En bref
- Identification d'un certain nombre de problèmes graves et moins graves dans une plateforme financière complexe.
- Véritables vulnérabilités découvertes en environ deux heures après un test d'intrusion manuel de 120 heures n'ayant révélé aucun résultat.
- Même avec la couverture la plus restreinte Aikido(20 agents attaquants), des problèmes que les testeurs de pénétration n'avaient pas détectés ont été mis au jour.
- Problèmes non détectés liés à la logique des applications personnalisées, à la conception des autorisations, aux erreurs de configuration, au renforcement de la sécurité et aux algorithmes de chiffrement.
- Isolation validée des locataires, application des rôles et protection des fonctionnalités privilégiées
- Regroupement des conclusions connexes afin d'aider les équipes à résoudre les causes profondes plutôt que les symptômes individuels
Enjeu
Cope est une société suédoise de conseil en finance et opérations numériques qui exploite une plateforme financière complexe soumise à des exigences strictes en matière d'autorisation et d'isolation des locataires. Le système prend en charge plusieurs modèles de locataires et traite des données financières et opérationnelles sensibles pour ses clients.
En raison de cette complexité, les failles d'autorisation constituaient une préoccupation majeure. Les problèmes liés à l'accès inter-locataires, à l'application incorrecte des rôles ou à l'accès involontaire à des fonctionnalités privilégiées pouvaient avoir de graves répercussions sur l'activité et la conformité.
Pour valider son niveau de sécurité, Cope a commandé un test de pénétration manuel d'une durée de 120 heures. Le rapport final n'a révélé aucun résultat.
Plutôt que de renforcer la confiance, ce résultat a suscité des inquiétudes en interne.
« Lorsque le test d'intrusion manuel n'a révélé aucun résultat, cela n'a pas vraiment renforcé notre confiance. Avec une application de cette taille et une logique d'autorisation personnalisée aussi complexe, nous étions convaincus qu'il devait y avoir des problèmes que nous ne voyions tout simplement pas », a déclaré Alvar Markhester, directeur technique de Cope.
Cope souhaitait obtenir des garanties plus solides sans se fier uniquement à des essais humains peu fréquents et limités dans le temps.
Exécution du test d'intrusion IA
Cope a exécuté pentest IA Aikido pentest IA leur application avec une connaissance approfondie de la structure de la plateforme, des API et du modèle d'autorisation via l'option boîte blanche utilisant l'accès au référentiel.
Dans ce cas, Cope a utilisé la couverture la plus étroite Aikido, soit 20 agents attaquants.
Compte tenu de la taille du système et de la quantité de logique personnalisée impliquée, il était essentiel de comprendre comment l'autorisation était censée fonctionner.
« Étant donné que l'application réside dans un grand monorepo avec beaucoup de logique personnalisée, disposer d'un outil capable de comprendre le contexte dans lequel l'autorisation est censée fonctionner a fait une grande différence. »
L'équipe a décrit ses modèles de locataires, ses contrôles d'accès basés sur les rôles et ses fonctionnalités privilégiées qui ne doivent jamais être exposées.
L'objectif était clair. Veiller à ce que les utilisateurs ne puissent pas accéder à des données ou à des fonctionnalités en dehors de leur champ d'application prévu, même dans des cas limites et des chemins logiques complexes.
Ce que le test d'intrusion IA a révélé
Malgré le rapport manuel précédent qui ne faisait état d'aucun résultat, le test d'intrusion basé sur l'IA Aikidoa révélé plusieurs problèmes d'autorisation valides.
Cela comprenait quelques problèmes graves ayant un impact significatif sur la sécurité et les activités, ainsi que d'autres problèmes moins prioritaires qui mettaient en évidence une application plus faible ou incohérente.
Pour aider l'équipe d'ingénieurs à agir efficacement, Aikido les résultats connexes. Cela a permis aux équipes de traiter des catégories entières de problèmes plutôt que de résoudre des problèmes individuels de manière isolée.
Les conclusions n'étaient pas superficielles.
Le test d'intrusion IA a révélé plusieurs failles d'autorisation très graves dans l'application. Ces problèmes affectaient les actions privilégiées, les ressources partagées et les limites des locataires, et trouvaient leur origine dans la logique personnalisée de l'application plutôt que dans une simple erreur de configuration. Tous ces problèmes avaient échappé au test d'intrusion manuel de 120 heures.
« Les résultats n'étaient pas évidents, ils étaient complexes, nous avons donc été très impressionnés par Aikido , a déclaré Alvar.
Les problèmes concernaient différentes parties de l'application et provenaient de la logique personnalisée de l'application et des chemins hérités plutôt que d'une mauvaise configuration. Tous avaient échappé au test d'intrusion manuel de 120 heures.
« Dans ce cas, les résultats ont été plus nombreux qu'avec un test d'intrusion manuel. »
Et ce, malgré l'utilisation de la couverture la plus étroite Aikidoet la courte durée du test, à peine plus de deux heures.
Bien qu'aucun ne soit critique, ces problèmes représentaient des faiblesses significatives en matière d'autorisation qui auraient pu entraîner une exposition des données ou une utilisation abusive des privilèges s'ils n'avaient pas été résolus. Tous les problèmes identifiés ont été traités.
Depuis, Cope a réexaminé toutes ces questions à plusieurs reprises et a obtenu la confirmation qu'elles avaient été atténuées.
Pourquoi le test d'intrusion manuel n'a pas détecté les vulnérabilités
Les pentesteurs externes ont utilisé des outils standard et ont investi beaucoup de temps, mais n'ont toujours pas réussi à mettre en évidence les problèmes.
Du point de vue de Cope, la limite n'était pas l'effort ou l'expertise. C'était l'échelle.
« Il s'agit d'une application volumineuse, de sorte que même les petits chemins dans la base de code peuvent être difficiles à atteindre dans le cadre d'une mission à durée déterminée. »
Contrairement aux humains, limités par le temps et un champ d'action prédéfini, les agents IA ont pu continuer à explorer les chemins d'autorisation, suivre la logique entre les services et réexaminer les cas limites sans fatigue.
« Ce sont des problèmes qu'un testeur humain pourrait éventuellement détecter, mais pas dans le cadre d'une mission à durée déterminée. Les agents peuvent continuer à explorer des pistes et des hypothèses longtemps après qu'un test d'intrusion traditionnel aurait dû s'arrêter. »
Lorsque Cope a communiqué les résultats de l'IA à l'entreprise qui avait effectué le test d'intrusion manuel, le résultat était clair.
« Lorsque nous avons communiqué les résultats à l'entreprise qui avait réalisé le test d'intrusion manuel, il est apparu clairement que le test d'intrusion basé sur l'IA avait mis au jour de réels problèmes qui n'avaient tout simplement pas été détectés lors du test d'intrusion manuel. »
Comment Cope étend son utilisation de Aikido
Déjà utilisé
Prévoir d'étendre l'adoption
Prochaine évaluation
- Alvar souhaite utiliser un pentest continu à l'avenir.
Verdict final
Pour Cope, pentest IA ne pentest IA pas à remplacer les testeurs humains. Il s'agissait plutôt d'approfondir, de persévérer et de replacer les choses dans leur contexte.
« Les agents ont pu facilement comprendre le contexte de la demande, car ils disposaient de toutes les informations nécessaires », a-t-il déclaré.
Aikido offre un niveau d'assurance qui s'adapte à la complexité des applications et va au-delà des tests ponctuels traditionnels.
« La plus grande différence résidait dans la profondeur. Aikido contentait Aikido de tester les points finaux. Il comprenait le fonctionnement de notre modèle d'autorisation et continuait à explorer jusqu'à ce qu'il trouve de réelles failles que les tests d'intrusion traditionnels avaient manquées. »
