Connect with us

Röjande “dimman av mer” i cybersäkerhet

Cybersäkerhet

Röjande “dimman av mer” i cybersäkerhet

mm
Published
Updated

RSA-konferensen i San Francisco den här månaden visades en förvirrande mängd nya och hetaste lösningar upp från cybersäkerhetsbranschen. Stånd efter stånd hävdade att de var verktyget som skulle rädda din organisation från illvilliga aktörer som stjäl dina tillgångar eller utpressar dig för miljontals dollar.

Efter lång övervägning har jag kommit till slutsatsen att vår bransch är vilse. Vilse i soppan av upptäckt och svar med ändlös nonsens som påstår att dina problem kommer att försvinna så länge du bara lägger till ett ytterligare lager. Omgiven av en dimma av teknikutveckling, personal, verktyg och infrastrukturlager har företag nu bildat en labyrint där de inte längre kan se skogen för träderna när det gäller att identifiera och förhindra hotaktörer. Dessa verktyg, som är avsedda att skydda digitala tillgångar, orsakar i stället frustration för både säkerhets- och utvecklingsteam genom ökade arbetsbelastningar och oförenliga verktyg. “Dimman av mer” fungerar inte. Men för att vara ärlig, det har det aldrig gjort.

Cyberattacker börjar och slutar i kod. Det är så enkelt. Antingen har du en säkerhetsbrist eller sårbarhet i koden, eller så skrevs koden utan säkerhet i åtanke. Antingen way, varje attack eller rubrik du läser, kommer från kod. Och det är programvaruutvecklarna som står inför det ultimata fulla brunt av problemet. Men utvecklare är inte utbildade i säkerhet och, för att vara ärlig, kanske aldrig kommer att vara. Så de implementerar gamla moda kod sökverktyg som enkelt söker efter mönster i koden. Och var rädd för vad du ber om, för som ett resultat får de en tsunami av varningar, jagar röda herrar och spöken under större delen av dagen. I själva verket tillbringar utvecklare upp till en tredjedel av sin tid med att jaga falska positiva och sårbarheter. Bara genom att fokusera på förebyggande kan företag verkligen börja stärka sina säkerhetsprogram och lägga grunden för en säkerhetsdriven kultur.

Hitta och åtgärda på kodnivå

Det sägs ofta att förebyggande är bättre än bot, och denna devis gäller särskilt i cybersäkerhet. Därför, även under stramare ekonomiska begränsningar, fortsätter företag att investera och ansluta fler säkerhetsverktyg, skapa flera barriärer för att minska sannolikheten för framgångsrika cyberattacker. Men trots att man lägger till fler och fler säkerhetslager, fortsätter samma typer av attacker att hända. Det är dags för organisationer att anta en färsk perspektiv – en där vi fokuserar på problemet på rot nivå – genom att hitta och åtgärda sårbarheter i koden.

Applikationer fungerar ofta som den primära ingångspunkten för cyberkriminella som försöker utnyttja svagheter och få obehörig åtkomst till känsliga data. I slutet av 2020 avslöjades SolarWinds-kompromissen och utredarna fann en komprometterad byggprocess som tillät angripare att injicera skadlig kod i Orion-nätverksövervakningsprogrammet. Detta angrepp underströk behovet av att säkra varje steg i programvarubyggprocessen. Genom att implementera robusta applikationssäkerhetsåtgärder, eller AppSec, kan organisationer mildra risken för dessa säkerhetsbrott. För att göra detta behöver företag titta på en “skifta vänster”-mentalitet, bringa förebyggande och prediktiva metoder till utvecklingsstadiet.

Medan detta inte är en helt ny idé, kommer det med nackdelar. En betydande nackdel är ökad utvecklingstid och kostnader. Att implementera omfattande AppSec-åtgärder kan kräva betydande resurser och expertis, vilket leder till längre utvecklingscykler och högre utgifter. Dessutom utgör inte alla sårbarheter en hög risk för organisationen. Potentialen för falska positiva från upptäcktsverktyg leder också till frustration bland utvecklare. Detta skapar ett gap mellan affärs-, ingenjörs- och säkerhetsteam, vars mål kanske inte sammanfaller. Men generativ AI kan vara lösningen som stänger detta gap för gott.

Inträde i AI-eran

Genom att utnyttja den allomfattande naturen av generativ AI inom AppSec kommer vi slutligen att lära av det förflutna för att förutsäga och förhindra framtida attacker. Till exempel kan du träna en Large Language Model eller LLM på alla kända kod sårbarheter, i alla deras varianter, för att lära dig de väsentliga funktionerna hos alla. Dessa sårbarheter kan inkludera vanliga problem som buffertöverskridningar, injektionsattacker eller otillräcklig indatavalidering. Modellen kommer också att lära sig de nyanserade skillnaderna mellan språk, ramverk och bibliotek, samt vilka kodfixar som är framgångsrika. Modellen kan sedan använda denna kunskap för att skanna en organisations kod och hitta potentiella sårbarheter som ännu inte har identifierats. Genom att använda sammanhanget runt koden kan skanningsverktyg bättre upptäcka riktiga hot. Detta innebär korta skanningstider och mindre tid för att jaga och fixa falska positiva och ökad produktivitet för utvecklingsteam.

Generativa AI-verktyg kan också erbjuda föreslagna kodfixar, automatisera processen för att generera patchar, vilket betydligt minskar den tid och ansträngning som krävs för att fixa sårbarheter i kodbasen. Genom att träna modeller på stora repository av säkra kodbas och bästa praxis kan utvecklare utnyttja AI-genererade kodsnuttar som följer säkerhetsstandarder och undviker vanliga sårbarheter. Denna proaktiva approach minskar inte bara sannolikheten för att introducera säkerhetsbrister, men accelererar också utvecklingsprocessen genom att tillhandahålla utvecklare med förtestade och validerade kodkomponenter.

Dessa verktyg kan också anpassa sig till olika programmeringsspråk och kodstilar, vilket gör dem flexibla verktyg för kod säkerhet i olika miljöer. De kan förbättras över tiden när de fortsätter att träna på nya data och feedback, vilket leder till mer effektiva och tillförlitliga patchgenerering.

Den mänskliga faktorn

Det är viktigt att notera att medan kodfixar kan automatiseras, är mänsklig tillsyn och validering fortfarande avgörande för att säkerställa kvaliteten och riktigheten hos genererade patchar. Medan avancerade verktyg och algoritmer spelar en betydande roll i att identifiera och mildra säkerhets sårbarheter, förblir mänsklig expertis, kreativitet och intuition oumbärliga i att effektivt säkra applikationer.

Utvecklare är slutligen ansvariga för att skriva säker kod. Deras förståelse för säkerhetsbästa praxis, kodstandarder och potentiella sårbarheter är avgörande för att säkerställa att applikationer byggs med säkerhet i åtanke från början. Genom att integrera säkerhetsutbildning och medvetenhet i utvecklingsprocessen kan organisationer ge utvecklare möjlighet att proaktivt identifiera och åtgärda säkerhetsproblem, vilket minskar sannolikheten för att introducera sårbarheter i kodbasen.

Dessutom är effektiv kommunikation och samarbete mellan olika intressenter inom en organisation avgörande för AppSec-succes. Medan AI-lösningar kan hjälpa till att “stänga gapet” mellan utveckling och säkerhetsåtgärder, kräver det en kultur av samarbete och delat ansvar för att bygga mer motståndskraftiga och säkra applikationer.

I en värld där hotlandskapet ständigt utvecklas, är det lätt att bli överväldigad av den enorma mängden verktyg och teknologier som finns tillgängliga i cybersäkerhetsutrymmet. Men genom att fokusera på förebyggande och hitta sårbarheter i koden, kan organisationer skära bort “fettet” i sin befintliga säkerhetsstack, vilket sparar en exponentiell mängd tid och pengar i processen. På rot nivå kommer sådana lösningar att kunna hitta inte bara kända sårbarheter och fixa noll-dagars sårbarheter, utan också pre-zero-dagars sårbarheter innan de inträffar. Vi kan slutligen hålla jämna steg, om inte förgå, utvecklande hotaktörer.

mm

Stuart McClure har över 30 års erfarenhet av alla aspekter av cybersäkerhet, inklusive teknik, produktutveckling, marknadsföring, försäljning, kundframgång och ledarskap, inklusive Global CTO för McAfee/Intel, startade Cylance och Foundstone som grundare/VD/president/CTO och skapade cybersäkerhetspraxis för både Kaiser Permanente och Ernst & Young. Stuart är den grundande författaren till den bästa cybersäkerhetsboken, Hacking Exposed, som ger försvararna möjlighet att förstå hackerverktyg, tekniker och procedurer för att förhindra cyberattacker. Stuart avlade sin kandidatexamen i psykologi och filosofi med inriktning på datavetenskap från CU Boulder.