Connect with us

Cyberbeveiliging

Het “Mist van Meer” in Cyberbeveiliging Opklaren

mm
Published
Updated

Op de RSA Conference in San Francisco deze maand, was een duizelingwekkend aanbod van gloednieuwe en hete oplossingen te zien van de cybersecurity-industrie. Steek je hoofd om elke hoek en elk bedrijf beweert het gereedschap te zijn dat je organisatie zal redden van slechte actoren die je waardevolle spullen stelen of je chanteren voor miljoenen dollars.

Na veel overweging, ben ik tot de conclusie gekomen dat onze industrie verloren is. Verloren in de soep van detectie en respons met eindeloze onzin die beweert dat je problemen zullen verdwijnen zodra je nog maar een laag toevoegt. Omsingeld door een waas van technologie-investeringen, personeel, tools en infrastructuurlagen, hebben bedrijven nu een labyrint gevormd waarin ze de bomen niet meer zien door het bos als het gaat om het identificeren en voorkomen van bedreigingsactoren. Deze tools, bedoeld om digitale activa te beschermen, zorgen in plaats daarvan voor frustratie bij zowel beveiligings- als ontwikkelteams door toegenomen werklast en onverenigbare tools. De “mist van meer” werkt niet. Maar eerlijk gezegd, heeft het nooit gewerkt.

Cyberaanvallen beginnen en eindigen in code. Het is zo eenvoudig. Of je hebt een beveiligingslek of kwetsbaarheid in code, of de code is geschreven zonder beveiliging in gedachten. Hoe dan ook, elke aanval of kopje dat je leest, komt uit code. En het zijn de software-ontwikkelaars die het uiteindelijke volle gewicht van het probleem dragen. Maar ontwikkelaars zijn niet opgeleid in beveiliging en, eerlijk gezegd, zullen ze dat misschien nooit zijn. Dus implementeren ze ouderwetse code-zoektools die eenvoudigweg de code doorzoeken op patronen. En wees bang voor wat je vraagt, want als gevolg daarvan krijgen ze een tsunami van waarschuwingen, waar ze de hele dag achteraan jagen. In feite besteden ontwikkelaars tot een derde van hun tijd aan het najagen van valse positieven en kwetsbaarheden. Alleen door te focussen op preventie kunnen ondernemingen echt beginnen met het versterken van hun beveiligingsprogramma’s en het leggen van de basis voor een beveiligingsgedreven cultuur.

Oplossing Vinden en Repareren op Code-niveau

Het wordt vaak gezegd dat preventie beter is dan genezing, en deze uitdrukking is bijzonder waar in cyberbeveiliging. Daarom investeren bedrijven, zelfs bij strikte economische beperkingen, voortdurend in meer beveiligingstools en creëren ze meerdere barrières om de kans op succesvolle cyberaanvallen te verkleinen. Maar ondanks het toevoegen van steeds meer beveiligingslagen, gebeuren dezelfde soort aanvallen nog steeds. Het is tijd voor ondernemingen om een frisse kijk te nemen – een waarin we ons richten op het probleem op het niveau van de wortel – door kwetsbaarheden in de code te vinden en te repareren.

Toepassingen dienen vaak als de primaire toegangspunt voor cybercriminelen die zwakheden proberen uit te buiten en ongeoorloofde toegang tot gevoelige gegevens proberen te verkrijgen. Eind 2020 kwam de SolarWinds-compromis aan het licht en vonden onderzoekers een gecompromitteerd build-proces dat het aanvallers mogelijk maakte om kwaadaardige code in de Orion-netwerkmonitoringsoftware te injecteren. Deze aanval benadrukte de noodzaak om elke stap van het software-buildproces te beveiligen. Door het implementeren van robuuste applicatiebeveiliging, of AppSec, kunnen ondernemingen het risico op deze beveiligingsinbreuken mitigeren. Om dit te doen, moeten ondernemingen naar een ‘shift left’-mentaliteit kijken, waarbij preventieve en voorspellende methoden naar het ontwikkelingsstadium worden gebracht.

Hoewel dit geen geheel nieuw idee is, komt het met nadelen. Een aanzienlijk nadeel is de toegenomen ontwikkeltijd en -kosten. Het implementeren van uitgebreide AppSec-maatregelen kan aanzienlijke middelen en expertise vereisen, wat leidt tot langere ontwikkelingscycli en hogere uitgaven. Bovendien vormen niet alle kwetsbaarheden een hoog risico voor de onderneming. Het potentieel voor valse positieven van detectietools leidt ook tot frustratie onder ontwikkelaars. Dit creëert een kloof tussen bedrijfs-, ingenieurs- en beveiligingsteams, waarvan de doelen mogelijk niet overeenkomen. Maar generatieve AI kan de oplossing zijn die deze kloof voor altijd sluit.

De AI-Era Binnenkomen

Door het gebruik van de alomtegenwoordige aard van generatieve AI binnen AppSec zullen we eindelijk leren van het verleden om toekomstige aanvallen te voorspellen en te voorkomen. Bijvoorbeeld, je kunt een Large Language Model of LLM trainen op alle bekende code-kwetsbaarheden, in al hun varianten, om de essentiële kenmerken van allemaal te leren. Deze kwetsbaarheden kunnen onder andere omvatten: bufferoverflows, injectie-aanvallen of onjuiste invoervalidatie. Het model zal ook de nuances leren van taal, framework en bibliotheek, evenals welke code-fixes succesvol zijn. Het model kan deze kennis vervolgens gebruiken om de code van een onderneming te scannen en potentiële kwetsbaarheden te vinden die nog niet zijn geïdentificeerd. Door het gebruik van de context rond de code, kunnen scantoestellen beter echte bedreigingen detecteren. Dit betekent korte scantijden en minder tijd besteden aan het najagen en repareren van valse positieven en toegenomen productiviteit voor ontwikkelteams.

Generatieve AI-tools kunnen ook voorgestelde code-fixes aanbieden, het proces van het genereren van patches automatiseren, waardoor de tijd en inspanning die nodig zijn om kwetsbaarheden in codebases te repareren, aanzienlijk worden verminderd. Door modellen te trainen op uitgebreide repositories van beveiligde codebases en best practices, kunnen ontwikkelaars gebruikmaken van AI-gegenereerde code-snippets die voldoen aan beveiligingsnormen en algemene kwetsbaarheden vermijden. Deze proactieve aanpak vermindert niet alleen de kans op het introduceren van beveiligingslekken, maar versnelt ook het ontwikkelingsproces door ontwikkelaars vooraf geteste en gevalideerde codecomponenten te bieden.

Deze tools kunnen ook worden aangepast aan verschillende programmeertalen en codestijlen, waardoor ze veelzijdige tools zijn voor codebeveiliging in verschillende omgevingen. Ze kunnen in de loop van de tijd verbeteren naarmate ze blijven trainen op nieuwe gegevens en feedback, wat leidt tot meer effectieve en betrouwbare patchgeneratie.

Het Menselijke Element

Het is essentieel om te noteren dat, hoewel code-fixes geautomatiseerd kunnen worden, menselijke toezicht en validatie nog steeds cruciaal zijn om de kwaliteit en correctheid van gegenereerde patches te garanderen. Terwijl geavanceerde tools en algoritmen een aanzienlijke rol spelen bij het identificeren en mitigeren van beveiligingskwetsbaarheden, blijven menselijke expertise, creativiteit en intuïtie onmisbaar om applicaties effectief te beveiligen.

Ontwikkelaars zijn uiteindelijk verantwoordelijk voor het schrijven van beveiligde code. Hun begrip van beveiligingsbest practices, codestandaarden en potentiële kwetsbaarheden is van cruciaal belang om ervoor te zorgen dat applicaties vanaf het begin met beveiliging in gedachten worden gebouwd. Door beveiligingstraining en -bewustzijnsprogramma’s in het ontwikkelingsproces te integreren, kunnen ondernemingen ontwikkelaars empoweren om beveiligingsproblemen proactief te identificeren en aan te pakken, waardoor de kans op het introduceren van kwetsbaarheden in de codebase wordt verkleind.

Bovendien is effectieve communicatie en samenwerking tussen verschillende stakeholders binnen een onderneming essentieel voor AppSec-succes. Terwijl AI-oplossingen kunnen helpen om de “kloof” tussen ontwikkeling en beveiligingsoperaties te “sluiten”, vereist het een cultuur van samenwerking en gedeelde verantwoordelijkheid om meer veerkrachtige en beveiligde applicaties te bouwen.

In een wereld waarin het bedreigingslandschap constant evolueert, is het gemakkelijk om overweldigd te raken door de enorme hoeveelheid tools en technologieën die beschikbaar zijn in de cybersecurity-ruimte. Echter, door te focussen op preventie en kwetsbaarheden in code te vinden, kunnen ondernemingen het “vet” van hun bestaande beveiligingsstack afsnijden, waardoor een exponentiële hoeveelheid tijd en geld in het proces wordt bespaard. Op root-niveau zullen dergelijke oplossingen niet alleen bekende kwetsbaarheden kunnen vinden en zero-day-kwetsbaarheden repareren, maar ook pre-zero-day-kwetsbaarheden voordat ze optreden. We zullen eindelijk de pas kunnen houden, zo niet voorblijven, van de evoluerende bedreigingsactoren.

mm

Stuart McClure heeft meer dan 30 jaar ervaring in alle aspecten van cybersecurity, waaronder engineering, productontwikkeling, marketing, verkoop, klantensucces en executive leadership, waaronder Global CTO voor McAfee/Intel, het starten van Cylance en Foundstone als Founder/CEO/President/CTO en het opzetten van de cybersecurity-praktijken voor zowel Kaiser Permanente als Ernst & Young. Stuart is de oprichter van het #1 cybersecurity-hackingboek, Hacking Exposed, dat verdedigers in staat stelt om de hacker-tools, -technieken en -procedures te begrijpen om cyberaanvallen te voorkomen. Stuart behaalde zijn B.A. in Psychologie en Filosofie met een specialisatie in Computer Science van CU Boulder.