Future computer lifestyle technology Digital Marketing, Internet of Chatbot Technology in the Future Computer Lifestyle Technology

Le meilleur équipe rouge aux États-Unis est un bot AI

Lucas Morel

Chatbot «XBow» est en tête du classement sur Hackerone, révélant à quel point l’IA a obtenu pour identifier les vulnérabilités de cybersécurité. Les experts disent que c’est à la fois bon et mauvais.

L’IA devient si bonne qu’elle surpasse les équipes rouges humaines.

Le pirate «XBow» est désormais en tête d’un éminent classement de l’industrie de la sécurité américaine qui classe les Teamers Red en fonction de la réputation – et c’est un chatbot d’IA.

Sur Hackerone, qui relie les organisations à des pirates éthiques pour participer à leurs programmes de primes de bogues, XBow a obtenu un score notablement supérieur à 99 autres pirates pour identifier et signaler les vulnérabilités logicielles d’entreprise. C’est une première histoire de la prime des insectes, selon la société qui exploite le bot éponyme.

Le développement indique à quel point l’IA est arrivée en cybersécurité en peu de temps, mais aussi à quel point il peut également être mis à l’échelle par les adversaires.

« Malheureusement, cette utilisation de l’intelligence artificielle favorise les attaquants sur les défenseurs dans ce scénario, car le processus est requis, en particulier pour les grandes organisations, afin de valider les patchs pour des parties critiques de services qui ne sont toujours pas faciles à automatiser », a déclaré David Shipley de la sécurité de Beauceron.

Découvert plus de 1 000 vulnérabilités

XBow est un testeur de pénétration entièrement autonome en AI (Penter) qui ne nécessite aucune contribution humaine, mais, a déclaré ses créateurs, « fonctionne un peu comme un Penter humain » qui peut évoluer rapidement et terminer des tests de pénétration complets en quelques heures seulement. Selon son site Web, il transmet 75% des repères de sécurité Web, trouvant avec précision et exploitant des vulnérabilités.

XBow a soumis près de 1 060 vulnérabilités à Hackerone, notamment l’exécution du code à distance, les informations sur les informations, l’empoisonnement au cache, l’injection SQL, les entités externes XML, la traversée de chemin de chemin, la contrefaçon de demande côté serveur (SSRF), les scripts croisés et l’exposition secrète. La société a déclaré avoir également identifié une vulnérabilité auparavant inconnue dans la plate-forme VPN GlobalProtect de Palo Alto qui a eu un impact sur plus de 2 000 hôtes.

Parmi les vulnérabilités XBow soumises au cours des 90 derniers jours, 54 ont été classés comme critiques, 242 comme élevés et 524 comme moyen de gravité. Les programmes de primes de bogues de l’entreprise ont résolu 130 vulnérabilités et 303 sont classés comme triés.

Notamment, cependant, environ 45% des vulnérabilités qu’il a trouvées attendent toujours une résolution, mettant en évidence le «volume et l’impact des soumissions à travers les cibles en direct», Nico Waisman, responsable de la sécurité de XBow, a écrit dans un article de blog cette semaine.

La société a réalisé ce qu’il a décrit comme une «analyse comparative rigoureuse», testant d’abord son bot avec les défis «capturer le drapeau» avec des fournisseurs comme PortSwigger et PenteresterLab, puis créant sa propre référence qui simule les scénarios du monde réel. Ils ont ensuite décidé de découvrir les vulnérabilités zéro-jours dans les projets open source, donnant à l’accès à l’IA au code source pour simuler un Pentest de la boîte blanche.

XBow a finalement commencé à «Dogfooding» son bot dans les programmes de primes de bogues publics et privés organisés sur Hackerone. « Nous l’avons traité comme tout chercheur externe: pas de raccourcis, pas de connaissances internes – juste XBow, qui coule seul », a écrit Waisman. Pour affiner davantage la technologie, la société a développé des «validateurs» – des pairs-examinateurs automatisés qui confirment chaque vulnérabilité découverte, a expliqué Waisman.

Il a noté que la société était essentiellement mis au défi de tester son bot sur Hackerone. «La communauté a soulevé une question clé: comment XBow se produirait-il dans des environnements de production réels et noirs? Nous avons relevé ce défi, en choisissant de rivaliser dans l’une des plus grandes arènes de pirate, où les entreprises servent elles-mêmes les juges ultimes en vérifiant et en triageant eux-mêmes les vulnérabilités.»

Les défenseurs doivent repenser leur approche

Alors que XBow bat maintenant des équipes rouges humaines, et à un clip rapide, les défenseurs ont encore un long chemin à parcourir pour suivre l’assaut des attaques perpétrées en AI, selon les experts.

«Les pirates adoptent rapidement de nouveaux outils qui leur permettent de se déplacer plus rapidement, de frapper plus fort et de ciblent plus précisément que jamais auparavant», a déclaré Erik Avakian, conseiller technique au Info-Tech Research Group.

Il a noté que les systèmes automatisés lancent non seulement des attaques à grande échelle, mais élaborent un faux contenu très convaincant, y compris la voix, la vidéo et les e-mails, qui «brouillant la ligne entre ce qui est réel et ce qui ne l’est pas». Cela représente un «saut» en capacité, par opposition à un simple pas en avant.

« Les équipes de sécurité ne se défendent plus seulement contre les individus derrière les claviers », a déclaré Avakian. «Ils sont contre un système ou une équipe qui peut numériser, exploiter et s’adapter en temps quasi réel.»

L’automatisation de la découverte peut également, paradoxalement, introduire des dangers, a noté le shipley de Beauceron. «La poursuite de l’accélération de la découverte et de l’utilisation de l’exploitation entraînera davantage de violations de données, des incidents de ransomwares et des perturbations critiques des infrastructures», a-t-il déclaré.

En fin de compte, cela va pousser la pédale de gaz dans un «scénario déjà extrêmement difficile» pour les défenseurs, qui ne sont toujours pas en mesure de répondre aux demandes de logiciel de correction, a déclaré Shipley. Il a déploré qu’une solution à long terme à cette menace était les ordres exécutifs du président américain Joe Biden autour de la cybersécurité, mais ceux-ci ont depuis été vidés par l’administration Trump.

Dans ce paysage changeant, Avakian a exhorté les défenseurs à repenser la façon dont ils se préparent. «Il ne suffit plus de compter sur la surveillance manuelle ou les outils traditionnels», a-t-il déclaré, notant que les organisations doivent travailler avec des partenaires et des vendeurs qui ont construit des outils pour détecter et répondre à la vitesse de la machine, et sur toutes les couches de l’environnement d’entreprise.

Les organisations ont également besoin de structure, pas seulement des outils, y compris une feuille de route de sécurité bien définie avec des politiques claires et des protocoles de risque, a-t-il déclaré. La formation est tout aussi critique.

«Les équipes qui comprennent comment fonctionnent ces nouvelles technologies et comment les attaquants les utilisent seront mieux placés pour répondre avec vitesse et confiance», a déclaré Avakian. « Ce changement n’est pas venu; il est déjà là. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

black and white server room
NETSCOUT reconnu pour son leadership en matière de détection et de réponse réseau
Unterschätztes Risiko: Insider-Bedrohungen endlich ernst nehmen
Unterschätztes Risiko: Insider-Bedrohungen endlich ernst nehmen
10 points de sécurité spécifiques : afin que vous puissiez avoir les équipes informatiques de sécurité de Kraft gratuitement
10 points de sécurité spécifiques : afin que vous puissiez avoir les équipes informatiques de sécurité de Kraft gratuitement