Az AI villámgyorsan alakítja át, hogyan védekeznek a cégek, a YesWeHack pedig most arra használja, hogy felgyorsítsa a penetrációs tesztelést.
A kiberbiztonsági cég Agentic Pentest néven egy AI-alapú szolgáltatást jelentett be, amely webalkalmazásokat, mobilappokat, API-kat és más, internet felől elérhető rendszereket vizsgál biztonsági hibák után kutatva. Ahelyett, hogy napokat vagy heteket kellene várni a végleges jelentésre, a YesWeHack szerint az ügyfelek már a tesztelés első napján megkaphatják az ellenőrzött eredményeket.
A szolgáltatás támogatja a black box, grey box és white box vizsgálatokat, és úgy tervezték, hogy a gyakori sebezhetőségek mellett olyan támadási útvonalakat is azonosítson, amelyekkel a támadók mélyebbre juthatnak a rendszerben. Az ügyfelek kérhetik azt is, hogy a YesWeHack security csapata átnézze a találatokat a javítás megkezdése előtt, ami segít csökkenteni a téves riasztások számát.
Az AI-alapú security tesztelés területe egyre zsúfoltabb. Sok gyártó ígér gyorsabb vizsgálatot és szélesebb lefedettséget, miközben a generatív AI folyamatosan átalakítja a kiberbiztonságot. A valódi kérdés az, hogy ezek az eszközök mennyire teljesítenek jól, amikor olyan finom üzleti logikai hibákkal és kreatív támadási láncokkal találkoznak, amelyeket a tapasztalt, emberi pentesterek szoktak kiszúrni.
Érdekes módon a YesWeHack láthatóan nem gondolja, hogy az AI teljesen kiválthatja az embereket. Az Agentic Pentest integrálódik a cég meglévő bug bounty és emberi szakértők által végzett folyamatos pentest szolgáltatásaival, ami arra utal, hogy az AI-t inkább egy új eszköznek tekintik, nem pedig a képzett security kutatók teljes helyettesítőjének.
A cég szerint a platformot már most használják olyan szervezetek, mint a Dassault Systèmes és a Sanofi, a belső rendszerek tesztelésének támogatását pedig egy későbbi kiadásra tervezik.
Ahogy a támadók egyre inkább AI-t vetnek be, hogy gyorsabban találjanak sebezhetőségeket, a védők is igyekeznek lépést tartani. Kérdés, hogy az AI-alapú pentest beváltja-e az ígéreteket. Hamarosan kiderül, de az már most látszik, hogy egyre több security cég arra fogad, hogy a támadó jellegű security ebbe az irányba tart.

