Autonomní pentesty – soumrak lidských testerů?
Před dvěma roky to vypadalo v oblasti umělé inteligence na delší zimu, ale místo toho příšlo jaro. ChatGPT oslovilo mnoho laiků, produkt DALL-E dokáže generovat fotorealistické obrázky a dostupné jsou i technologie, kterým několik minut hlasu stačí k tomu, aby dokázaly hlas libovolně kopírovat.
V oblasti bezpečnosti se relativně bez povšimnutí objevily nástroje, které využívají umělou inteligenci k tomu, aby simulovaly penetračního testera. Tyto nástroje sledují dva cíle – stát se účinnou obranou proti útočníkům a ransomware a řešit nedostatek kvalifikovaných penetračních testerů.
Jak to celé pracuje? Nástroje využívají volně dostupné nástroje, jako např. nmap, crackmapexec, responder, nikto, nuclei, atd a spojuje je dohromady. Výstupy jsou zasílány do mozku, kde se vytváří knowledge mapa a AI vyhodnocuje, jak pokračovat dále. Mimo to umí autonomní tester provádět OSINT průzkum, disponuje velkou databází uniklých hesel z DarkWebu a silným hesla lámajícím clusterem.
Nástroje pravidelně, stejně jako antimalware systémy, dostávají aktualizace. Ale místo signatur dostávají exploity. Díky relativně malému odstupu dostupnosti exploitu v produktu od vydání záplaty se přivírají dveře tvůrcům malware a útočníkům – dozvíte se o problému velice rychle a i po opatchování můžete znovu pro jistotu spustit test, abyste měli jistotu, že máte opraveno.
Další změnou, kterou tyto nástroje přináší, je radikální změna frekvence pentestů. Asi žádná společnost není schopna zaplatit kontinuální penetrační testy, navíc by si to vyžádalo velké personální kapacity. Autonomnímu testerovi je to jedno, nejí, nespí, nevynechá jedinou IP adresu, testuje… Aktuálně ale neexistují nezávislé certifikace, nebo benchmarky podobných nástrojů.
Co mají uživatelé rádi? Na rozdíl od vulnerability skenerů uživatel vidí to, co lze skutečně zneužít a nástroj ukáže důkaz ve formě screenshotu, nebo výpisu shellu. Výsledné reporty jsou normované, podrobné a obsahují detailní návod, jak daný problém napravit, často i v několika variantách.
V závěru se pokusím odpovědět na následující otázky: Jaká je realita v ČR? Kolik podobné nástroje stojí a jaké jsou cenové modely? Mají se pentesteři začít bát o svou práci? Jaké jsou nejčastější obavy odborníků? Jak to vidí Gartner?
Marek Sušický
V IT se pohybuji přes 14 let, začínal jsem jako databázový vývojář, později se začal zajímat o problematiku fraudů. Podílel jsem se na vývoji a rozvoji vizualizačního nástroje ClueMaker, který je dnes používán velkými bankami k vyšetřování podvodů. V letech 2016 - 2022 jsem na ČVUT FEL vyučoval předmět Bigdatové technologie a podílel se na implementaci velkých bigdatových systémů v několika evropských korporacích. Na ČVUT FIT jsem založil laboratoř otevřených dat, která během pandemie poskytovala přehledná data o možnostech očkování a s tímto projektem získal 4. místo v kříšťálové lupě 2021. V roce 2023 jsem spoluzaložil společnost Sec4good, která se zaměřuje na poskytování služeb v oblasti kybernetické bezpečnosti.