Shannon เครื่องมือ AI Pentesting อัตโนมัติ ปิดช่องโหว่ความปลอดภัย 365 วัน
Keygraph ได้เปิดตัว Shannon ซึ่งเป็นเครื่องมือทดสอบการเจาะระบบ (pentester) ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (AI) แบบอัตโนมัติเต็มรูปแบบ โดยมีภารกิจหลักคือการค้นพบและดำเนินการโจมตีจริงในแอปพลิเคชันบนเว็บ Shannon ถือเป็นการเปลี่ยนกระบวนทัศน์ในการทดสอบความปลอดภัยของแอปพลิเคชัน (application security testing)
ปัญหาที่ต้องแก้ไข: ความเร็วในการพัฒนาแซงหน้าความปลอดภัย
ในขณะที่ทีมพัฒนาใช้เครื่องมือสมัยใหม่และมีการปรับใช้โค้ดอย่างต่อเนื่องตลอดทั้งปี ความท้าทายที่สำคัญคือความเร็วในการพัฒนานั้นเร็วกว่าการตรวจสอบความปลอดภัยอย่างมาก การทดสอบการเจาะระบบแบบดั้งเดิมมักเกิดขึ้นเพียงไตรมาสละครั้งหรือปีละครั้ง ทำให้เกิดช่องว่างของการเปิดเผยช่องโหว่ถึง 365 วัน
Shannon: การยืนยันความเสี่ยงด้วยการโจมตีจริง
Shannon ได้เข้ามาเติมเต็มช่องว่างด้านความปลอดภัยนี้ โดยทำหน้าที่เป็น pentester แบบ whitebox ที่พร้อมใช้งานตามความต้องการ ต่างจากเครื่องมือสแกนช่องโหว่ทั่วไปที่อาจสร้างผลบวกลวง (false positives) Shannon จะดำเนินการโจมตีจริง เช่น การใช้ injection exploits, การข้ามการตรวจสอบสิทธิ์ (authentication bypasses), cross-site scripting (XSS) และ server-side request forgery (SSRF) เพื่อยืนยันว่าสิ่งที่พบสามารถถูกโจมตีได้จริง ระบบนี้ยึดถือนโยบายที่เข้มงวดคือ "ไม่มีการโจมตีจริง จะไม่มีรายงาน" ("no exploit, no report") ซึ่งช่วยลดการรายงานที่ไม่ได้รับการพิสูจน์
การทำงานของ Shannon เริ่มต้นได้ด้วยคำสั่งเดียวและต้องการเพียงการเข้าถึงซอร์สโค้ดเท่านั้น โดยจะดำเนินการผ่านสี่ขั้นตอนที่แตกต่างกัน ได้แก่ การลาดตระเวน (Reconnaissance), การวิเคราะห์ช่องโหว่ (Vulnerability Analysis), การแสวงหาประโยชน์ (Exploitation), และการรายงาน (Reporting) โดยใช้ Claude Agent SDK ของ Anthropic เป็นกลไกการให้เหตุผล
ผลลัพธ์ที่พิสูจน์แล้ว
ประสิทธิภาพของ Shannon ได้รับการยืนยันจากการทดสอบกับแอปพลิเคชันที่มีช่องโหว่ตามมาตรฐานอุตสาหกรรม
- ในการทดสอบกับ OWASP Juice Shop Shannon ค้นพบช่องโหว่ที่สำคัญกว่า 20 รายการในการรันอัตโนมัติครั้งเดียว รวมถึงการบายพาสการตรวจสอบสิทธิ์โดยสมบูรณ์ และการดึงข้อมูลฐานข้อมูลผ่านการโจมตีแบบ injection
- ในการทดสอบกับ Checkmarx Capital API Shannon สามารถระบุช่องโหว่ที่สำคัญได้ 15 รายการ นำไปสู่การเข้าถึงแอปพลิเคชันโดยสมบูรณ์
ผลลัพธ์เหล่านี้แสดงให้เห็นถึงความสามารถของ Shannon ในการก้าวข้ามการสแกนแบบพาสซีฟไปสู่การแสวงหาประโยชน์เชิงรุก (active exploitation) โดยมีผลบวกลวงน้อยที่สุด การเข้ามาของ Shannon ช่วยให้องค์กรสามารถปรับใช้โค้ดได้อย่างมั่นใจยิ่งขึ้น โดยการปิดช่องว่างระหว่างวงจรการพัฒนาที่รวดเร็วและการทดสอบการเจาะระบบที่ไม่บ่อย
Shannon ทำงานเหมือนกับหน่วยรักษาความปลอดภัยอัตโนมัติที่ประจำการตลอด 24 ชั่วโมง โดยไม่เพียงแต่แจ้งเตือนว่าประตู (ช่องโหว่) อาจจะเปิดอยู่เท่านั้น แต่ยังแสดงหลักฐานด้วยการเดินทะลุประตูนั้นให้เห็นจริง ๆ เพื่อพิสูจน์ความเสี่ยง ก่อนที่ผู้ร้ายจะเข้ามาได้.
ความคิดเห็น
แสดงความคิดเห็น