AppSec ekipleri eski tarayıcılar ve birikmiş işler ile sıkışmış olsa da, geliştiriciler ve bilgisayar korsanları kendi hedeflerini hızlandırmak için AI araçlarını benimsedi.
- Geliştiriciler kod dağıtıyorlar % 70 daha hızlı AI kodu oluşturma araçlarının yardımıyla.
- AI tarafından oluşturulan kod güvenilir bir şekilde güvenli değil. Son zamanlarda Cornell ÇalışmasıAI tarafından oluşturulan kod snippet’lerinin% 30’u, bir çalışma zamanı ortamında nasıl dağıtıldıklarına ve telafi edici kontrollerin olup olmadığına bağlı olarak bir güvenlik açığı sağlayabilecek bir güvenlik zayıflığı içerir.
- Hackerlar var olan AI araçlarını benimsemek Siber saldırıları yürütmek için gereken maliyeti ve teknik yeteneği azaltmak için.
- AppSec ekipleri Yeni tanıtılan güvenlik sorunlarını manuel olarak inceleyerek, gerçek risk getirip getirmediklerini, bilet oluşturup oluşturmadıklarını ve meşgul geliştiricilerin onlara ulaşamadığı biletleri takip etmeye çalışarak saatler geçirin.
Sonuç olarak, güvenlik açığı birikimleri büyümeye devam ediyor, uygulamalar daha az güvenli hale geliyor ve bilgisayar korsanları geliştirici ve appSec verimliliği arasındaki artan boşluktan yararlanmak için iyi donanımlı. Güvenliği geliştiricilere kaydırmak yeterli değildir – endüstrinin APPSEC mühendisi verimliliğine yenilenmiş bir odaklanmaya ihtiyacı vardır.
Manuel AppSec görevlerini yıkmak
AppSec ekipleri neden statüko teknolojilerini ve sürecini kullanarak yeni tanıtılan güvenlik açıklarının oranına ayak uyduramıyor?
Basit cevap, ürün güvenliği riskinin azaltılmasının muazzam miktarda manuel çalışma gerektirmesidir. AppSec ekipleri zaman alıcı görevlerde boğuluyor ve güvenlik açıkları çözülebileceklerinden daha hızlı tanıtılıyor. Bu görevleri yıkalım:
1. Yeni tanıtılan güvenlik bulgularını bulmak için birikimleri manuel olarak sorgulamak
Her gün, APPSEC mühendisleri son 24 saat içinde tanıtılan tarayıcıyı tespit edilen bulguları tanımlamak için birikmiş işleri sorguluyor. Daha sonra, uygulama mimarisine ve çalışma zamanı ortamına dayalı gerçek riski getirip getirmediğini veya sadece başka bir yanlış pozitif olup olmadığını belirlemek için her birini manuel olarak araştırırlar – saatler yiyebilecek bir egzersiz.
2. Geliştiriciler için, ilgili güvenlik sorununun neden gerçek risk getirdiğini ve bir kırılganlık sağladığını açıklayan bağlam açısından zengin biletler oluşturmak.
Bir bulgunun riskli olduğu doğrulandıktan sonra, APPSEC mühendisleri bunu uygulamanın mimarisinde ve çalışma zamanında neden önemli olduğunu açıkça açıklayan bir bilet haline getirmelidir. Bu bağlam olmadan, geliştiriciler buna öncelik vermez, bu nedenle APPSEC her bileti haklı çıkarmak için önemli zaman harcar.
3. Güvenlik Açığı SLAS yaklaşımı olarak biletleri takip edin
AppSec ekipleri, SLA son tarihleri olarak açık güvenlik biletlerini izlemek ve artırmaktan sorumludur. Bu takip süreci zaman alıcı ve tekrarlayandır, özellikle de biletler değişen geliştirme öncelikleri nedeniyle çatlaklardan düştüğünde.
4 Mevcut ortamlarıyla uyumluluk gereksinimlerini haritalama
Uyum boşluklarını tanımlamak için, APPSEC mühendisleri soyut güvenlik gereksinimlerini (örneğin, SOC 2, OWASP ASV’ler) kod tabanlarındaki ve altyapılarındaki gerçek kontrollere ve güvenlik zayıflıklarına manuel olarak eşleştirmelidir. Bu haritalama sıkıcı, kolay bir şekilde modası geçmiş ve nadiren otomatiktir – sabit bir yük kaynağı yapmak.
Sonuçta
Ürün güvenliği riskini azaltmak çok uzun sürer. AI kodu oluşturma araçları, güvenlik açıklarını APPSEC ekiplerinin bunları algılayabileceğinden, önceliklendirebileceği ve hafifletebileceğinden daha hızlı üretmeye itiyor.
AI temsilcileri AppSec görevlerini nasıl hızlandırabilir? eğer Doğru bağlam var
AI ajanları, APPSEC ekiplerini yavaşlatan sıkıcı görevleri otomatikleştirmek için iyi konumlandırılmıştır-ancak yalnızca doğru bağlamda varsa. Çalıştıkları sistemleri derinlemesine anlamadan, AI ajanları içgörü değil gürültü üretecektir.
Etkili olabilmek için AI ajanlarının aşağıdakilere erişmesi gerekir:
- Çalışma Zamanı Bağlamı AI ajanları, güvenlik açıklarının gerçek risk getirip getirmediğini anlamak için uygulama çalışma zamanı ortamında görünürlüğe sahiptir. Bu, bir güvenlik açığının olup olmadığını belirlemek anlamına gelir: internete bakan, uygulama belleğine yüklenen (ve dolayısıyla kullanılabilir), hassas verileri veya ayrıcalıklı hizmetleri etkileyebilen.
- İş Bağlamı: AI ajanları, işin gerçekte neye önem verdiğine bağlı olarak sorunlara öncelik vermelidir. Bu şunları içerir: etkilenen uygulamanın hassas verileri (örneğin, ödemeler, auth), bir sorunun SLA’ya yaklaşıp yaklaşmadığı, bir güvenlik açığının iç güvenlik politikalarını ihlal edip etmediği.
- Uyum bağlamı: AI ajanlarının güvenlik zayıflıklarını, herhangi bir güvenlik boşluğunun kuruluşun uygunluktan çıkarıp koymadığını belirlemek için SOC 2, PCI-DSS veya OWASP ASV’leri gibi düzenleyici gereksinimlere karşı eşleştirmesi gerekir.
- İnsan müdahalesi: AI ajanları tek başına çalışamaz. Harekete geçmeden önce doğru kararları alıp almadıklarını anlamak için insanlarla doğrulama ve işbirliği gerektirirler.
Bu bağlamda, AI ajanları gürültülü otomasyon olmayı bırakabilir ve yüksek kaldıraç takım arkadaşları olmaya başlayabilir. Daha önce açıklanan temel AppSec görevlerini nasıl hızlandırabilirler.
Yeni tanıtılan güvenlik açıklarını otomatik olarak tanımlayın ve tetikleyin
AI ajanları, biriktirme işlerini manuel olarak sorgulamak yerine, yakın zamanda tanıtılan tarayıcı tarafından tespit edilen bulguları yüzeye çıkarabilir ve her sorunu çalışma zamanı ve iş bağlamına göre değerlendirebilir. İnternete bakan ödemeler hizmetinde bir güvenlik açığı belleğe yüklenirse ve politikanız bu hizmetteki kullanılabilir hataları yasaklarsa, aracı onu işaretler. Değilse, göz ardı edilir veya depricat edilir.
Gerçek risk bağlamıyla geliştiriciye hazır biletler oluşturun
Riskli bir güvenlik açığı belirlendikten sonra, AI ajanları sorunun neden tehlikeli olduğunu açıkça açıklayan biletler oluşturabilir – bu, geliştiriciler için anlaşılabilir hale getirmek için çalışma zamanı, iş ve uyum bağlamını kullanarak. Bu, APPSEC mühendislerinin doğru bilgileri doğru ellere almasını kolaylaştırır ve geliştiricilerin daha hızlı harekete geçmesine yardımcı olur.
Açık biletleri izleyin, SLA son tarihlerini izleyin ve gerektiği gibi takip edin
AI ajanları güvenlik açığı biletlerini izleyebilir, çözülmemiş biletleri takip edebilir ve SLA’ya yaklaşanları otomatik olarak yükseltebilir-AppSec ekipleri daha yüksek etkili çalışmalara odaklanırken gerçek risklerin altına düşmez.
Uyumluluk gereksinimlerini ortamınıza sürekli eşleyin
Yapay zeka ajanları hangi uyumluluk gereksinimlerinin alakalı olduğunu anladığında, ortamınızın gerekli kontrollerden yoksun olup olmadığını veya ilgili standartları ihlal eden güvenlik açıklarını içerip içermediğini sürekli olarak değerlendirerek uyumluluk eşlemesini otomatikleştirebilirler. Artık manuel elektronik tablolar veya son dakika denetim karıştırma yok.
AI ajanları hype’dan daha fazlası olabilir
AppSec ekipleri, manuel iş akışlarını ve eski tarayıcıları kullanarak modern gelişimin hızına ayak uyduramaz. AI tarafından üretilen kod, insanların onları tetikleyebileceğinden daha hızlı güvenlik açıkları getirir ve saldırganlar aynı derecede hızlı hareket eder.
AI ajanları ileri açık bir yol sunuyor –eğer Doğru bağlama sahipler. Çalışma zamanı ortamına, iş önceliklerine ve uyumluluk gereksinimlerine ilişkin görünürlükle, AI ajanları en sıkıcı ve zaman alıcı uygulama görevlerini otomatikleştirerek ekiplerin uyanık gürültü yerine gerçek riske odaklanmasına yardımcı olabilir.
-Den Jittam olarak bunu yapan AI ajanları inşa ettik. Temsilcilerimiz, güvenlik açıklarını sürekli olarak önceliklendirerek, geliştiriciye hazır biletler üreterek, SLA’ları izleyerek ve gerçekten önemli olan bağlama dayanan uyumluluk gereksinimlerini eşleştirerek APPSEC operasyonlarını hızlandırır. AppSec ekipleri, herhangi bir işlem yapılmadan önce ajan kararlarını doğrulamak için döngüde kalır.
Sonuç olarak, APPSEC ekipleri bulguları ve güvenlik dışı işleri kovalamak için daha az zaman harcayabilir ve güvenli mimariler oluşturmak için daha fazla zaman harcayabilir.