サイバーセキュリティ

バイショップフォックスがペネトレーションテストの核心にAIを導入

mm
公開日
更新日

オフенсивセキュリティは、長年にわたり、2つの極端な間で挟まれてきた。スケールしない深く手動のペネトレーションテストと、スケールする自動スキャナーだが、低信頼性のフィンディングを大量に提示する。最新の発表で、バイショップフォックスは、人間の判断を置き換えるのではなく、専門家主導のペネトレーションテストに直接人工知能を組み込むという、3番目の道を示している。

この更新の中心は、コスモスAIであり、バイショップフォックスのテスターがアプリケーションを探索し、攻撃者の行動をモデル化し、大規模なアプリケーションポートフォリオ全体で実際のリスクを検証する方法を強化するために設計された独自エンジンである。

ペネトレーションテストとは何か——そしてなぜ重要なのか

ペネトレーションテストは、セキュリティ専門家が、アプリケーション、システム、または環境に対して、実際の攻撃をシミュレートする、制御された演習である。コンプライアンス駆動型のチェックや自動脆弱性スキャンとは異なり、ペネトレーションテストは、より深い質問に答えるように設計されている。つまり、《このシステムは実際にどのように妥協されることができるか》ということである。

アプリケーションセキュリティでは、ペネトレーションテスターは、ユーザーが認証される方法、データがアプリケーションを通過する方法、権限が適用される方法、およびさまざまなコンポーネントが相互作用する方法を分析する。目的は、バグを見つけることだけではなく、欠陥が組み合わせられ、悪用され、または重要な影響(データ漏洩、口座の乗っ取り、または他のシステムへの横方向の移動など)にエスカレートされるかどうかを理解することである。

これが、ペネトレーションテストが従来、人間の専門家に大きく依存してきた理由である。実際の攻撃者は適応し、テクニックを連鎖させ、ビジネスロジックを悪用する方法で自動ツールが再現するのに苦労する。しかし、この深さは従来、スケールとスピードのコストで支払われてきた。

ポイントインタイムテストからポートフォリオカバレッジへ

現代の企業は、単一のアプリケーションをテストすることでは苦労しない。課題はカバレッジである。組織は、頻繁なデプロイを通じて継続的に変更される、内部で開発されたアプリケーションやサードパーティアプリケーションを数十個または数百個運用していることが多い。

バイショップフォックスは、コスモスAIをペネトレーションテストを、孤立したポイントインタイムエンゲージメントを超えて拡張する方法として位置付けている。複数のアプリケーション全体で発見とマッピングを加速することで、テスターは深さを犠牲にすることなく、より広範なポートフォリオを評価できる。これにより、組織は、定期的なセキュリティポストゥアのスナップショットではなく、継続的な保証に近づくことができる。

コスモスAIがテストワークフローに与える影響

コスモスAIは、顧客向けの自動化製品ではなく、内部の加速層として機能する。テスターは、到達可能な機能の特定、攻撃面の列挙、潜在的な攻撃パスのモデル化などのタスクを支援する。これらのタスクは、従来、ペネトレーションテストの大部分を占めていた。

基礎作業に費やされる時間を短縮することで、テスターは、複雑なシナリオに重点を置くことができる。ここでは、脆弱性が相互作用する。認証、認可、およびアプリケーションロジックを含むこれらの連鎖した弱点は、最も被害を与えるものの1つでありながら、従来のスキャニングでは検出が最も難しいものである。

人間の検証を設計制約とする

このアプローチの特徴は、AIによって生成されたシグナルが直接顧客に提示されることはない。すべてのフィンディングは、レポートに含める前に、専門のテスターによってレビュー、検証、およびコンテキスト化される。

これは重要である。なぜなら、ペネトレーションテストの結果は、実際の決定を下すために使用されるからである。何を最初に修正するか、どれが待つことができるか、どれが存続リスクを表すか。すべてのフィンディングが確認され、悪用可能であることを保証することで、バイショップフォックスは、高品質の手動テストに関連する信頼を維持しながら、AI駆動のスピードの利点を享受することを目指している。

精度を犠牲にすることなく、より迅速な結果を

コスモスAIの統合は、タイムラインに直接的な影響を及ぼす。発表によると、顧客は、通常5営業日以内に検証されたフィンディングを受け取ることができ、結果は数日以内に提供される。

継続的にソフトウェアをリリースする組織にとって、このより短いフィードバックループは、脆弱性の公開ウィンドウを短縮し、セキュリティチームが開発サイクルとより密接に同期するのに役立つ。大量の未検証アラートを手動でフィルタリングする必要性が減るからである。

スキャナードリブンのセキュリティプログラムを超えて

多くのセキュリティプログラムは、数千のフィンディングを提示する自動スキャナーに大きく依存している。これらのツールは、広範なセキュリティ対策には有用だが、理論的な問題と実際のリスクを区別するのに苦労することが多い。

バイショップフォックスは、攻撃者の視点からテストを行い、認証されたアプリケーションアクセス、および人間が検証した攻撃パスを強調することで、ペネトレーションテストを、報告書の演習ではなく、優先順位付けエンジンとして位置付けている。結果は、フィンディングが少なくなるが、攻撃者が環境を実際に妥協する方法と直接関連するものになる。

オフенсивセキュリティが向かう方向の兆し

人工知能をペネトレーションテスターの代替としてではなく、インフラストラクチャーとして捉えることで、コスモスAIモデルは、リーチを拡大し、洞察を加速し、専門家のワークフローから摩擦を取り除くものとしている。

アプリケーションのエコシステムが複雑性を増すにつれて、AI駆動のスケールと人間の判断を組み合わせるアプローチが、オフенсивセキュリティの次の段階を定義する可能性が高い。バイショップフォックスの発表は、ペネトレーションテスト自体が、この現実に応じて進化している具体的な例を示している。

mm

アントワーヌは、Unite.AIのビジョナリーレーダーであり共同創設者であり、AIとロボティクスの未来を形作り推進することに尽力しています。シリアルエントレプレナーである彼は、AIが電気と同様に社会に大きな変化をもたらすと信じており、破壊的な技術とAGIの可能性について語ることがよくあります。

彼はフューチャリストとして、これらのイノベーションが私たちの世界をどのように形作るかを探求することに尽力しています。さらに、彼はSecurities.ioの創設者であり、未来を再定義し、全セクターを再構築する最先端技術への投資に焦点を当てたプラットフォームです。