Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I årevis har sikkerhedsteams efterspurgt bedre indsigt i sårbarheder.
Bedre værktøjer. Bedre scanning. Færre blinde vinkler.
Det er vi ved at få.
Og det vil sandsynligvis gøre tingene værre, før det gør dem bedre.
AI gør sårbarhedsjagt billigere
Den nylige opmærksomhed omkring Anthropics Mythos er et godt eksempel.
Meget af diskussionen har fokuseret på AI-aspektet. Det er imidlertid ikke den mest interessante del.
Det, der betyder noget, er, at værktøjer som dette i væsentlig grad reducerer den indsats, der kræves for at finde sårbarheder i komplekse systemer. Endnu vigtigere ændrer de, hvem der kan udføre det arbejde - og hvor hurtigt.
Indtil for nylig krævede identificering af væsentlige sårbarheder i en stor kodebase eller et distribueret system en kombination af erfaring, tid og vedholdenhed.
Det skabte en naturlig flaskehals.
Forestil dig nu, at den flaskehals svækkes. Ikke forsvinder, men bliver langt mindre begrænsende. En enkelt operatør, understøttet af sådanne værktøjer, kan analysere hurtigere, udforske flere spor og teste flere hypoteser, end det tidligere kunne lade sig gøre.
Og det kræver ikke fuld autonomi for at have effekt. Det behøver blot at være 'godt nok' til at accelerere processen.
Nu bliver det ubehageligt
De nye muligheder vil uden tvivl blive brugt både af forsvarere og angribere – og en bølge af artikler af typen 'så-og-så er blevet kompromitteret' i publikationer verden over det kommende år er næsten givet.
På et teknisk niveau er dette en videreudvikling af statisk analyse. Men en væsentlig én af slagsen.
I stedet for udelukkende at basere sig på foruddefinerede regler kan disse systemer følge logik på tværs af kodebaser, ræsonnere om datastrømme og identificere svagheder, som ikke passer pænt ind i kendte mønstre.
De opfører sig mindre som scannere og mere som junior-sikkerhedsforskere, der kan arbejde kontinuerligt og i stor skala.
Den vigtige forskydning er økonomisk, ikke konceptuel.
Hidtil har opdagelse af sårbarheder været begrænset af tid og ekspertise. Man kunne altid finde flere problemer, hvis man kiggede nærmere, men på et tidspunkt holdt det op med at være indsatsen værd.
Den begrænsning er ved at svækkes. Den marginale omkostning ved at finde den næste sårbarhed falder på flere måder – selv om token-omkostningerne foreløbigt vil være en væsentlig begrænsning.
Den første effekt bliver mere pres, ikke mere ro
Når det sker, finder man ikke bare sårbarheder hurtigere. Man finder flere af dem. Overalt.
Hvis den dynamik udfolder sig som forventet, bliver næste fase næppe lineær.
Det bliver et sæt overlappende effekter, der forstærker hinanden på følgende måder:
1) Umiddelbar
Dele af økosystemet forbedres først. Organisationer med tidlig adgang til disse kapabiliteter kan styrke deres egne miljøer.
Det er positivt, men ujævnt. Grundniveauet stiger ikke ensartet.
2) Fremkomst
Evnen spreder sig. Den forbliver ikke koncentreret hos en enkelt leverandør. Varianter dukker op, konkurrenter følger trop, og lignende tilgange bliver mere bredt tilgængelige.
På det tidspunkt accelererer opdagelse af sårbarheder over hele linjen.
Sikkerhedsteams ser flere fund. Leverandører udgiver rettelser hyppigere. De samme muligheder er også tilgængelige for angribere, hvilket øger effektiviteten i at identificere udnyttelige svagheder.
I praksis betyder det, at angribere bruger mindre tid på at søge og mere tid på at vælge. I stedet for at arbejde hårdt for at finde en enkelt sårbarhed kan de evaluere mange og fokusere på dem, der er lettest at udnytte eller sværest at opdage.
Det er en subtil forskydning, men en vigtig en.
Denne fase vil næppe føles som fremskridt. Den vil føles som pres.
3) Intensivering
Flaskehalsen bliver svær at ignorere. De fleste organisationer er ikke begrænset af deres evne til at finde sårbarheder.
De er begrænset af deres evne til at rette dem. Efterhånden som opdagelsen accelererer, vokser arbejdsefterslæbet.
Prioritering bliver mere kompleks. Kløften mellem det, man ved, og det, der er løst, bliver større.
Det er også her, open source-økosystemet sandsynligvis vil divergere. Velvedligeholdte projekter forbedres hurtigt, fordi de har bidragydere og styring til at reagere. Den lange hale gør ikke.
Mindre aktive biblioteker akkumulerer kendte problemer uden kapacitet til at håndtere dem.
I betragtning af hvor stærkt moderne software bygger på transitive afhængigheder, bliver dette et systemisk problem snarere end et perifert.
4) Stabilisering
Over tid forbedres resultaterne. Ikke fordi værktøjerne ændrer sig, men fordi driftsmodellerne gør.
De organisationer, der kommer foran, er ikke dem med de bedste scannere.
Det er dem, der kan absorbere og handle på outputtet. Hurtigere triagering. Klart ejerskab. Stærkere afhængighedsstyring.
Tættere integration i udviklingsarbejdsgange. Sikkerhed bliver mindre et spørgsmål om synlighed og mere et spørgsmål om eksekvering.
Det er i den overgang, at tingene bliver ubehagelige.
Standardisering bliver vigtigere end endnu et værktøj
Der er en tendens til at antage, at bedre værktøjer direkte fører til bedre resultater.
I praksis er der en mellemperiode, hvor bedre værktøjer øger eksponeringen. Flere sårbarheder bliver kendt.
Flere bliver offentliggjort. Flere er udnyttelige. Ikke alle kan rettes med det samme.
For mange teams vil dette føles som at komme bagud, mens de gør mere af de 'rigtige' ting. Det er her, ingeniørdisciplin begynder at betyde mere end værktøjer.
Forestil dig to organisationer.
Den ene har dusinvis af små teams, der hver bruger lidt forskellige frameworks, afhængighedsversioner og build-konfigurationer.
Sårbarheder bliver opdaget, men hver enkelt kræver lokal undersøgelse, skræddersyede rettelser og individuel validering. Selv almindelige problemer skal løses gentagne gange på lidt forskellige måder.
Den anden har færre mønstre.
Standardiserede frameworks. Centraliseret afhængighedsstyring. Konsistente build-pipelines. Når en sårbarhed identificeres, kan den rettes én gang og udrulles på tværs af flere tjenester. Afhjælpning er ikke friktionsfri, men den er skalerbar.
Begge organisationer kan have den samme synlighed, men de har ikke den samme evne til at reagere.
Efterhånden som opdagelse af sårbarheder accelererer, bliver den forskel væsentlig.
Det afgørende bliver, hvem der kan handle på fundene
En yderligere dimension er, hvordan disse evner sandsynligvis vil blive brugt i praksis.
De fokuserer alene på opdagelse.
Men kombineret med adgang til kode-reserver, build-systemer eller runtime-miljøer kan de bevæge sig ud over at identificere enkeltstående problemer til at forstå, hvordan sårbarheder interagerer.
Selv uden fuld automatisering øger det markant effektiviteten af både defensive og offensive arbejdsgange. Hvor efterlader det os så?
Overskriften er ikke, at AI transformerer sikkerhed. Den er, at balancen mellem opdagelse og afhjælpning er ved at forskyde sig.
Vi går ind i en fase, hvor det bliver lettere, hurtigere og billigere at finde sårbarheder. At rette dem gør det ikke.
For engineering- og sikkerhedsledere er det den egentlige historie.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
