O bien, por qué sus escáneres tradicionales probablemente informan demasiado

El modelo del queso suizo es una forma clásica de analizar el riesgo. En industrias críticas para la seguridad, plantea que los incidentes ocurren cuando coinciden las deficiencias en múltiples sistemas de defensa imperfectos. Para mitigar estos riesgos, se añaden capas de defensa para reducir o eliminar las deficiencias y evitar que se produzcan consecuencias negativas.

Crédito: Ben Aveling

En seguridad de aplicaciones, los incidentes no solo se deben a vulnerabilidades de código y configuración, sino también a la pérdida de enfoque en ingeniería causada por falsos positivos y una remediación lenta. La gestión de vulnerabilidades es, a su vez, un problema de ingeniería y de procesos, y Aikido adopta un enfoque estratégico para reducir el ruido y acelerar las correcciones importantes.

La importancia de la defensa en capas

Podemos visualizar un flujo de trabajo moderno de seguridad de aplicaciones (AppSec) como un conjunto de “segmentos” apilados, cada uno diseñado para detectar diferentes tipos de problemas y reducir la superficie de riesgo general. Estos incluyen:

• escaneo de códigos y accesibilidad
• Priorización de problemas para evaluar la explotabilidad, la prioridad y el impacto.
• Aprovechar la probabilidad y su contexto ambiental
• Controles con intervención humana (IDE locales, sistemas de CI, flujos de aprobación de PR)
• La solución real al código utilizando humanos y LLM

Cada uno de los puntos anteriores puede representar tanto una debilidad explotable como un obstáculo para su corrección. Por lo tanto, los flujos de trabajo de Aikido se centran en reducir la fricción de forma continua para que las vulnerabilidades reales se corrijan donde son más explotables.

Reducir agujeros con accesibilidad

Una debilidad del escaneo de código tradicional radica en que el “éxito” puede malinterpretarse como la detección de la mayor cantidad de problemas posible. Esto incluye hallazgos reportados como vulnerabilidades incluso cuando la ruta de código o el paquete vulnerable no es accesible mediante entradas controladas por el usuario. El motor de accesibilidad de Aikido incorpora un análisis del flujo del programa para ignorar automáticamente estos casos desde el principio. Esto, por sí solo, reduce considerablemente el ruido.

Por ejemplo, un escáner SCA tradicional podría detectar una versión obsoleta que pyyamlcontenga una vulnerabilidad crítica. Sin embargo, el análisis de accesibilidad muestra que no existe ningún código que utilice realmente el paquete. Por lo tanto, el problema puede ignorarse automáticamente sin problemas, a pesar de su gravedad documentada.

‍

AutoTriage como puerta de razonamiento

Si la accesibilidad determina que un hallazgo es nominalmente explotable, Aikido AutoTriage pregunta lo siguiente:

1. ¿Podemos descartar la posibilidad de explotación? Es decir, ¿existe alguna validación, saneamiento o conversión efectiva que mitigue la explotación?
2. Si no podemos descartarlo, ¿cómo debemos priorizarlo? Estimamos la probabilidad y la gravedad y luego lo clasificamos en consecuencia.

Ya hemos publicado anteriormente cómo los modelos de razonamiento resultan útiles en este caso. En muchos casos, las reglas prácticas son suficientes (y más económicas). Para casos más complejos (por ejemplo, el recorrido de rutas), los modelos de razonamiento reducen aún más los falsos positivos al descomponer el problema.

Todo esto se sustenta en una profunda comprensión del efecto «grito lobo» , donde un exceso de alertas de baja importancia erosiona la confianza y la capacidad de respuesta. Reducirlo es un objetivo primordial de AutoTriage.

Aprovechar la probabilidad y el contexto ambiental

La probabilidad de explotación en el mundo real es crucial. Aikido utiliza EPSS para ignorar o relegar automáticamente los problemas de bajo riesgo y centrar a los equipos en las zonas donde realmente se producen los ataques. Dado que EPSS se actualiza diariamente, esta capa mantiene la pila de seguridad alineada con la realidad actual de las amenazas, en lugar de basarse en puntuaciones CVSS históricas.

Además, ajustamos la gravedad según el contexto, como la exposición a internet, los entornos de desarrollo y producción, y los controles existentes. Aquí radica la importancia de recopilar contexto. Si el contexto es erróneo, la decisión sobre la gravedad también lo será. Por eso invertimos en optimizar nuestros modelos de aprendizaje automático (LLM) y en proporcionarles la información correcta sobre el código y el entorno para que realicen la clasificación automática.

El análisis de accesibilidad muestra que esta vulnerabilidad es explotable en el código. Sin embargo, el análisis de IA determina que, en este contexto, esta vulnerabilidad de falsificación de solicitudes no tiene efecto, ya que el dominio del host está codificado y el atacante no puede modificarlo.

El factor humano en el proceso es clave

La IA generativa presenta un problema de bucle de retroalimentación bien documentado . Aún se necesita la intervención humana para revisar los resultados y decidir si se implementan o no. Aikido muestra sus recomendaciones de forma intencionada en los entornos donde tu equipo ya trabaja.

• En tu IDE para que puedas hacer correcciones rápidas antes de subir los cambios a un repositorio compartido y ejecutar las canalizaciones de CI.
• En las solicitudes de extracción, los revisores ven el contexto de priorización y las sugerencias de AutoFix justo cuando se producen cambios en el código.
• En CI , para que puedas situar la seguridad en el contexto de tus pipelines de compilación, prueba y despliegue automatizados existentes.

El objetivo es reservar el tiempo, el esfuerzo y el criterio humanos para los lugares donde realmente se necesitan.

AutoFix enviará las correcciones de inmediato.

Si un hallazgo es potencialmente explotable y de alto impacto, la mejor alerta es aquella que incluye una solución documentada con el contexto ya recopilado por Aikido. Aikido AI AutoFix proporciona una vista previa del cambio necesario para la corrección, genera la solicitud de extracción para su repositorio y proporciona comentarios detallados sobre el cambio de código y las vulnerabilidades resueltas.

‍

AutoFix está disponible actualmente para SAST, escaneo de IaC, SCA e imágenes de contenedores. Su código nunca se almacena de forma persistente mediante tecnología de IA ni se permite su uso para entrenar modelos de IA (consulte el centro de confianza de Aikido para obtener más información).

Poniendo el Aikido en práctica

El modelo original del queso suizo enseña que los incidentes surgen de debilidades alineadas. En seguridad de aplicaciones, el ruido y la latencia son dos de esas debilidades. Si eres nuevo en Aikido, al principio podrías preguntarte por qué se presentan menos problemas de seguridad de los que esperabas. ¡Esto es intencional! Aikido trabaja de forma intencionada y proactiva para minimizar el trabajo administrativo necesario para priorizar cientos de problemas, de los cuales solo algunos podrían tener un impacto significativo.

Al combinar accesibilidad, priorización basada en el razonamiento, validación humana cuando sea necesario y soluciones con un solo clic, hacemos mucho más difícil que esos problemas se acumulen y mucho más fácil para su equipo avanzar hacia el trabajo que realmente importa.