Wat AI onthult over webapplicaties – en waarom dit belangrijk is

Cyberbeveiliging
Wat AI onthult over webapplicaties – en waarom dit belangrijk is

Voordat een aanvaller ooit een payload verzendt, heeft deze al het werk gedaan om te begrijpen hoe uw omgeving is gebouwd. Ze kijken naar uw inlogstromen, uw JavaScript-bestanden, uw foutmeldingen, uw API-documentatie, uw GitHub-repo’s. Dit zijn allemaal aanwijzingen die hen helpen te begrijpen hoe uw systemen zich gedragen. AI versnelt de verkenning aanzienlijk en stelt aanvallers in staat uw omgeving met grotere snelheid en precisie in kaart te brengen.

Hoewel in het verhaal AI vaak wordt afgeschilderd als de baas van de show, zien we niet dat AI de offensieve operaties van begin tot eind overneemt. AI is niet autonoom bezig met het schrijven van exploits, het aan elkaar koppelen van aanvallen en het doorbreken van systemen zonder dat de mens erbij betrokken is. Wat het is doen is het versnellen van de vroege en middenfasen van de workflow van de aanvaller: het verzamelen van informatie, het verrijken ervan en het genereren van plausibele paden naar uitvoering.

Zie het als door AI gegenereerd schrijven; AI kan met de juiste parameters snel een concept produceren, maar iemand moet het nog steeds beoordelen, verfijnen en afstemmen voordat het resultaat bruikbaar is. Hetzelfde geldt voor offensieve beveiliging. AI kan payloads bouwen en veel functies uitvoeren op een hoger niveau dan traditionele algoritmen, maar tot nu toe hebben ze nog steeds richting en context nodig om effectief te zijn. Deze verschuiving is van belang omdat het vergroot wat wij als blootstelling beschouwen.

Vroeger was een verouderde bibliotheek alleen een probleem als deze over een bekende CVE beschikte. Tegenwoordig kan het lastig zijn als het een aanvaller vertelt welk raamwerk je gebruikt en hem helpt een werkend aanvalspad te beperken. Dat is het verschil. AI helpt ogenschijnlijk onschuldige details om te zetten in bruikbare inzichten – niet door brute kracht, maar door een beter begrip. Dus hoewel AI de manier waarop aanvallers binnenkomen niet verandert, verandert het wel de manier waarop ze beslissen waar ze moeten kijken en wat hun tijd waard is.

AI’s verkenningssuperkrachten

In dat besluitvormingsproces waarbij wordt vastgesteld wat relevant is, wat kwetsbaar is en wat de moeite waard is om na te streven, bewijst AI zijn waarde al.

De kracht ervan ligt in het op schaal begrijpen van ongestructureerde gegevens, waardoor het zeer geschikt is voor verkenning. AI kan grote hoeveelheden extern gerichte informatie parseren en organiseren: website-inhoud, headers, DNS-records, paginastructuren, inlogstromen, SSL-configuraties en meer. Het kan deze gegevens afstemmen op bekende technologieën, raamwerken en beveiligingstools, waardoor een aanvaller een beter inzicht krijgt in wat er achter de schermen gebeurt.

Taal is niet langer een barrière. AI kan betekenis uit foutmeldingen in elke taal halen, technische documentatie tussen regio’s correleren en naamgevingsconventies of patronen herkennen die misschien onopgemerkt blijven door een menselijke recensent.

Het blinkt ook uit in contextuele matching. Als een applicatie een JavaScript-bibliotheek met versiebeheer beschikbaar stelt, kan AI het raamwerk identificeren, controleren op bijbehorende risico’s en bekende technieken matchen op basis van die context. Niet omdat het nieuwe methoden uitvindt, maar omdat het snel en grondig naar gegevens kan verwijzen.

Kortom, AI wordt een zeer efficiënte verkennings- en verrijkingslaag. Het helpt aanvallers prioriteiten te stellen en zich te concentreren, niet door iets nieuws te doen, maar door iets bekends te doen met veel meer schaal en consistentie.

Hoe AI webapp-aanvallen verandert

De impact van AI wordt nog zichtbaarder als je kijkt naar de manier waarop het algemene webaanvaltechnieken vormgeeft:

Begin met brute forceren. Traditioneel vertrouwen aanvallers op statische woordenboeken om inloggegevens te raden. AI verbetert dit door realistischere combinaties te genereren met behulp van regionale taalpatronen, op rollen gebaseerde aannames en naamgevingsconventies die specifiek zijn voor de doelorganisatie. Het herkent ook het type systeem waarmee het communiceert, of het nu een specifieke database, besturingssysteem of beheerderspaneel is, en gebruikt die context om de meest relevante standaardreferenties te gebruiken. Deze gerichte aanpak vermindert de ruis en vergroot de kans op succes met minder, intelligentere pogingen.

AI verbetert ook de interpretatie. Het kan subtiele veranderingen in het inloggedrag identificeren, zoals verschuivingen in de paginastructuur, variaties in foutmeldingen of omleidingsgedrag, en de aanpak dienovereenkomstig aanpassen. Dit helpt valse positieven te verminderen en maakt sneller draaien mogelijk wanneer een poging mislukt.

Een traditioneel script kan er bijvoorbeeld van uitgaan dat een succesvolle login wordt aangegeven door een verandering van 70 procent in de pagina-inhoud. Maar als de gebruiker wordt omgeleid naar een tijdelijke landingspagina (een die er anders uitziet maar uiteindelijk leidt tot een fout als ‘Account vergrendeld na te veel pogingen’) – kan het script dit ten onrechte als een succes classificeren. AI kan de inhoud, statuscodes en stromen holistischer analyseren, herkennen dat het inloggen niet is gelukt en de strategie dienovereenkomstig aanpassen.

Dat contextbewustzijn is wat AI onderscheidt van traditionele tools voor het matchen van patronen. Een veelvoorkomend fout-positief resultaat voor traditionele tools voor het verzamelen van inloggegevens zijn tijdelijke inloggegevens:

Op het eerste gezicht lijkt het hardgecodeerde inloggegevens te bevatten. Maar in werkelijkheid is het een onschuldige tijdelijke aanduiding die verwijst naar het domein example.com. De traditionele tool signaleerde het toch. AI evalueert daarentegen de omringende context en erkent dat dit geen echt geheim is. Tijdens het testen hebben we gezien dat modellen het ‘Gevoelig: vals’ bestempelden met ‘Vertrouwen: hoog’, waardoor valse positieven werden weggefilterd om ruis te verminderen.

AI verbetert ook de manier waarop aanvallers het gedrag van een applicatie onderzoeken. In vage workflows kan het nieuwe invoer voorstellen op basis van waargenomen resultaten en deze invoer verfijnen naarmate de applicatie reageert. Dit helpt bij het ontdekken van fouten in de bedrijfslogica, kapotte toegangscontroles of andere subtiele kwetsbaarheden die niet altijd waarschuwingen activeren.

Als het om de uitvoering gaat, helpt AI bij het genereren van payloads op basis van realtime dreigingsinformatie. Hierdoor kunnen platforms nieuw waargenomen technieken sneller emuleren. Deze payloads worden niet blindelings ingezet. Ze worden beoordeeld, aangepast aan de omgeving en getest op nauwkeurigheid en veiligheid voordat ze worden gebruikt. Dit verkleint de kloof tussen opkomende bedreigingen en zinvolle validatie.

In meer geavanceerde scenario’s kan AI blootgestelde gegevens in de aanval zelf opnemen. Als het platform tijdens een test persoonlijk identificeerbare informatie zoals namen of e-mailadressen detecteert, kan het die gegevens automatisch toepassen in de volgende fase. Dit omvat acties zoals het opvullen van inloggegevens, nabootsing van identiteit of zijwaartse beweging, die weerspiegelen hoe een echte aanvaller zich op dat moment zou kunnen aanpassen.

Samen maken deze mogelijkheden AI-gestuurde aanvallen efficiënter, adaptiever en overtuigender. De kerntechnieken blijven hetzelfde. Het verschil zit hem in de snelheid, nauwkeurigheid en het vermogen om context toe te passen; iets dat verdedigers niet langer over het hoofd kunnen zien.

Een nieuwe kijk op blootstelling in het tijdperk van AI

De impact van AI op verkenningsworkflows zorgt voor een verschuiving in de manier waarop verdedigers moeten nadenken over blootstelling. Het is niet langer voldoende om alleen te beoordelen wat bereikbaar is: IP-bereiken, open poorten, extern zichtbare services. AI breidt de definitie uit met wat op basis van de context afleidbaar is.

Dit omvat metagegevens, naamgevingsconventies, namen van JavaScript-variabelen, foutmeldingen en zelfs consistente patronen in de manier waarop uw infrastructuur wordt geïmplementeerd. AI heeft geen root-toegang nodig om waarde uit uw omgeving te halen. Er zijn slechts een paar waarneembare gedragingen nodig en een training die groot genoeg is om ze te kunnen begrijpen.

Blootstelling is een spectrum. U kunt technisch gezien ‘veilig’ zijn, maar toch voldoende aanwijzingen geven zodat een aanvaller een kaart van uw architectuur, uw technische stapel of uw authenticatiestroom kan samenstellen. Dat is het soort inzicht waarin AI uitblinkt.

Beveiligingstools geven traditioneel prioriteit aan directe risico-indicatoren: bekende kwetsbaarheden, verkeerde configuraties, niet-gepatchte componenten of verdachte activiteiten. Maar AI introduceert een andere dimensie. Het kan de aanwezigheid van kwetsbare componenten afleiden, niet door ze rechtstreeks te scannen, maar door gedragspatronen, architectonische aanwijzingen of API-reacties te herkennen die overeenkomen met bekende aanvalspaden. Deze gevolgtrekking veroorzaakt op zichzelf geen waarschuwing, maar kan wel de besluitvorming van een aanvaller sturen en de zoektocht naar een toegangspunt beperken.

In een wereld waarin AI snel omgevingen kan profileren, is het oude model van ‘scannen en patchen’ niet voldoende. Verdedigers moeten beperken wat kan worden geleerd en niet alleen wat kan worden uitgebuit.

Wat dit verandert voor verdedigers

Terwijl AI de verkenning en besluitvorming versnelt, moeten verdedigers reageren met hetzelfde niveau van automatisering en intelligentie. Als aanvallers AI gebruiken om uw omgeving te bestuderen, moet u AI gebruiken om te begrijpen wat ze waarschijnlijk zullen vinden. Als ze testen hoe uw systemen zich gedragen, moet u ze eerst testen.

Dit is de nieuwe definitie van blootstelling. Het gaat niet alleen om wat toegankelijk is. Het is wat kan worden geanalyseerd, geïnterpreteerd en omgezet in actie. En als je het niet voortdurend valideert, ben je blind voor wat je omgeving feitelijk onthult.

Je aanvalsoppervlak zien door de ogen van een aanvaller en je verdediging valideren met behulp van dezelfde technieken die zij gebruiken, is niet langer leuk om te hebben. Het is de enige realistische manier om bij te blijven.

Neem een ​​kijkje in het nieuwste onderzoek naar AI-bedreigingen van Pentera Labs. Schrijf u in voor de AI Threat Research vSummit en blijf de volgende aanvalsgolf voor.

Opmerking: Dit artikel is geschreven en bijgedragen door Alex Spivakovsky, VP Research & Cybersecurity bij Pentera.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Update voor Android Auto 15.2 zorgt ervoor dat de snelle bediening voor veel gebruikers niet werkt

De Project Moohan XR-headset van Samsung wordt op 21 oktober gelanceerd tijdens het ‘Worlds Wide Open’-evenement

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]