Yapay zeka (YZ) saldırı güvenliğini dönüştürüyor, ancak en önemli standardı değiştirmedi: Bir bulgunun faydalı olabilmesi için kanıtlanması gerekiyor. YZ destekli araçlar kodu hızlıca okuyabilir, yükler oluşturabilir, saldırı yüzeylerini özetleyebilir ve tekrarlayan test iş akışlarını etkileyici bir hızla çalıştırabilir. Bu, güvenlik ekipleri için gerçek bir avantaj. Ancak aynı zamanda yeni bir baskı yaratıyor, çünkü sektör artık her zamankinden daha fazla güvenlik açığı benzeri çıktı üretebiliyor.
Sorun şu ki çıktı, kanıtla aynı şey değil. Oluşturulan bir rapor cilalı görünebilir, bir ciddiyet derecesi içerebilir ve hatta ilk bakışta makul görünen bir kanıtlama konsepti sunabilir. Bunların hiçbiri, hatanın dağıtılmış ortamda var olduğunu kanıtlamaz. Hiçbiri sömürülebilirliği, etkiyi veya riski kanıtlamaz. Saldırı testinde zor kısım, hiçbir zaman güvenlik açığı raporu gibi görünen bir şey yazmak olmadı. Zor kısım, gerçekte neyin doğru olduğunu göstermektir.
Bu ayrım, YZ güvenlik iş akışlarında daha yaygın hale geldikçe daha da önem kazanıyor. YZ keşfi hızlandırabilir, ancak doğrulama hâlâ bilgiye dayanır: sistemler, protokoller, uygulama davranışı, kimlik sınırları, bellek bozulması, iş mantığı ve makul bir teoriyi gerçek bir açıktan ayıran tüm uygulama detayları hakkında bilgi. Saldırı güvenliğinin geleceği, yalnızca en fazla sayıda bulgu üreten kişilere ait olmayacak. Önemli olanı kanıtlayabilen ekiplere ait olacak.
Sistem Güvenliği
Sektör, yüzeysel YZ çıktısının bedelini şimdiden görüyor. Uyarı işaretleri zaten görünür. Hata ödül programları ve bakımcılar, genellikle zayıf kanıtlarla, şablon dil kullanılarak ve az anlamlı doğrulamayla gönderilen düşük kaliteli YZ tarafından oluşturulmuş raporlarla uğraşıyor. Bugcrowd, YZ tarafından oluşturulan gönderimlerle ilgili politika değişikliklerinde bu durumu kamuoyuna açıkladı ve cilalı görünen ancak yararlı bir güvenlik sinyali yerine gereksiz triyaj yükü oluşturan bir rapor sınıfını tanımladı.
Bu sadece bir hata ödülü sorunu değil. YZ'nin yeterli insan yargısı olmadan güvenlik bulguları oluşturmak için kullanıldığı her yerde olacakların bir önizlemesi. Bir araç saniyeler içinde ikna edici bir rapor oluşturabiliyorsa, kuruluşlar daha fazla rapor, daha fazla uyarı ve daha fazla iddia alacaktır. Bu iddialar doğrulanmadıkça sonuç daha iyi güvenlik değil, daha büyük bir kuyruktur.
Uzmanların Görüşleri
Güvenlik ekipleri zaten tarayıcı çıktısı, bağımlılık uyarıları, bulut yapılandırma sorunları ve uyumluluk bulgularıyla aşırı yüklenmiş durumda. Bunun üzerine YZ tarafından oluşturulan spekülasyonları eklemek, aynı anda kalite çıtası yükseltilmediği sürece yardımcı olmaz. Bir bulgu, temel soruları net bir şekilde yanıtlamalıdır: ne oldu, nasıl yeniden üretildi, saldırgan neyi kontrol ediyor, hangi sınır aşıldı ve gösterilen etki nedir? Bunlar olmadan rapor ilginç olabilir, ancak mühendislik eylemine yönlendirilmeye hazır değildir.
'Güvenlik açığı var gibi görünüyor' ile 'güvenlik açığı var' aynı şey değildir. Saldırı testindeki en tehlikeli alışkanlıklardan biri, şüpheli bir kalıbı doğrulanmış bir güvenlik açığıyla karıştırmaktır. YZ bu alışkanlığı daha da kötüleştirebilir çünkü bir şeyin neden kötü olabileceğini açıklamakta iyidir. Bir model, veritabanı sorgusunun yanında kullanıcı girişi görüp SQL enjeksiyonu tanımlayabilir. Bir URL getirme işlemi görüp SSRF önerebilir. Bir kod yolunda tehlikeli bir API görüp uzaktan kod çalıştırma tanımlayabilir. Bazen model gerçek bir soruna işaret ediyordur. Diğer zamanlarda, sorunun önemli olup olmadığına karar veren koşulları gözden kaçırıyordur.
Detaylar ve Etkileri
Bir test uzmanı yine de erişilebilirliği kanıtlamak zorundadır. Saldırgan kontrollü girdi gerçekten tehlikeli işleme ulaşıyor mu? Kimlik doğrulama gerekiyor mu? Yetkilendirme başka bir yerde uygulanıyor mu? Güvenlik açığı olan özellik etkin mi? Üretim yapılandırması kod yolunu açığa çıkarıyor mu? Uygulama, yükü önemli hale gelmeden önce normalleştiriyor, kodluyor, temizliyor veya reddediyor mu? Sorun bir güven sınırını aşıyor mu yoksa yalnızca pratik bir güvenlik etkisi olmayan dahili bir yolu mu etkiliyor? Gerçek saldırı güvenliğinin başladığı yer burasıdır. Aynı zamanda sığ otomasyonun sıklıkla başarısız olduğu yerdir. YZ hızla hipotezler üretebilir, ancak hipotezler bulgu değildir. İyi bir test uzmanı, YZ çıktısını araştırılacak bir ipucu olarak ele alır, ileri gönderilecek bir sonuç olarak değil.
Kaynak: thehackernews.com