Black Hat USA 2024 sırasında ForAllSecure ile görüşmek beni heyecanlandırdı. ForAllSecure
siber güvenlik sektöründe araştırma ve inovasyona adanmış hacker’lar, geliştiriciler ve güvenlik uzmanlarından oluşan bir organizasyondur. ForAllSecure ayrıca 2012 yılında Carnegie Mellon Üniversitesi’nden bir araştırmacı ekibi tarafından kurulan bir siber güvenlik şirketidir. Şirketin misyonu, yazılım güvenlik açıklarını bulma ve düzeltme sürecini otomatikleştirerek kuruluşların siber güvenliğe yaklaşım biçiminde devrim yaratmaktır. ForAllSecure tarafından geliştirilen Mayhem, kodunuzdaki ve API’lerinizdeki erişilebilir, istismar edilebilir güvenlik açıklarını belirleyen yapay zeka destekli bir uygulama güvenlik platformudur.
PANCCD™ siber güvenlik modelimde, kod verilerden hemen sonra gelir; en değerli varlıklarımız ve uygulamalarımız çalışanlarımıza en yakın olanlardır ve en yüksek riske sahiptirler:
Ancak uygulama güvenliği ve güvenli kod çok uzun süredir göz ardı edildi. PANCCD Nedir? Bu kısaltma, Siber Güvenliği her düzeyde anlamak için bir model temsil eder:
P – İnsanlar
A – Uygulamalar
N – Ağ Oluşturma
C – Bilgisayar Aygıtları
C – Kod
D – Veri
Bu alanların her biri, Siber Güvenlik çabalarınızın gücünü ve dayanıklılığını artırmak için potansiyel güvenlik risklerini ve fırsatlarını temsil eder. Bir saldırı sisteminizi veya verilerinizi tehdit ettiğinde veya başarılı bir ihlal gerçekleştiğinde, genellikle bu unsurlardan biriyle ilişkilendirilir.
Uygulama güvenliği gürültülü ve yanlıştır. Mevcut geliştirici araçları tarafından bildirilen güvenlik risklerinin yalnızca %55’i gerçektir. Bu nedenle, şaşırtıcı değil Geliştirme ekiplerinin üçte ikisi gerçek sorunları çözmekten çok uygulama güvenliği sonuçlarını sınıflandırmaya zaman harcıyor. Mayhem gürültüyü ortadan kaldırır, böylece önemli olanı düzeltebilirsiniz.
Mayhem ile her sonuç gerçektir. Statik taramalara veya düzenlenmiş dinamik testlere dayanan uygulama güvenliğine yönelik geleneksel yaklaşımların aksine, Mayhem uygulamanız veya API’nizle başlar ve ulaşılabilir ve istismar edilebilir güvenlik açıklarını belirlemek için çalışma zamanı zekasını kullanır.
Öncelikle, Mayhem’in Dynamic SBOM’u uygulamanız çalışırken çağrılan her bileşenin bir profilini oluşturur. Bu, yazılım tedarik zinciri riskinin net bir resmini sunar; kodunuz tarafından gerçekten kullanılan üçüncü taraf bağımlılıklarını, açık kaynak kütüphanelerini ve daha fazlasını gösterir. Gözlemlenen CVE’ler vurgulanır ve geliştirme ekiplerinin düzeltmesi için öncelik sırasına koyulur, böylece sınıflandırmayı atlayıp doğrudan düzeltmeye geçebilirsiniz.
Mayhem’in Davranışsal Testi, uygulamalarınızdaki ve API’lerinizdeki istismar edilebilir güvenlik açıklarını belirler. Birden fazla analiz tekniğini birleştirir – sembolik yürütme, bulanık test, ikili analiz ve daha fazlası – bunları uygulamanız veya API’niz için özel test takımları oluşturan bir AI motoruyla eşleştirir. Analiz tekniklerini birleştirerek ve aralarında veri paylaşarak Mayhem, uygulamanızın kapsamını en üst düzeye çıkarabilir. Mayhem testlerinin tek bir amacı vardır – bilinen veya bilinmeyen istismar edilebilir güvenlik açıklarını bulmak.
Mayhem platformu, uygulama riskine ilişkin sürekli güncellenen bir tablo sunarken, geleneksel uygulama güvenliğinin yarattığı karmaşayı ortadan kaldırır ve geliştiricilerinizin sınıflandırma ve yeniden üretimle harcadıkları zamandan tasarruf etmelerini sağlar.
“DevSecOps’tan gelen toz bulutu yatıştıktan sonra, yaptığımız tek şeyin geliştirme iş akışına bir sürü gürültü kaydırmak olduğu açıktı. Mayhem bu gürültüyü kesmek için inşa edildi.”
“Mayhem’i geliştirme sürecimize entegre etmek çok kolaydı, yapılandırması ve dağıtımı sadece birkaç dakika sürdü… Mayhem, diğer çözümlerle çok daha fazla çaba gerektirecek otomatik testleri kolayca genişletmemize olanak tanıdı.”
Alessandro Ghedini
Sistem Mühendisi, Cloudflare
Mayhem gürültüyü keser ve yalnızca eyleme geçirilebilir sonuçlar sunar. Mayhem, ulaşılabilir, istismar edilebilir güvenlik açıklarına odaklanarak ekibinizin gerçekten önemli olan şeye, yani yanlış pozitiflerle boğulmadan uygulamalarınızı güvence altına almaya odaklanmasını sağlar. https://mayhem.security/demo adresini ziyaret ederek bir demo edinin ve onları Twitter’da (X) bulun: @MayhemSec #ApplicationSecurity #APISecurity #DevSecOps
Yazar Hakkında
Gary Miliefsky, Cyber Defense Magazine’in yayıncısı ve tanınmış bir siber güvenlik uzmanı, girişimci ve ana konuşmacıdır. Cyber Defense Media Group’un kurucusu ve CEO’su olarak siber güvenlik alanını önemli ölçüde etkilemiştir. Onlarca yıllık deneyimiyle Gary, ABD İç Güvenlik Bakanlığı’nın kurucu üyesi, Ulusal Bilgi Güvenliği Grubu üyesi ve hükümet ve özel sektör kuruluşlarına aktif danışmandır. Görüşleri Forbes, CNBC ve The Wall Street Journal’da ve ayrıca CNN, Fox News, ABC, NBC ve uluslararası medya kuruluşlarında yer almış ve onu gelişmiş siber tehditler ve yenilikçi savunma stratejileri konusunda güvenilir bir otorite haline getirmiştir. Gary’nin siber güvenliğe olan bağlılığı, halkı eğitmeye, siber güvenlikte genç kadınlar için bir burs programı işletmeye ve gelişen siber risklere karşı koruma sağlamak için son teknolojiye yatırım yapmaya ve geliştirmeye kadar uzanmaktadır.