Connect with us

Cybersikkerhet

Å fjerne “tåken av mer” i cybersikkerhet

mm
Published
Updated

RSA-konferansen i San Francisco denne måneden, var det en forvirrende mengde nye og hete løsninger på display fra cybersikkerhetsindustrien. Stå til stå hevdet å være verktøyet som vil redde din organisasjon fra skurker som stjeler dine varer eller utpresser deg for millioner av dollar.

Etter mye overveielse, har jeg kommet til slutsatsen at vår bransje er borttapt. Borttapt i suppen av oppdagelse og respons med endeløs nonsens som hevder at dine problemer vil forsvinne så lenge du bare legger til ett mer lag. Omringet av en tåke av teknologiske investeringer, personale, verktøy og infrastruktur-lag, har selskaper nå dannet en labyrint hvor de ikke lenger kan se skogen for trærne når det gjelder å identifisere og forebygge trusler. Disse verktøyene, som er ment å beskytte digitale aktiver, driver i stedet frustrasjon for både sikkerhets- og utviklingsteamer gjennom økte arbeidsmengder og ukompatible verktøy. “Tåken av mer” fungerer ikke. Men å være helt ærlig, har den aldri funnet.

Cyberangrep begynner og slutter i kode. Det er så enkelt. Enten har du en sikkerhetsfeil eller sårbarhet i kode, eller koden ble skrevet uten sikkerhet i mente. Uansett, hver angrep eller overskrift du leser, kommer fra kode. Og det er programvareutviklerne som møter det ultimate fulle omfanget av problemet. Men utviklere er ikke trent i sikkerhet og, å være helt ærlig, kan kanskje aldri bli det. Så de implementerer gamle kode-søkeverktøy som bare søker etter mønster i koden. Og vær redd for hva du ber om, fordi som et resultat får de en tsunami av varsler, og jakter på røde hunder og spøkelser hele dagen. I virkeligheten, bruker utviklere opp til en tredjedel av sin tid på å jakte på falske positiver og sårbarheter. Bare ved å fokusere på forebygging kan bedrifter virkelig starte å styrke sine sikkerhetsprogrammer og legge grunnlaget for en sikkerhetsdrevet kultur.

Finding og fikse på kode-nivå

Det sies ofte at forebygging er bedre enn kur, og denne ordtaket holder spesielt sant i cybersikkerhet. Derfor, selv midt i tøffe økonomiske begrensninger, investerer bedrifter kontinuerlig og kobler på flere sikkerhetsverktøy, og lager flere barrierer for å redusere sannsynligheten for vellykkede cyberangrep. Men til tross for å legge til flere og flere lag av sikkerhet, skjer de samme typene angrep fortsatt. Det er på tide for organisasjoner å adoptere en fersk perspektiv – en hvor vi fokuserer på problemet på rot-nivå – ved å finne og fikse sårbarheter i koden.

Applikasjoner tjener ofte som den primære inngangspunktet for cyberkriminelle som søker å utnytte svakheter og få uautorisert tilgang til sensitive data. I slutten av 2020, kom SolarWinds-kompromisset til lys og etterforskere fant en kompromittert byggeprosess som tillot angripere å injisere skadelig kode i Orion-nettverks-overvåkingsprogramvaren. Dette angrepet understreket behovet for å sikre hver trinn i programvare-byggeprosessen. Ved å implementere robuste applikasjonsikkerhets-, eller AppSec-, tiltak, kan organisasjoner mitigere risikoen for disse sikkerhetsbruddene. For å gjøre dette, må bedrifter se på en ‘shift left’-mentalitet, og bringe forebyggende og prediktive metoder til utviklings-stadiet.

Mens dette ikke er en helt ny idé, kommer det med ulemper. En betydelig ulempe er økt utviklingstid og kostnader. Implementering av omfattende AppSec-tiltak kan kreve betydelige ressurser og ekspertise, og føre til lengre utviklingscykler og høyere utgifter. I tillegg, ikke alle sårbarheter utgjør en høy risiko for organisasjonen. Muligheten for falske positiver fra oppdagingverktøy fører også til frustrasjon blant utviklere. Dette skaper et gap mellom forretnings-, ingeniør- og sikkerhetsteam, hvis mål kanskje ikke samstemmer. Men generativ AI kan være løsningen som lukker dette gapet for godt.

Inntreden i AI-æraen

Ved å utnytte den ubenyttede naturen til generativ AI innen AppSec, vil vi endelig lære fra fortiden for å forutsi og forebygge fremtidige angrep. For eksempel, kan du trene en Large Language Model eller LLM på alle kjente kode-sårbarheter, i alle deres varianter, for å lære de essensielle egenskapene til alle. Disse sårbarhetene kunne inkludere vanlige problemer som buffer-overløp, injeksjonsangrep eller utilstrekkelig inndata-validering. Modellen vil også lære de nyanserte forskjellene etter språk, rammeverk og bibliotek, samt hva kode-fikser som er vellykkede. Modellen kan deretter bruke denne kunnskapen til å skanne en organisasjons kode og finne potensielle sårbarheter som ennå ikke er identifisert. Ved å bruke konteksten rundt koden, kan skanneverktøy bedre oppdage reelle trusler. Dette betyr kort skanntid og mindre tid på å jakte ned og fikse falske positiver og økt produktivitet for utviklingsteamer.

Generative AI-verktøy kan også tilby foreslåtte kode-fikser, og automatisere prosessen med å generere patcher, og betydelig redusere tiden og innsatsen som kreves for å fikse sårbarheter i kodebasen. Ved å trene modeller på store repositorier av sikre kodebasen og beste praksis, kan utviklere utnytte AI-genererte kode-biter som overholder sikkerhetsstandarder og unngår vanlige sårbarheter. Denne proaktive tilnærmingen reduserer ikke bare sannsynligheten for å introdusere sikkerhetsfeil, men akselerer også utviklingsprosessen ved å gi utviklere forhånds-testede og validerte kode-komponenter.

Disse verktøyene kan også tilpasse seg ulike programmeringsspråk og kode-stiler, og gjøre dem til universelle verktøy for kode-sikkerhet på tvers av ulike miljøer. De kan forbedre seg over tid, ettersom de fortsetter å trene på nye data og tilbakemeldinger, og føre til mer effektive og pålitelige patch-generering.

Menneskelig faktor

Det er essensielt å merke seg at mens kode-fikser kan automatiseres, er menneskelig tilsyn og validering fortsatt avgjørende for å sikre kvaliteten og riktigheten av genererte patcher. Mens avanserte verktøy og algoritmer spiller en betydelig rolle i å identifisere og mitigere sikkerhetssårbarheter, er menneskelig ekspertise, kreativitet og intuisjon fortsatt uerstattelige i å sikre applikasjoner effektivt.

Utviklere er ultimate ansvarlige for å skrive sikker kode. Deres forståelse av sikkerhetsbeste praksis, kode-standarden og potensielle sårbarheter er avgjørende for å sikre at applikasjoner bygges med sikkerhet i mente fra begynnelsen. Ved å integrere sikkerhetstrenings- og oppmerksomhetsprogrammer i utviklingsprosessen, kan organisasjoner gi utviklere mulighet til å proaktivt identifisere og håndtere sikkerhetsproblemer, og redusere sannsynligheten for å introdusere sårbarheter i kodebasen.

I tillegg, er effektiv kommunikasjon og samarbeid mellom ulike interessenter innen en organisasjon avgjørende for AppSec-suksess. Mens AI-løsninger kan hjelpe til å “lukke gapet” mellom utvikling og sikkerhetsoperasjoner, krever det en kultur av samarbeid og felles ansvar for å bygge mer resilient og sikre applikasjoner.

I en verden hvor trussel-landskapet er i konstant utvikling, er det lett å bli overveldet av den enorme mengden verktøy og teknologier som er tilgjengelige i cybersikkerhetsrommet. Men ved å fokusere på forebygging og finne sårbarheter i kode, kan organisasjoner kutte “fettet” av sine eksisterende sikkerhetsstakken, og spare en eksponentiell mengde tid og penger i prosessen. På rot-nivå, vil slike løsninger kunne finne kjente sårbarheter og fikse null-dags-sårbarheter, og til og med pre-null-dags-sårbarheter før de skjer. Vi kan endelig holde tritt, eller til og med gå foran, utviklende trusler.

mm

Stuart McClure har over 30 års erfaring med alle aspekter av cybersikkerhet, inkludert ingeniørarbeid, produktutvikling, markedsføring, salg, kundesuksess og ledelse, inkludert Global CTO for McAfee/Intel, startet Cylance og Foundstone som grunnlegger/CEO/President/CTO og etablerte cybersikkerhetspraksis for både Kaiser Permanente og Ernst & Young. Stuart er grunnleggende forfatter av den #1 cybersikkerhetsboken, Hacking Exposed, som gir forsvarerne mulighet til å forstå hacker-verktøy, -teknikker og -prosedyrer for å forebygge cyberangrep. Stuart tok sin B.A. i psykologi og filosofi med vekt på datavitenskap fra CU Boulder.