AutoTriage y el Modelo del Queso Suizo de reducción de ruido de seguridad
O, por qué sus escáneres tradicionales probablemente reportan demasiado
El modelo del queso suizo es una forma clásica de razonar sobre el riesgo. En industrias de seguridad crítica, postula que los incidentes ocurren cuando los "agujeros" en múltiples defensas imperfectas se alinean. Para mitigar estos riesgos, se añaden capas de defensa para reducir o eliminar los agujeros y evitar que los malos resultados se escapen.
En la seguridad de aplicaciones, los incidentes son causados no solo por exploits de código y configuración, sino por una erosión del enfoque de ingeniería causada por falsos positivos y una remediación lenta. La gestión de vulnerabilidades es igualmente un problema de ingeniería y de proceso, y Aikido adopta un enfoque estratégico para reducir el ruido y acelerar las correcciones importantes.
La importancia de la defensa por capas
Podemos visualizar un flujo de trabajo de AppSec moderno como un conjunto de «segmentos» apilados, cada uno diseñado para detectar diferentes tipos de problemas y reducir la superficie de riesgo general. Estos incluyen:
- Escaneo de código y alcanzabilidad
- Triaje de incidencias para evaluar la explotabilidad, prioridad e impacto
- Probabilidad de explotación y su contexto de entorno
- Controles con intervención humana (IDEs locales, sistemas CI, flujos de aprobación de PR)
- La corrección real del código utilizando humanos y LLMs
Cada uno de los anteriores puede representar tanto un punto débil explotable como un cuello de botella para la remediación. Los flujos de trabajo de Aikido, por lo tanto, están orientados a reducir implacablemente la fricción para que las vulnerabilidades reales se remedien donde son más explotables.
Reducir brechas con alcanzabilidad
Un punto débil del escaneo de código tradicional es que el «éxito» puede malinterpretarse como encontrar tantos problemas como sea posible. Esto incluye hallazgos reportados como vulnerabilidades incluso cuando la ruta de código o el paquete vulnerable no pueden ser alcanzados desde entradas controladas por el usuario. El motor de alcanzabilidad de Aikido añade análisis de flujo de programa para ignorar automáticamente estos casos de antemano. Esto por sí solo reduce una parte significativa del ruido.
Por ejemplo, un escáner SCA tradicional podría detectar una versión obsoleta de pyyaml que contiene una vulnerabilidad crítica. Sin embargo, el análisis de alcanzabilidad muestra que no hay código que realmente utilice el paquete. Por lo tanto, la incidencia puede ser ignorada automáticamente de forma segura a pesar de su gravedad documentada.
AutoTriage como un filtro de razonamiento
Si la alcanzabilidad determina que un hallazgo es nominalmente explotable, Aikido AutoTriage pregunta lo siguiente:
- ¿Podemos descartar la explotabilidad? Es decir, ¿existe una validación, sanitización o conversión efectiva que mitigue la explotación?
- Si no podemos descartarlo, ¿cómo debemos priorizarlo? Estimamos la probabilidad y la gravedad y luego clasificamos en consecuencia.
Hemos publicado anteriormente cómo los modelos de razonamiento ayudan aquí. En muchos casos, las “reglas generales” son suficientes (y más económicas). Para casos más complejos (por ejemplo, “path traversals”), los modelos de razonamiento reducen aún más los falsos positivos al descomponer el problema.
La base de todo esto es una conciencia aguda del efecto “Cry Wolf”, donde demasiadas alertas de bajo valor degradan la confianza y la respuesta. Reducirlo es un objetivo principal de AutoTriage.
Probabilidad de explotación y contexto del entorno
La probabilidad de explotación en el mundo real importa. Aikido utiliza EPSS para ignorar o degradar automáticamente los problemas de bajo riesgo y enfocar a los equipos donde realmente están ocurriendo los ataques. Dado que EPSS se actualiza diariamente, esta capa mantiene la pila alineada con la realidad actual de las amenazas en lugar de con las puntuaciones históricas de CVSS.
Además, aumentamos o disminuimos la gravedad basándonos en el contexto, como la exposición a internet, los entornos de desarrollo frente a producción y los controles circundantes. Aquí es donde la recopilación de contexto es crítica. Si el contexto es incorrecto, la decisión de gravedad también lo es. Por eso invertimos en el ajuste de prompts de nuestros LLM y en la canalización de los detalles correctos del código y del entorno a los modelos que realizan AutoTriage.
La alcanzabilidad muestra que esta explotación es posible en el código. Sin embargo, el análisis de IA determina que, en este contexto, esta vulnerabilidad de falsificación de solicitud no tiene efecto porque el dominio del host está codificado y no puede ser modificado por el atacante.
Intervención humana donde importa
La IA generativa tiene un problema de bucle de retroalimentación bien documentado. Todavía se necesita la intervención humana para verificar los resultados y decidir finalmente si se implementan. Aikido muestra intencionadamente sus recomendaciones en los lugares donde su equipo ya trabaja:
- En tu IDE para que puedas realizar correcciones rápidas antes de enviar a un repositorio compartido y ejecutar pipelines de CI
- En las PRs para que los revisores vean el contexto de triaje y las sugerencias de AutoFix justo cuando el código cambia,
- En CI, para que puedas integrar la seguridad en el contexto de tus pipelines automatizados existentes de compilación, prueba y despliegue.
El objetivo es reservar el tiempo, el esfuerzo y el juicio humanos para los lugares donde realmente se necesitan.
AutoFix para implementar correcciones de inmediato
Si un hallazgo es probablemente explotable y de alto impacto, la mejor alerta es aquella que incluye una corrección documentada con el contexto ya ensamblado por Aikido. Aikido corrección automática con IA proporciona una vista previa del cambio necesario para corregir, genera la solicitud de extracción para su repositorio y ofrece comentarios detallados sobre el cambio de código y las vulnerabilidades resueltas.
AutoFix está actualmente disponible para SAST, escaneo IaC, SCA e imágenes de contenedores. Su código nunca es almacenado de forma persistente por una tecnología de IA ni se permite su uso para entrenar modelos de IA (consulte el centro de confianza de Aikido para obtener más información).
Poner Aikido en funcionamiento
El modelo original del queso suizo enseña que los incidentes surgen de debilidades alineadas. En la seguridad de aplicaciones (AppSec), el ruido y el retraso son dos de esas debilidades. Si eres nuevo en Aikido, al principio puede que te preguntes por qué ves menos problemas de seguridad de los que cabría esperar. ¡Esto es parte del diseño! Aikido trabaja de forma intencionada y proactiva para minimizar el trabajo administrativo que debes realizar para clasificar cientos de problemas, de los cuales solo algunos podrían tener un impacto significativo.
Al combinar la capacidad de alcance, una clasificación basada en el razonamiento, la validación humana cuando sea necesaria y las correcciones con un solo clic, hacemos que sea mucho más difícil que esos agujeros se alineen y mucho más fácil para tu equipo avanzar en el trabajo que realmente importa.
