AI fyller säkerhetsbranschen med sårbarhetsrapporter – men angriparna hänger med
AI översvämmer säkerhetsbranschen med fynd – angriparna håller jämna steg.
Spelplanen har förändrats – för alltid
När Apple 2016 lanserade sitt program för säkerhetsbelöningar var toppbelöningen 200 000 dollar. Förra året hade den klättrat till två miljoner. Imponerande siffror – men enligt Wired kan den utvecklingen snart framstå som blygsam. Anledningen är enkel och omvälvande på samma gång: AI har tagit plats vid bordet, och den sitter inte stilla.
Säkerhetsforskaren Joseph Thacker, som aktivt använder AI i sin buggjaktsprocess, berättar för Wired att han skickar in tre gånger fler sårbarhetsrapporter jämfört med samma period förra året. Hans uppskattning är att bolag som Google inom kort kan behöva betala ut två till tio gånger mer i säkerhetsbelöningar än tidigare. Det handlar inte om en gradvis förändring – det är ett språng.
Detta är goda nyheter för de som arbetar på rätt sida av barrikaden. Men det skapar också en smärtsam verklighet: de flesta organisationer är inte byggda för att hantera det inflöde av sårbarhetsrapporter som nu strömmar in. Teknikjättar med djupa fickor och stora säkerhetsteam kan absorbera trycket. Men medelstora och mindre aktörer? De riskerar att drunkna.
90-dagarsnormen – ett fossilt arv
Den etablerade branschstandarden att ge organisationer 90 dagar på sig att åtgärda en sårbarhet innan den offentliggörs byggdes för en annan tid – en tid då angripare var få och det tog veckor eller månader att ta fram verktyg för att utnyttja ett säkerhetshål. Säkerhetsforskaren Himanshu Anand konstaterar lakoniskt att den världen inte längre existerar.
När AI kan ta en nyfunnen sårbarhet och automatiskt generera ett utnyttjandeverktyg på minuter snarare än månader, är 90 dagar en evighet. Eller ännu värre – det är en inbjudan. Hela branschen måste nu ärligt fråga sig: vilka normer och tidsramar är skapade för gårdagens hotbild, och hur snabbt kan vi anpassa dem?
Megalodon: ett varningstecken i realtid
Om AI-verktygens påverkan på den defensiva sidan är imponerande, är det offensiva svaret minst lika talande. Den 18 maj genomfördes det som säkerhetsforskare vid SafeDep döpt till Megalodon-attacken – en försörjningskedjeattack som på under sex timmar infekterade 5 561 unika öppna källkodsförråd på GitHub.
Angriparna använde drygt 5 700 automatiserade kodinsändningar via bara två e-postadresser, rapporterar SecurityWeek. Den skadliga koden gömdes i GitHub Actions-arbetsflöden och syftade till att stjäla allt från molntjänstnycklar för AWS, Google Cloud och Azure, till SSH-nycklar, API-nycklar och åtkomsttokens för behållardriftsättningsplattformar.
Vad som gör attacken extra illavarslande är bakdörrarna. Angriparna installerade dolda infartsvägar i befintliga arbetsflöden – infartsvägar som kan aktiveras i efterhand via GitHubs eget gränssnitt. Det betyder att komprometterade förråd kan utnyttjas långt efter att den ursprungliga attacken är glömd. Attacken upptäcktes först när infekterade versioner av öppen källkodspaketet Tiledesk dök upp i paketregistret NPM.
Två sidor av samma mynt
Det är lätt att se dessa två händelser som separata nyheter. Men de är egentligen delar av samma berättelse: automatisering har demokratiserat både anfall och försvar, och takten har ökat dramatiskt på båda sidor.
Säkerhetsforskare hittar fler sårbarheter snabbare. Angripare genomför storskaliga operationer på timmar som tidigare hade krävt veckor. Organisationers förmåga att hantera, prioritera och åtgärda – den länken i kedjan – har ännu inte hängt med i samma takt.
Detta är inte ett skäl till pessimism. Det är ett skäl till handling. Företag som investerar i strukturerade processer för sårbarhetshantering, som bygger intern kapacitet för att ta emot och agera på säkerhetsrapporter, och som aktivt granskar sin exponering i öppen källkodsekosystem – de kommer att klara sig. De som hoppas att det räcker att göra som man alltid gjort, kommer att lämnas exponerade på en spelplan där reglerna skrivits om.
Kapprustningen är inte en framtida företeelse. Den är här, den accelererar, och den väntar inte på att organisationer ska bli redo.
Vår analys
Det vi ser just nu är ett klassiskt teknikskifte som förändrar maktbalansen i realtid – och precis som vid tidigare tekniksprång drabbas de som är sena att anpassa sig hårdast.
AI gör säkerhetsforskare dramatiskt mer produktiva, vilket är utmärkt. Men det skapar också ett systemtryck som de flesta organisationers processer inte är dimensionerade för. Megalodon-attacken illustrerar hur angripare redan opererar i en automatiserad verklighet – och att angripa öppen källkods-ekosystem är särskilt smart, eftersom skadan sprids organiskt via tillit och återanvändning.
Fram emot oss ser jag en bransch som tvingas professionalisera sig snabbt: fler strukturerade sårbarhetshanteringsprogram, kortare åtgärdsfönster och ett ökat krav på transparens kring öppen källkods-beroenden. De organisationer som proaktivt bygger den kapaciteten nu – inte som reaktion på en incident, utan som strategisk investering – kommer att ha ett avgörande försprång. Det är ett affärsimperativ, inte bara ett säkerhetsproblem.