Aikido
Comece Gratuitamente
Não é necessário cc
RelatóriosProteger
Por que razão o acesso ao código gera um maior retorno sobre o investimento nos pentest de IA

Por que razão o acesso ao código gera um maior retorno sobre o investimento nos pentest de IA

Em mais de 1 000 testes de penetração baseados em IA, os projetos de análise de código aberto (whitebox) detetaram 7 vezes mais vulnerabilidades de gravidade elevada e crítica, com metade do custo por agente por cada vulnerabilidade detetada. Os argumentos a favor da concessão de acesso ao código já não são teóricos. São mensuráveis.

  • Relação custo-benefício. Os testes de segurança do tipo «whitebox» exigiram 15 execuções de agente por descoberta, contra 31 no caso do «greybox»: uma diferença de custo de 2 para 1 que se acumula ao longo de todo o programa de segurança.

  • Profundidade da análise. Os testes de caixa aberta revelaram 7 vezes mais vulnerabilidades graves e críticas, incluindo controle de acesso quebrado, falhas na lógica de autenticação e problemas de SSRF que não são detetáveis sem o código-fonte.

  • A assimetria no acesso. Para os agentes de IA, a análise de uma base de código completa demora apenas alguns segundos. A sobrecarga que tornava a análise de código aberto (whitebox) uma tarefa exclusiva do ser humano já não se aplica, tornando o acesso ao código o contributo com maior retorno sobre o investimento (ROI) num teste de penetração com IA.

Resumo

Os testes de greybox não reduzem o risco. Reduzem a perceção do risco.

Sem o código-fonte, os agentes de IA ficam limitados à superfície de ataque externa. Não conseguem analisar a lógica interna de autorização, os fluxos de autenticação em várias etapas ou as questões de integridade dos dados que nunca aparecem numa resposta HTTP.

Este relatório baseia-se em dados de mais de 1 000 interações com tecnologia de IA na Aikido . Abrange:

  • Comparação lado a lado entre métricas de «whitebox» e «greybox» em termos de total de resultados, gravidade e custo
  • As três classes de vulnerabilidades em que a diferença é maior: controle de acesso quebrado cobertura 5 vezes mais abrangente), falhas na lógica de autenticação (cobertura 3 vezes mais abrangente) e falhas de SSRF e de integridade dos dados (apenas em whitebox)
  • Como os testes de caixa aberta permitem remediação automatizada, desde a deteção até ao pedido de integração, reduzindo um ciclo de correção de várias semanas a apenas algumas horas

O que você aprenderá

Quando optar por defeito pelo teste de caixa branca, quando o teste de caixa cinzenta é a escolha certa e como tomar essa decisão com base nos prazos de acesso e na importância da aplicação, e não por hábito.

Escrito por:
Shaun Brown

Shaun é o Diretor Técnico de Marketing de Produto Aikido , transformando produtos de segurança complexos em narrativas que realmente interessam ao mercado. A sua experiência abrange os domínios dos testes de software e da cibersegurança, assente numa formação científica e numa carreira na vanguarda da investigação em ciências da Terra.

Principais Descobertas

  • Relação custo-benefício. Os testes de segurança do tipo «whitebox» exigiram 15 execuções de agente por descoberta, contra 31 no caso do «greybox»: uma diferença de custo de 2 para 1 que se acumula ao longo de todo o programa de segurança.

  • Profundidade da análise. Os testes de caixa aberta revelaram 7 vezes mais vulnerabilidades graves e críticas, incluindo controle de acesso quebrado, falhas na lógica de autenticação e problemas de SSRF que não são detetáveis sem o código-fonte.

  • A assimetria no acesso. Para os agentes de IA, a análise de uma base de código completa demora apenas alguns segundos. A sobrecarga que tornava a análise de código aberto (whitebox) uma tarefa exclusiva do ser humano já não se aplica, tornando o acesso ao código o contributo com maior retorno sobre o investimento (ROI) num teste de penetração com IA.

Resumo

Os testes de greybox não reduzem o risco. Reduzem a perceção do risco.

Sem o código-fonte, os agentes de IA ficam limitados à superfície de ataque externa. Não conseguem analisar a lógica interna de autorização, os fluxos de autenticação em várias etapas ou as questões de integridade dos dados que nunca aparecem numa resposta HTTP.

Este relatório baseia-se em dados de mais de 1 000 interações com tecnologia de IA na Aikido . Abrange:

  • Comparação lado a lado entre métricas de «whitebox» e «greybox» em termos de total de resultados, gravidade e custo
  • As três classes de vulnerabilidades em que a diferença é maior: controle de acesso quebrado cobertura 5 vezes mais abrangente), falhas na lógica de autenticação (cobertura 3 vezes mais abrangente) e falhas de SSRF e de integridade dos dados (apenas em whitebox)
  • Como os testes de caixa aberta permitem remediação automatizada, desde a deteção até ao pedido de integração, reduzindo um ciclo de correção de várias semanas a apenas algumas horas

O que você aprenderá

Quando optar por defeito pelo teste de caixa branca, quando o teste de caixa cinzenta é a escolha certa e como tomar essa decisão com base nos prazos de acesso e na importância da aplicação, e não por hábito.

Escrito por:
Shaun Brown

Shaun é o Diretor Técnico de Marketing de Produto Aikido , transformando produtos de segurança complexos em narrativas que realmente interessam ao mercado. A sua experiência abrange os domínios dos testes de software e da cibersegurança, assente numa formação científica e numa carreira na vanguarda da investigação em ciências da Terra.