5分読む
出典:Casimiro / Alamy Stock Photo
オピニオン
今月 Anthropic が Project Glasswing を発表したとき、ほとんどのニュース報道は見出しの数字に焦点を当てていました。27年前の OpenBSD 脆弱性、16年前の FFmpeg 欠陥、人間の操舵なしで組み立てられた Linux カーネルエクスプロイトチェーン。AWS、Apple、Cisco、CrowdStrike、Google、Microsoft、Palo Alto Networks など、その背後にある連合は見た目のためだけにそこにいるのではなく、モデルの能力が実際にあり、調整された開示パイプラインが重要だからそこにいるのです。
特に注視する価値があるのは FFmpeg の結果です。少なくとも 500 万回の自動ファザーテストが脆弱なコード行に当たったのに、1 つも検出されませんでした。Mythos Preview はコードを読み、それが何をしているかを理解し、欠陥を見つけました。
そのギャップは、過去 20 年間の根本的なセキュリティの誤解を浮き彫りにしています。
業界は列挙者を構築しました。必要だったのは読者でした。
自動セキュリティツーリングはほぼ常にコアで同じ方法で機能しました。パターンを定義し、スキャンしてパターンを特定し、一致をフラグ付けします。SIEM はイベントログを取り込んでルールをマッチングします。静的分析ツールはコードを既知の署名に対してチェックします。脆弱性スキャナーはソフトウェアバージョンを CVE データベースと比較します。これらはほぼすべて列挙に基づいており、列挙は既に探す方法を知っていることのみを検出できます。
業界標準ツールで 500 万回のパス、検出ゼロ。これらのツールは数える方法を知っていました。しかし、読む方法は知りませんでした。
Mythos Preview が成功したのは、熟練した人間アナリストが行うのと同じ方法でコードにアプローチしたからです。意図の理解、コンポーネント間の関係、操作のシーケンスが何をするのか、表面的にどのように見えるかではなく。その深さのセキュリティは稀で高価な人間の専門知識の排他的な領域でした。それをスケールで複製するモデルは、本当に異なる種類のものであり、業界がそれに注意を払うのは正しいです。
コード脆弱性が注目されますし、Glasswing はそこで行っていることについてクレジットに値します。それでも、16年前の欠陥が 500 万回のスキャンに耐えることを可能にした同じ列挙上の失敗は、現在ほとんどの組織のセキュリティプログラムのすべての他のレイヤー内に存在しています。
私のキャリア全体で追跡したセキュリティインシデントと侵害の大多数は、ゼロデイエクスプロイトから発信されませんでした。それはゼロデイエクスプロイトが多くの大規模で影響が大きく、国家が後援し、組織的なサイバー犯罪攻撃では悪魔のような存在ではないという意味ではありません。しかし、ほとんどのインシデントはまだ、誰かが公開に設定してから忘れていたストレージまたはデータベース、アカウントがアクティブなままで 6 か月間侵害データベースに座っている認証情報のセット、2年前に会社を去った契約業者のファイアウォール例外、デフォルト認証情報を使用したままインターネットに直面している管理ポータル、およびその他の設定ミスの恐怖物語が原因で発生しています。攻撃者はアクセスが簡単な場所に行きます。設定が誤ったクラウド/SaaS アセットと漏洩した認証情報がそれを提供しています。これらのドアを見つけるのに最先端の AI モデルは必要ありません。ポートスキャン、認証詰め込みスクリプト、忍耐力があれば十分です。
しかし、市場に存在するソリューションでさえ、ほとんどのセキュリティチームにとっての大きな問題は、文脈を欠くセキュリティデータの疲れと、誰もがアセットが存在することを覚えていなかったため単一のテストが実行されなかった設定ミスです。忘れられた統合、シャドー IT、SaaS、そして今ではシャドー AI とエージェントがいたるところにあります。チームはスプリント中にリソースをスピンアップして、二度と確認しません。クラウドインフラストラクチャと AI ツールは、誰ものセキュリティプラクティスがそれについていくよりも速く成長します。これらのギャップを悪用するのに新しい AI は必要ありません。必要なのは機会であり、攻撃者はまさにそれを活用するのです。
構成管理ツールは既知の良い状態からの偏差をフラグ付けします。ID ガバナンスプラットフォームは静的ポリシーに対する定期的なレビューを実行します。CSPM(クラウドセキュリティ姿勢管理)ソリューションは、クラウドリソースを事前定義されたルールセットに対してチェックします。主に列挙に基づいており、ルールライターが規則を書いたときに予想したもので制限されています。
より深い皮肉は Glasswing 自体の公開結果に現れます。Anthropic のチームが取り組んだシナリオの 1 つは、モデルがサンドボックス環境を逃げることを含みました。エスケープはメール配信を処理するために開いたままにされた送信ネットワーク接続を持つサービスに依存していており、誰も確認したり制限したりしていませんでした。コードレベルの脆弱性がパスを有効にしました。構成上の誤見はドアをロック解除したままにしました。コードベース内のすべてのエクスプロイトチェーンを閉じることができますが、2019年に誰かが承認して二度と再訪問しなかったネットワークルールまたは許可に失う可能性があります。
コードセキュリティは最初のレイヤーです。実際に全環境、すべてのサービス、すべての ID、すべての統合全体で何が起こっているかは、ほとんどのチームが明確に見ることができない大きな図です。
姿勢レイヤーの理解
ほとんどのセキュリティチームにとって、姿勢の問題は知識の問題ではありません。知識は存在します。ツールは存在します。ギャップは、攻撃者がそれに作用する前に、12 のシステムに広がる断片化された文脈を欠くデータから一貫した図を組み立てる能力です。
Mythos Preview がコード層で表すシフト、列挙するのではなく理解する知識は、セキュリティスタックの残りが必要とする同じシフトです。環境を見て、そこに何があるかを理解し、それを継続的に推論し、攻撃者がそれをまず見つける前に重要なものを表面化できるシステム。より良いルールを持つより多くのスキャナーではなく、セキュリティデータの操作方法としての本当に異なる方法。
ID とアクセス層で、構成層で、姿勢層で、その作業はゼロデイハンティングよりもはるかにプレスが少ないです。ほとんどのチームにとって、それが本当の露出が毎日存在する場所です。
次は何ですか?明白です。Glasswing の協調的な開示がロールアウトされるにつれて、今後数週間でセキュリティ勧告とパッチの大きな波を期待してください。インフラストラクチャチームは激しいサイクルに備えてください。勧告が到着する前に、今あなたのアセットインベントリとソフトウェア部品表を検証することは、時間がよく費やされています。
Mythos Preview は、アプリケーションセキュリティのフロアを本当に動かしており、その周りのイニシアチブは真摯です。それが証明する原則、理解が列挙を打つということは、コードベースをはるかに超えて適用されます。
その教訓を全体的なスタック全体で真摯に受け止める組織は、先に出ることになります。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/glasswing-secured-code-stack-on-you
