RSA KONFERANSI 2023 – San Francisco – Uygulama güvenliği şirketi Qwiet AI, güvenlik ekiplerinin uygulama güvenliği üzerinde en fazla etkiye sahip olacak düzeltmeleri düzeltmeye odaklanmasına yardımcı olmak için gerçek zamanlı kod güvenliği analiz aracı PreZero için yeni bir tehdit istihbaratı akışını duyurdu.
Blacklight adı verilen veri akışı, vahşi ortamda dağıtılan açıklardan yararlanma hakkındaki bilgileri analiz eder. Geliştiriciler, hangi güvenlik açıklarının hemen giderileceğini ve hangilerinin bekleyebileceğini görmek için verileri kullanabilir. Qwiet AI CEO’su Stuart McClure, fiziksel bir siyah ışığın kokunun nereden geldiğini ortaya çıkarması gibi, Blacklight da “görsel olarak göremediğiniz şeyleri ortaya çıkarır” diyor.
Bildirilen çok sayıda güvenlik açığı göz önüne alındığında, yama uygulama kapsamının daraltılması hayati önem taşır. 2022’de 3.239 yüksek önem dereceli güvenlik açığı bulundu. NIST’in Ulusal Güvenlik Açığı Veritabanı, güvenlik ekiplerini yalnızca en ciddi güvenlik açıklarını düzeltmek için her takvim günü günde yaklaşık 10 kez düzeltin. Ancak geçmiş araştırmalar, tüm güvenlik açıklarının hemen düzeltilmesi gerekmediğini göstermiştir. Sysdig’e göre güvenlik açıklarının yalnızca %15’i belleğe yükleniyor, bu da %85’inin bir saldırgan tarafından erişilemeyeceğini gösteriyor. Ve bu erişilebilir güvenlik açıklarından daha da azı pratikte istismar edilebilir. 2022’de, o zamanlar ShiftLeft olarak adlandırılan Qwiet AI, açık kaynak güvenlik açıklarının yalnızca %3’ünün saldırıya açık olduğunu duyurdu.
İşin püf noktası, elbette, bu %3’ün ne olduğunu belirlemekte yatıyor. PreZero, güvenlik açıklarını acil eylem gerektirenlerin daha kısa bir listesine indirmek için bir dizi soru sorar: Uygulama, CVE’yi içeren paketi yüklüyor mu? Bu paket uygulama tarafından kullanılıyor mu? Saldırgan bu pakete ulaşabilir mi? Ve geliştirici güvenlik açığını nasıl azaltabilir?
Şirkete göre, PreZero kullanıcıları arasında yapılan bir anket, yeni tehdit akışının bulgu başına ortalama maliyeti yaklaşık %25 oranında azalttığını ortaya koydu.
Yapay Dar Zekayı Çalıştırmak
McClure’a göre PreZero, şimdiye kadar JavaScript’in 58 milyar satırı olan JavaScript’i analiz eden derin bir kod özelliği grafiklerinden (CPG’ler) sinir ağı oluşturuyor. CPG, üç tür veri grafiğinden oluşur: kodu sözdizimine göre sınıflandıran soyut sözdizimi ağaçları; verilerin nasıl değiştiğini görmek için girdilerden çıktılara kadar değişkenleri eşleyen veri akış grafikleri; ve verileri kimin kontrol ettiğini ve hangi değişikliklerin yapıldığını izleyen kontrol akış grafikleri.
Yapay dar zeka sistemi, bu CPG’leri, iyi kodun hassas koda karşı nasıl göründüğüne dair bir model oluşturmak için kullanır ve ardından araca girilen yeni koda uygulayabilir. “Bu insanlar tarafından yazılmış politikalara dayanan kod özelliği grafiği olan tipik yoldan gideceğiz, ancak aynı kod örneğini yapay zeka modelimiz aracılığıyla da göndereceğiz ve ek bir kod olup olmadığını belirleyebileceğiz. Orada insanların yakalayamadığı veya imzaların yakalayamadığı güvenlik açığı,” diyor McClure. “Ve bizi gerçekten farklı kılan da bu.”
Qwiet AI, Blacklight’ın Log4Shell güvenlik açığından etkilenen birçok sürümünden biri olan Log4j 2.9.1’de oluşturduğu bir Blacklight raporunun ekran görüntüsünü yayının sağladığı bilgilerin türünü göstermek için Dark Reading ile paylaştı. Potansiyel olarak en yararlı bölüm, “Saldırgan kontrollü JNDI aramalarından kaçınmak isteyen ancak 2.16.0’a yükseltme yapamayan kullanıcılar, bu tür aramaların saldırgan tarafından sağlanan verilere çözümlenmediğinden ve JndiLookup sınıfının yüklendi.”
Qwiet AI teknik ve ürün pazarlama direktörü Bruce Snell, “Zamanımı siperlerde geçirdim” diyor. “Gerçek bir istismarı veya bir tehdit aktörünü bir güvenlik açığına bağlamanın daha içgüdüsel bir yanı var.”
PreZero’daki bir başka ilginç özellik de, konuşlandırıldığı takdirde güvenlik açıklarına kapı açacak bayrak kodu olan güvenlik bilgileridir. Bu, daha güvenli kod yazmaya çalışan geliştiriciler için açıkça yararlıdır, ancak McClure, güvenlik tarafının da PreZero’dan yararlandığını söylüyor. “AppSec, siber güvenlik ve CISO’lar [PreZero] işin mevcut risk durumunu anlamak için, ancak daha sonra geliştiriciler bunu düzeltmeleri gereken kod satırını gerçekten elde etmek için kullanıyor” diyor.
Yapay Zeka İyi Bir İştir
Rekabet çoktur. Örneğin, Snyk, GitHub’da olduğu gibi güvenlik açığı taramasında AI kullanır – ancak Spider Yapay Zeka Güvenlik Açığı Tarayıcısı (SAIVS) makine öğrenimi kategorisine girer.
Snell, “Şimdi hatırlayabildiğim kadarıyla bu beceri eksikliğini yaşıyoruz ve bence AppSec tarafında InfoSec tarafında olduğundan daha kötü,” diyor. “Yani, samanlıkta iğne bulmaya çalışmak yerine, sadece bir yığın iğne üretebilen ve ‘İşte halletmen gereken şeyler’ diyebilen bu yapay zekaya sahip olmak çok büyük olacak. endüstrinin ayak uydurabileceğini düşündüğüm tek yol bu.”
İmzalardan uzaklaşmak, McClure’un 2018’de BlackBerry’ye 1,4 milyar dolara sattığı Cylance’ı kurduğundan beri üzerinde çalıştığı bir konu ve en az 2016’dan beri yapay zekanın geleceğine dair vizyonunu planlıyor. eylem felsefesi, McClure “Hacking Exposed – Sec’i DevOps’a Hacking” adlı teknik bir oturumun ortak sunumunu yapıyor Qwiet AI CTO’su Chetan Conikee ile 26 Nisan Çarşamba, 1:15.