιτάξουν μια στάση «μετατόπισης αριστερά», φέρνοντας προληπτικά και προβλεπτικά μέθοδος στο στάδιο ανάπτυξης.

Αν και αυτό δεν είναι μια εντελώς νέα ιδέα, έρχεται με μειονεκτήματα. Ένα σημαντικό μειονέκτημα είναι η αύξηση του χρόνου ανάπτυξης και του κόστους. Η εφαρμογή συνολικών μέτρων AppSec μπορεί να απαιτήσει σημαντικά recursos και εμπειρογνωμοσύνη, οδηγώντας σε μεγαλύτερες κύκλους ανάπτυξης και υψηλότερα έξοδα. Επιπλέον, όχι όλες οι ευπαθειές αποτελούν υψηλό κίνδυνο για τον οργανισμό. Η πιθανότητα ψευδών θετικών από εργαλεία ανίχνευσης οδηγεί επίσης σε εκνευρισμό μεταξύ των προγραμματιστών. Αυτό δημιουργεί ένα χάσμα μεταξύ των επιχειρήσεων, μηχανικών και ομάδων ασφαλείας, των οποίων οι στόχοι μπορεί να μην ευθυγραμμίζονται. Αλλά η γεννητική AI μπορεί να είναι η λύση που κλείνει αυτό το χάσμα για καλό.

Εισερχόμενοι στην Εποχή της AI

Με την αξιοποίηση της πανταχού παρούσας φύσης της γεννητικής AI μέσα στην AppSec, θα μάθουμε τελικά από το παρελθόν για να προβλέψουμε και να προληψουμε μελλοντικές επιθέσεις. Για παράδειγμα, μπορείτε να εκπαιδεύσετε ένα Μεγάλο Μοντέλο Γλώσσας ή LLM σε όλες τις γνωστές ευπαθειές κώδικα, σε όλες τις παραλλαγές τους, για να μάθετε τα βασικά χαρακτηριστικά όλων. Αυτές οι ευπαθειές θα μπορούσαν να περιλαμβάνουν κοινά προβλήματα όπως υπερχείλιση буφέρ, επιθέσεις ένεσης, ή μη σωστή επικύρωση εισόδου. Το μοντέλο θα μάθει επίσης τις νюανς διαφορές ανά γλώσσα, πλαίσιο και βιβλιοθήκη, καθώς και τι διορθώσεις κώδικα είναι επιτυχείς. Το μοντέλο μπορεί τότε να χρησιμοποιήσει αυτή τη γνώση για να σκανάρει τον κώδικα μιας οργανώσης και να βρει πιθανές ευπαθειές που δεν έχουν ακόμη αναγνωριστεί. Χρησιμοποιώντας το контέκστ γύρω από τον κώδικα, τα εργαλεία σκανάρισμα μπορούν να ανιχνεύσουν καλύτερα τις πραγματικές απειλές. Αυτό σημαίνει σύντομους χρόνους σκανάρισμα και λιγότερο χρόνο κυνηγώντας και διορθώνοντας ψευδείς θετικούς και αύξηση της παραγωγικότητας για τις ομάδες ανάπτυξης.

Τα εργαλεία γεννητικής AI μπορούν επίσης να προσφέρουν προτεινόμενες διορθώσεις κώδικα, αυτοματοποιώντας τη διαδικασία της δημιουργίας patch, μειώνοντας σημαντικά τον χρόνο και την προσπάθεια που απαιτείται για να διορθωθούν οι ευπαθειές στον κώδικα. Με την εκπαίδευση μοντέλων σε τεράστιες αποθήκες ασφαλούς κώδικα και besten πρακτικών, οι προγραμματιστές μπορούν να αξιοποιήσουν τα τμήματα κώδικα που παράγονται από την AI που ακολουθούν τα πρότυπα ασφαλείας και αποφεύγουν τις κοινές ευπαθειές. Αυτή η προληπτική προσέγγιση όχι μόνο μειώνει την πιθανότητα εισαγωγής ασφαλειών, αλλά και επιταχύνει τη διαδικασία ανάπτυξης παρέχοντας στους προγραμματιστές προ-εξετασμένα και επικυρωμένα στοιχεία κώδικα.

Αυτά τα εργαλεία μπορούν επίσης να προσαρμοστούν σε διαφορετικές γλώσσες προγραμματισμού και στυλ κωδικοποίησης, καθιστώντας τα πολυμορφικά εργαλεία για την ασφάλεια κώδικα σε διάφορες περιβάλλοντες. Μπορούν να βελτιωθούν με την πάροδο του χρόνου καθώς συνεχίζουν να εκπαιδεύονται σε νέα δεδομένα και ανατροφοδότηση, οδηγώντας σε πιο αποτελεσματικές και αξιόπιστες γεννήσεις patch.

Το Ανθρώπινο Στοιχείο

Είναι απαραίτητο να σημειωθεί ότι ενώ οι διορθώσεις κώδικα μπορούν να αυτοματοποιηθούν, η ανθρώπινη επιτήρηση και επικύρωση είναι ακόμη κρίσιμες για να διασφαλιστεί η ποιότητα και η ορθότητα των παραγόμενων patch. Ενώ τα προηγμένα εργαλεία και αλγόριθμοι παίζουν σημαντικό ρόλο στην ανίχνευση και μείωση των ευπαθειών ασφαλείας, η ανθρώπινη εμπειρογνωμοσύνη, δημιουργικότητα και直觉 παραμένουν απαραίτητες για την αποτελεσματική ασφάλεια των εφαρμογών.

Οι προγραμματιστές είναι τελικά υπεύθυνοι για την γραφή ασφαλούς κώδικα. Η κατανόηση των besten πρακτικών ασφαλείας, προτύπων κωδικοποίησης και πιθανών ευπαθειών είναι परमούθως σημαντική για να διασφαλιστεί ότι οι εφαρμογές κατασκευάζονται με ασφάλεια από την αρχή. Με την ενσωμάτωση προγραμμάτων εκπαίδευσης και ευαισθητοποίησης ασφαλείας στη διαδικασία ανάπτυξης, οι οργανώσεις μπορούν να ενδυναμώσουν τους προγραμματιστές να αναγνωρίσουν και να αντιμετωπίσουν προληπτικά τα ζητήματα ασφαλείας, μειώνοντας την πιθανότητα εισαγωγής ευπαθειών στον κώδικα.

Επιπλέον, η αποτελεσματική επικοινωνία και συνεργασία μεταξύ των verschiedenen μετόχων μέσα σε μια οργανωση είναι απαραίτητη για την επιτυχία της AppSec. Ενώ οι λύσεις AI μπορούν να βοηθήσουν να «κλείσουν το χάσμα» μεταξύ ανάπτυξης και λειτουργιών ασφαλείας, χρειάζεται μια κουλτούρα συνεργασίας και κοινής ευθύνης για να κατασκευαστούν πιο ανθεκτικές και ασφαλείς εφαρμογές.

Σε ένα κόσμο όπου το τοπίο απειλών εξελίσσεται συνεχώς, είναι εύκολο να γίνεις αποπνικτικός από τον τεράστιο όγκο εργαλείων και τεχνολογιών που διατίθενται στον χώρο της κυβερνοασφάλειας. Ωστόσο, εστιάζοντας στην πρόληψη και αναζήτηση ευπαθειών στον κώδικα, οι οργανώσεις μπορούν να κόψουν το «λίπος» του υφιστάμενου στρώματος ασφαλείας, σώζοντας एक εκθετικό ποσό χρόνου και χρημάτων στην διαδικασία. Στην ρίζα, τέτοιες λύσεις θα μπορέσουν να ανακαλύψουν γνωστές ευπαθειές και να διορθώσουν zero-day ευπαθειές, καθώς και pre-zero-day ευπαθειές πριν συμβούν. Ίσως τελικά να κρατήσουμε το ρυθμό, αν όχι να προηγούμαστε, των εξελισσόμενων απειλών.

mm

Ο Stuart McClure έχει πάνω από 30 χρόνια εμπειρίας σε όλες τις πτυχές της κυβερνοασφάλειας, συμπεριλαμβανομένης της μηχανικής, της ανάπτυξης προϊόντων, της маркетίνγκ, των πωλήσεων, της επιτυχίας του πελάτη και της ηγετικής ιδιότητα, συμπεριλαμβανομένου του Παγκόσμιου CTO για τη McAfee/Intel, της έναρξης της Cylance και της Foundstone ως Ιδρυτής/Διευθύνων Σύμβουλος/Πρόεδρος/CTO και της γέννησης των πρακτικών κυβερνοασφάλειας και για τις δύο Kaiser Permanente και Ernst & Young. Ο Stuart είναι ο ιδρυτικός συγγραφέας του #1 βιβλίου για την κυβερνοασφάλεια, Hacking Exposed, το οποίο ενδυναμώνει τους υπερασπιστές να κατανοήσουν τα εργαλεία, τις τεχνικές και τις διαδικασίες των hackers για να προληφθούν οι κυβερνοεπιθέσεις. Ο Stuart απέκτησε το πτυχίο του στη Ψυχολογία και τη Φιλοσοφία με έμφαση στην Επιστήμη των Υπολογιστών από το CU Boulder.