AutoTriage e o Modelo Queijo Suíço de Redução de Ruído de Segurança

Ou, por que os seus scanners tradicionais provavelmente reportam dados em excesso

O modelo do queijo suíço é uma forma clássica de raciocinar sobre o risco. Em setores críticos para a segurança, ele postula que os incidentes acontecem quando «buracos» em várias defesas imperfeitas se alinham. Para mitigar esses riscos, adiciona-se camadas de defesa para reduzir ou remover os buracos e impedir que resultados ruins escapem.

Crédito: Ben Aveling

Na segurança de aplicações, os incidentes são causados não apenas por explorações de código e configuração, mas também por uma erosão do foco da engenharia causada por falsos positivos e correções lentas. gerenciamento de vulnerabilidades igualmente um problema de engenharia e de processo, e Aikido uma abordagem estratégica para reduzir o ruído e acelerar as correções que importam.

A importância da defesa em camadas

Podemos visualizar um AppSec moderno AppSec como incluindo um conjunto de «fatias» empilhadas, cada uma projetada para detectar diferentes tipos de problemas e reduzir a superfície de risco geral. Estas incluem:

• Verificação de código e acessibilidade
• Classificação de problemas para avaliar a explorabilidade, prioridade e impacto
• Probabilidade de exploração e seu contexto ambiental
• Controlos humanos no circuito (IDEs locais, sistemas CI, fluxos de aprovação de relações públicas)
• A correção real do código usando humanos e LLMs

Cada um dos itens acima pode representar tanto um ponto fraco explorável quanto um obstáculo à correção. Os fluxos de trabalho Aikidosão, portanto, voltados para a redução incessante do atrito, de modo que as vulnerabilidades reais sejam corrigidas onde são mais exploráveis.

Encolher buracos com acessibilidade

Um ponto fraco da análise tradicional de código é que o «sucesso» pode ser mal interpretado como encontrar o maior número possível de problemas. Isso inclui descobertas relatadas como vulnerabilidades, mesmo quando o caminho ou pacote de código vulnerável não pode ser alcançado a partir de entradas controladas pelo utilizador. O mecanismo de acessibilidade Aikidoadiciona análise de fluxo de programa para ignorar automaticamente esses casos antecipadamente. Isso por si só reduz significativamente o ruído.

Por exemplo, um SCA tradicional pode detectar uma versão desatualizada do pyyaml contendo uma vulnerabilidade crítica. No entanto, reachability analysis não há nenhum código que realmente utilize o pacote. Portanto, o problema pode ser ignorado automaticamente com segurança, apesar da sua gravidade documentada.

‍

AutoTriage como porta de raciocínio

Se a acessibilidade determinar que uma descoberta é nominalmente explorável, Aikido faz a seguinte pergunta:

1. Podemos excluir a possibilidade de exploração? Ou seja, existe uma validação, sanitização ou conversão eficaz que mitigue a exploração?
2. Se não podemos descartá-lo, como devemos priorizá-lo? Estimamos a probabilidade e a gravidade e, em seguida, classificamos de acordo com isso.

Já publicámos anteriormente como os modelos de raciocínio ajudam aqui. Em muitos casos, as «regras práticas» são suficientes (e mais baratas). Para casos mais complexos (por exemplo, travessias de caminhos), os modelos de raciocínio reduzem ainda mais os falsos positivos ao decompor o problema.

Por trás de tudo isso está uma consciência aguda do efeito Cry Wolf, em que alertas de baixo valor em excesso prejudicam a confiança e a resposta. Reduzir esse efeito é um dos principais objetivos do AutoTriage.

Probabilidade de exploração e contexto ambiental

A probabilidade de exploração no mundo real é importante. Aikido EPSS para ignorar ou rebaixar automaticamente questões de baixo risco e concentrar as equipas onde os ataques estão realmente a ocorrer. Como o EPSS é atualizado diariamente, essa camada mantém a pilha alinhada com a realidade atual das ameaças, em vez de pontuações CVSS históricas.

Além disso, atualizamos ou reduzimos a gravidade com base no contexto, como exposição à Internet, ambientes de desenvolvimento versus produção e controlos circundantes. É aqui que a recolha de contexto é fundamental. Se o contexto estiver errado, a decisão sobre a gravidade estará errada. É por isso que investimos no ajuste imediato dos nossos LLMs e na introdução do código e dos detalhes do ambiente corretos nos modelos que executam o AutoTriage.

A acessibilidade mostra que essa exploração é acessível no código. No entanto, a análise de IA determina que, nesse contexto, essa vulnerabilidade de falsificação de solicitação não tem efeito, pois o domínio do host é codificado e não pode ser alterado pelo invasor.

O ser humano no circuito onde é importante

A IA generativa tem um problema bem documentado de ciclo de feedback. Ainda é necessário que seres humanos verifiquem os resultados e, por fim, decidam se devem ser enviados. Aikido exibe Aikido as suas recomendações nos locais onde a sua equipa já trabalha:

• No seu IDE, para que possa fazer correções rápidas antes de enviar para um repositório partilhado e executar pipelines de CI
• No PR, os revisores veem o contexto da triagem e as sugestões do AutoFix assim que o código é alterado.
• Na CI, pode colocar a segurança no contexto das suas pipelines automatizadas existentes de compilação, teste e implementação.

O objetivo é reservar tempo, esforço e discernimento humanos para os locais onde eles são realmente necessários.

AutoFix para enviar correções imediatamente

Se uma descoberta for provavelmente explorável e de alto impacto, o melhor alerta é aquele que inclui uma correção documentada com o contexto já reunido pelo Aikido. Aikido AI AutoFix fornece uma pré-visualização da alteração necessária para corrigir, gera o pedido de pull para o seu repositório e fornece comentários detalhados sobre a alteração do código e quais vulnerabilidades foram resolvidas.

‍

O AutoFix está atualmente disponível para SAST, varredura IaC, SCA e container . O seu código nunca é armazenado de forma persistente por uma tecnologia de IA, nem pode ser usado para treinar modelos de IA (consulte o centro de confiança Aikidopara saber mais).

Colocando Aikido prática

O modelo original do queijo suíço ensina que os incidentes surgem de fraquezas alinhadas. Na segurança de aplicações, ruído e atrasos são duas dessas fraquezas. Se é novo no Aikido, inicialmente poderá questionar-se por que vê menos problemas de segurança do que esperava. Isso é proposital! Aikido trabalha Aikido e proativa para minimizar o trabalho administrativo que deve realizar para triar centenas de problemas, dos quais apenas alguns podem ter um impacto significativo.

Ao combinar acessibilidade, triagem baseada em raciocínio, validação humana quando necessário e correções com um clique, tornamos muito mais difícil que essas lacunas se alinhem e muito mais fácil para a sua equipa passar para o trabalho que realmente importa.

‍