Кибербезопасность
Очистка “тумана большего” в кибербезопасности
На RSA Conference в Сан-Франциско в этом месяце была представлена ошеломляющая масса новых и перспективных решений отрасли кибербезопасности. Стенд за стендом утверждал, что их инструмент является тем, который спасет вашу организацию от злоумышленников, крадущих ваши ценности или вымогающих у вас миллионы долларов.
После долгих размышлений я пришел к выводу, что наша отрасль потерялась. Потерялась в супе из обнаружения и реагирования с бесконечным потоком заявлений, что ваши проблемы исчезнут, если вы просто добавите еще один слой. Окутанная туманом технологических инвестиций, персонала, инструментов и слоев инфраструктуры, компании сформировали лабиринт, где они больше не могут видеть лес за деревьями, когда речь идет об идентификации и предотвращении угроз. Эти инструменты, предназначенные для защиты цифровых активов, вместо этого вызывают разочарование как у команд безопасности, так и у команд разработки за счет увеличения нагрузки и несовместимых инструментов. “Туман большего” не работает. Но, если честно, он никогда не работал.
Кибератаки начинаются и заканчиваются в коде. Это так просто. У вас либо есть уязвимость или проблема с безопасностью в коде, либо код был написан без учета безопасности. В любом случае, каждая атака или заголовок, который вы читаете, исходит из кода. И именно разработчики сталкиваются с полной мерой проблемы. Но разработчики не обучены вопросам безопасности, и, если честно, они могут никогда не быть. Поэтому они используют старые добрые инструменты поиска кода, которые просто ищут закономерности в коде. И бойтесь того, что вы просите, потому что в результате они получают цунами предупреждений, преследуя ложные следы и призраки большую часть дня. Фактически, разработчики тратят до трети своего времени на преследование ложных положительных результатов и уязвимостей. Только сосредоточившись на предотвращении, предприятия могут действительно начать укреплять свои программы безопасности и закладывать основу для культуры, ориентированной на безопасность.
Поиск и исправление на уровне кода
Часто говорят, что предотвращение лучше, чем лечение, и эта пословица особенно верна в кибербезопасности. Поэтому, даже при более жестких экономических ограничениях, бизнес постоянно инвестирует и подключает больше инструментов безопасности, создавая множество барьеров для входа, чтобы снизить вероятность успешных кибератак. Но, несмотря на добавление все больше и больше слоев безопасности, одни и те же типы атак продолжают происходить. Пора организациям принять свежий взгляд – тот, где мы сосредоточимся на проблеме на самом базовом уровне – найдя и исправляя уязвимости в коде.
Приложения часто служат основной точкой входа для киберпреступников, стремящихся использовать слабости и получить несанкционированный доступ к конфиденциальным данным. В конце 2020 года компрометация SolarWinds стала известна, и следователи обнаружили скомпрометированный процесс сборки, который позволил атакующим внедрить вредоносный код в программное обеспечение для мониторинга сети Orion. Эта атака подчеркнула необходимость защиты каждого шага процесса сборки программного обеспечения. Реализуя надежные меры безопасности приложений, или AppSec, организации могут снизить риск таких нарушений безопасности. Для этого предприятиям необходимо рассмотреть “сдвиг влево” менталитета, привнося предотвращение и прогностические методы на этап разработки.
Хотя это не совсем новая идея, она имеет свои недостатки. Одним из значительных недостатков является увеличение времени и стоимости разработки. Реализация комплексных мер AppSec может потребовать значительных ресурсов и экспертизы, что приводит к более длинным циклам разработки и более высоким расходам. Кроме того, не все уязвимости представляют высокий риск для организации. Потенциал ложных положительных результатов от инструментов обнаружения также приводит к разочарованию среди разработчиков. Это создает разрыв между бизнесом, инженерными и командами безопасности, цели которых могут не совпадать. Но генеративный ИИ может быть решением, которое закроет этот разрыв навсегда.
Вход в эру ИИ
Используя повсеместную природу генеративного ИИ в AppSec, мы наконец-то сможем учиться на прошлом, чтобы предсказать и предотвратить будущие атаки. Например, вы можете обучить большую языковую модель или LLM на всех известных уязвимостях кода, во всех их вариантах, чтобы узнать основные характеристики всех уязвимостей. Эти уязвимости могут включать общие проблемы, такие как переполнения буфера, атаки методом внедрения или неправильную проверку ввода. Модель также научится нюансам различий по языку, фреймворку и библиотеке, а также тому, какие исправления кода являются успешными. Затем модель может использовать эти знания, чтобы просканировать код организации и найти потенциальные уязвимости, которые еще не были выявлены. Используя контекст вокруг кода, инструменты сканирования могут лучше обнаруживать реальные угрозы. Это означает короткое время сканирования и меньше времени, потраченного на преследование и исправление ложных положительных результатов, а также повышение производительности команд разработки.
Инструменты генеративного ИИ также могут предложить исправления кода, автоматизируя процесс создания патчей, что значительно снижает время и усилия, необходимые для исправления уязвимостей в кодовых базах. Обучая модели на огромных репозиториях безопасных кодовых баз и лучших практиках, разработчики могут использовать сгенерированные ИИ фрагменты кода, которые соответствуют стандартам безопасности и избегают общих уязвимостей. Этот проактивный подход не только снижает вероятность введения проблем с безопасностью, но и ускоряет процесс разработки, предоставляя разработчикам предварительно протестированные и проверенные компоненты кода.
Эти инструменты также могут адаптироваться к разным языкам программирования и стилям кодирования, что делает их универсальными инструментами для безопасности кода в различных средах. Они могут улучшаться со временем, продолжая обучаться на новых данных и обратной связи, что приводит к более эффективному и надежному созданию патчей.
Человеческий фактор
Важно отметить, что, хотя исправления кода могут быть автоматизированы, человеческий надзор и проверка все еще имеют решающее значение для обеспечения качества и правильности сгенерированных патчей. Хотя передовые инструменты и алгоритмы играют значительную роль в выявлении и смягчении уязвимостей безопасности, человеческая экспертиза, креативность и интуиция остаются незаменимыми в эффективной защите приложений.
Разработчики в конечном итоге ответственны за написание безопасного кода. Их понимание лучших практик безопасности, стандартов кодирования и потенциальных уязвимостей имеет первостепенное значение для обеспечения того, чтобы приложения были построены с учетом безопасности с самого начала. Интегрируя программы обучения и повышения осведомленности о безопасности в процесс разработки, организации могут расширить возможности разработчиков для выявления и решения проблем безопасности, снижая вероятность введения уязвимостей в кодовую базу.
Кроме того, эффективное общение и сотрудничество между различными заинтересованными сторонами внутри организации имеют решающее значение для успеха AppSec. Хотя решения на основе ИИ могут помочь “закрыть разрыв” между разработкой и операциями безопасности, для построения более устойчивых и безопасных приложений требуется культура сотрудничества и общей ответственности.
В мире, где ландшафт угроз постоянно эволюционирует, легко стать подавленным огромным количеством инструментов и технологий, доступных в области кибербезопасности. Однако, сосредоточившись на предотвращении и поиске уязвимостей в коде, организации могут обрезать “жир” своего существующего стека безопасности, экономя экспоненциальное количество времени и денег в процессе. На базовом уровне такие решения смогут не только найти известные уязвимости и исправить уязвимости нулевого дня, но и предуязвимости до их возникновения. Мы, возможно, наконец-то сможем идти в ногу, если не опережать, эволюционирующих угроз.
