De un vistazo
- Identificó una serie de problemas de alta y baja gravedad en una plataforma financiera compleja.
- Se encontraron vulnerabilidades reales en aproximadamente dos horas después de que una prueba de penetración manual de 120 horas no reportara ningún resultado.
- Incluso con la cobertura más limitada de Aikido (20 agentes atacantes), se descubrieron problemas que los evaluadores de penetración no habían detectado.
- Problemas descubiertos relacionados con la lógica de las aplicaciones personalizadas, el diseño de las autorizaciones, las configuraciones erróneas, el refuerzo de la seguridad y los algoritmos de cifrado.
- Aislamiento validado de inquilinos, aplicación de roles y protección de funciones privilegiadas.
- Agrupamos los hallazgos relacionados para ayudar a los equipos a solucionar las causas fundamentales en lugar de los síntomas individuales.
Desafío.
Cope es una consultora sueca especializada en finanzas y operaciones digitales que gestiona una compleja plataforma financiera con estrictos requisitos de autorización y aislamiento de inquilinos. El sistema admite múltiples modelos de inquilinos y gestiona datos financieros y operativos confidenciales para sus clientes.
Debido a esta complejidad, las deficiencias en la autorización eran una preocupación fundamental. Los problemas relacionados con el acceso entre inquilinos, la aplicación incorrecta de roles o el acceso no deseado a funciones privilegiadas podían tener graves repercusiones en el negocio y el cumplimiento normativo.
Para validar su postura de seguridad, Cope encargó una prueba de penetración manual que duró 120 horas. El informe final no reveló ningún hallazgo.
En lugar de aumentar la confianza, el resultado suscitó inquietudes a nivel interno.
«Cuando la prueba de penetración manual no arrojó ningún resultado, nuestra confianza no aumentó precisamente. Con una aplicación de este tamaño y con tanta lógica de autorización personalizada, estábamos seguros de que tenía que haber problemas que simplemente no estábamos viendo», afirmó Alvar Markhester, director técnico de Cope.
Cope quería una garantía más sólida sin depender únicamente de pruebas en humanos poco frecuentes y con plazos limitados.
Ejecutar la prueba de penetración de IA
Cope ejecutó pentesting de IA Aikido pentesting de IA su aplicación con un conocimiento detallado de la estructura de la plataforma, las API y el modelo de autorización a través de la opción de caja blanca utilizando el acceso al repositorio.
En este caso, Cope utilizó la cobertura más estrecha de Aikido de 20 agentes atacantes.
Dado el tamaño del sistema y la cantidad de lógica personalizada involucrada, era fundamental comprender cómo se pretendía que funcionara la autorización.
«Dado que la aplicación reside en un gran repositorio único con mucha lógica personalizada, disponer de una herramienta que realmente pudiera comprender el contexto en el que se supone que debe funcionar la autorización marcó una gran diferencia».
El equipo describió sus modelos de inquilinos, los controles de acceso basados en roles y las funciones privilegiadas que nunca deben exponerse.
El objetivo era claro. Garantizar que los usuarios no pudieran acceder a datos o funciones fuera de su ámbito previsto, ni siquiera en casos extremos y rutas lógicas complejas.
Lo que descubrió la prueba de penetración de IA
A pesar de que la prueba de penetración manual anterior no reveló ningún hallazgo, la prueba de penetración con IA de Aikido descubrió múltiples problemas de autorización válidos.
Esto incluyó algunos problemas de alta gravedad con un impacto significativo en la seguridad y el negocio, así como otros problemas de menor prioridad que ponían de manifiesto una aplicación más débil o inconsistente.
Para ayudar al equipo de ingeniería a actuar de manera eficiente, Aikido agrupó los hallazgos relacionados. Esto permitió a los equipos abordar clases enteras de problemas en lugar de solucionar cuestiones individuales de forma aislada.
Los hallazgos no fueron superficiales.
La prueba de penetración con IA descubrió múltiples fallos de autorización de alta gravedad en toda la aplicación. Estos problemas afectaban a acciones privilegiadas, recursos compartidos y límites de inquilinos, y tenían su origen en la lógica personalizada de la aplicación, más que en una simple configuración incorrecta. Todos ellos pasaron desapercibidos en la prueba de penetración manual de 120 horas.
«Los hallazgos no eran problemas evidentes, eran complejos, por lo que nos impresionó mucho Aikido Attack», afirmó Alvar.
Los problemas abarcaban diferentes partes de la aplicación y se debían a la lógica personalizada de la aplicación y a rutas heredadas, más que a una configuración incorrecta. Todos ellos habían pasado desapercibidos en la prueba de penetración manual de 120 horas.
«En este caso, se obtuvieron más resultados que con una prueba de penetración manual».
Esto fue así a pesar de utilizar la cobertura más limitada de Aikido y de la breve duración de la prueba, poco más de dos horas.
Aunque ninguno era crítico, los problemas representaban debilidades significativas en la autorización que podrían haber dado lugar a la exposición de datos o al uso indebido de privilegios si no se hubieran resuelto. Se abordaron todos los problemas identificados.
Desde entonces, Cope ha vuelto a examinar todas estas cuestiones más de una vez y ha confirmado que se han mitigado.
¿Por qué la prueba de penetración manual pasó por alto las vulnerabilidades?
Los pentesters externos utilizaron herramientas estándar e invirtieron mucho tiempo, pero aun así no lograron detectar los problemas.
Desde el punto de vista de Cope, la limitación no era el esfuerzo ni la experiencia. Era la escala.
«Es una aplicación grande, por lo que incluso las rutas pequeñas en el código base pueden ser difíciles de alcanzar en un plazo de tiempo determinado».
A diferencia de los humanos, limitados por el tiempo y un ámbito predefinido, los agentes de IA pudieron seguir explorando rutas de autorización, seguir la lógica entre servicios y revisar casos extremos sin cansarse.
«Se trata de problemas que un evaluador humano podría detectar con el tiempo, pero no en un plazo determinado. Los agentes pueden seguir explorando caminos y hipótesis mucho después de que una prueba de penetración tradicional tuviera que detenerse».
Cuando Cope compartió los resultados de la IA con la empresa que realizó la prueba de penetración manual, el resultado fue claro.
«Cuando compartimos los resultados con la empresa que realizó la prueba de penetración manual, quedó claro que la prueba de penetración con IA había descubierto problemas reales que simplemente no habían salido a la luz durante la prueba de penetración manual».
Cómo Cope está ampliando el uso de Aikido Security
Ya en uso
- pentesting de IA superficie de ataque / DAST (ataque aikido)
- Aikido Code
- Cortafuegos Aikido Zen (Aikido Protect)
Planificación para ampliar la adopción
Evaluando lo siguiente
- Alvar está interesado en utilizar un pentesting continuo en el futuro.
Veredicto final
Para Cope, pentesting de IA no pentesting de IA en sustituir a los probadores humanos. Se trataba de profundidad, persistencia y contexto.
«Los agentes pudieron comprender fácilmente el contexto de la solicitud porque disponían de toda la información», afirmó.
Aikido Attack proporcionó un nivel de garantía que se adapta a la complejidad de la aplicación y va más allá de las pruebas tradicionales puntuales.
«La mayor diferencia fue la profundidad. Aikido no solo probó los puntos finales. Entendió cómo debía funcionar nuestro modelo de autorización y siguió explorando hasta encontrar fallos reales que una prueba de penetración tradicional había pasado por alto».
