Агенты по написанию кода на базе ИИ делают создание программного обеспечения проще, чем когда-либо. Обеспечение безопасности этого ПО перед развертыванием — это другой вопрос, и AWS считает, что ИИ должен помочь и здесь.
По мере того как предприятия внедряют агентские рабочие процессы разработки, объем собственного кода, создаваемого и изменяемого, стремительно растет. Однако процесс проверки уязвимостей, определения их эксплуатируемости и устранения часто по-прежнему зависит от того, как разработчики и команды безопасности вручную обрабатывают обнаруженные проблемы.
AWS стремится устранить этот дисбаланс с помощью Continuum — нового сервиса, предназначенного для непрерывного обнаружения, расследования и устранения уязвимостей в корпоративных средах, независимо от того, является ли код собственным или сторонним.
Вместо простого создания оповещений сервис призван помочь предприятиям продвигать обнаруженные проблемы по всему жизненному циклу устранения, написал вице-президент AWS по безопасности и наблюдаемости Чет Капур в посте в блоге.
Для собственных приложений Continuum может анализировать код, проверять, являются ли уязвимости эксплуатируемыми, генерировать рекомендации по устранению и предлагать исправления, которые можно просмотреть в рамках существующих рабочих процессов разработки ПО, помогая разработчикам устранять проблемы безопасности без необходимости ручного расследования каждого обнаружения командами безопасности, сказал Капур.
Как только пользователи решат, что Continuum достаточно изучил их среду и понял их ограничения (guardrails), они смогут перевести его в «режим принудительного исполнения» (enforce mode), чтобы автономно исправлять любые пробелы в коде, добавил Капур.
Continuum заимствует некоторые свои возможности, функции тестирования на проникновение и сканирования кода, у существующего сервиса Security Agent.
Другие возможности являются совершенно новыми, включая моделирование угроз (threat modeling), которое предназначено для автоматической генерации моделей угроз на основе исходного кода или проектной документации и вывода их в формате STRIDE.
Сохранение темпа с разработкой ПО на базе ИИ
Аналитики видят, что Continuum помогает корпоративным командам разработчиков выпускать более безопасный код, сохраняя при этом темп с инструментами кодирования на базе ИИ.
«Более сложная задача теперь заключается не просто в поиске проблем, а в определении того, какие из них реальны, какие имеют значение в их среде и какие необходимо исправить в первую очередь», — сказал Акшат Тьяги, руководитель практики в HFS Research. «Традиционные рабочие процессы, построенные вокруг панелей мониторинга и ручной сортировки, с трудом справляются с таким объемом. Панель мониторинга может показать бэклог, но она не подтверждает обнаружение, не оценивает влияние на бизнес и не помогает его устранить».
Ценность Continuum, по словам Тьяги, «заключается не просто в большем количестве обнаружений, а в использовании ИИ для приоритизации рискованных находок, предложения мер по их смягчению и поддержки более быстрых действий, при этом сохраняя контроль над высокорискованными решениями за людьми».
Более быстрые действия становятся все более важными, поскольку злоумышленники получают доступ ко многим тем же возможностям ИИ, которые предприятия используют для ускорения разработки ПО и тестирования безопасности, по словам Амита Чандака, директора по аналитике в ИТ-консалтинговой фирме Kanerika. «Разрыв между раскрытием уязвимости и рабочим эксплойтом стремительно сокращается с месяцев до часов», — отметил он.
Хотя Continuum может сократить рутинную работу для разработчиков и SRE, он также может создать новые обязанности для CISO в отношении управления, надзора, тестирования и поддержания ограничений (guardrails) для автоматизированных действий.
«Continuum меняет роль CISO с управления обнаруженными проблемами на управление тем, как эти проблемы обрабатываются. Фокус смещается на установку правил: что может быть автоматизировано, что требует одобрения человека и какой уровень риска приемлем в продакшене», — сказал Тьяги. «Кадровый состав тоже изменится. Ручной сортировки может стать меньше, но возрастет потребность в людях, которые могут проверять исправления, сгенерированные ИИ, устанавливать ограничения и знать, когда системе нельзя доверять».
Тем не менее, Чандак не ожидает немедленного сокращения штата в результате появления этого предложения, особенно учитывая, что Continuum пока доступен только в рамках закрытого предварительного просмотра.
Continuum может изменить то, как CISO измеряют работу, считает Тьяги: «Количество тикетов имеет меньшее значение. Лучшими показателями станут то, насколько быстро проверяются и устраняются реальные риски, сколько ложных срабатываний устраняется и снижает ли автоматизация риски, не вызывая новых проблем».
Эти же метрики могут стать эталоном для CISO при определении того, какую степень автономности предоставлять таким инструментам, как Continuum, отметил Чандак. Практики управления данными и корпоративного управления в большинстве предприятий еще не готовы к полностью автономному устранению уязвимостей, сказал Чандак, добавив, что «поэтапная модель доверия AWS, в рамках которой предприятия могут выбирать степень автономности — от человека в цикле до полностью автоматического устранения — является признанием этого факта».
За пределами собственного кода
Continuum также может помочь CISO с анализом уязвимостей стороннего кода, где предприятия часто имеют меньше видимости и контроля.
«Большинство оповещений об уязвимостях сторонних компонентов — это шум. Инструмент может пометить уязвимую библиотеку, но реальный вопрос в том, используется ли этот уязвимый код на самом деле в продакшене. Если Continuum сможет ответить на этот вопрос, это поможет командам сосредоточиться на тех немногих проблемах, которые имеют значение», — сказал Тьяги. «Это особенно полезно для рисков, связанных с открытым исходным кодом и цепочкой поставок ПО, где предприятия зависят от пакетов и скрытых транзитивных зависимостей, которые они могут не отслеживать полностью. Это также помогает, когда патч еще недоступен».
Однако он предупредил, что Continuum может не предложить прямого исправления для стороннего кода: «Обычно вы не можете сами пропатчить сторонний код, поскольку вы им не владеете, поэтому устранение там означает закрепление версии или применение компенсирующих мер».
Эта статья впервые появилась на InfoWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anirban Ghoshal
