Auf einen Blick
- Identifizierte eine Reihe von schwerwiegenden und weniger schwerwiegenden Problemen in einer komplexen Finanzplattform
- Echte Schwachstellen in ca. 2 Stunden gefunden, nachdem ein 120-stündiger manueller Pentest keine Funde gemeldet hatte
- Selbst mit Aikidos geringster Abdeckung (20 Angreifer-Agenten) wurden Probleme aufgedeckt, die Penetrationstester nicht fanden
- Aufgedeckte Probleme, die ihren Ursprung in Benutzerdefinierter Anwendungslogik, Autorisierungsdesign, Fehlkonfigurationen, Härtung und Verschlüsselungsalgorithmen hatten.
- Validierte Mandantenisolation, Rollendurchsetzung und Schutz privilegierter Funktionalität
- Zusammengefasste verwandte Ergebnisse, um Teams dabei zu unterstützen, Grundursachen statt einzelner Symptome zu beheben
Herausforderung
Cope ist ein schwedisches Beratungsunternehmen für digitale Finanzen und Operationen, das eine komplexe Finanzplattform mit strengen Autorisierungs- und Mandantenisolationsanforderungen betreibt. Das System unterstützt mehrere Mandantenmodelle und verarbeitet sensible Finanz- und Betriebsdaten für seine Kunden.
Aufgrund dieser Komplexität waren Autorisierungsfehler ein Hauptanliegen. Probleme im Zusammenhang mit mandantenübergreifendem Zugriff, fehlerhafter Rollendurchsetzung oder unbeabsichtigtem Zugriff auf privilegierte Funktionalität könnten schwerwiegende geschäftliche und Compliance-Auswirkungen haben.
Um seine Sicherheitslage zu validieren, beauftragte Cope einen manuellen Penetrationstest über 120 Stunden. Der Abschlussbericht wies keine Ergebnisse auf.
Anstatt das Vertrauen zu stärken, weckte das Ergebnis intern Bedenken.
„Als der manuelle Pentest keine Ergebnisse lieferte, steigerte das unser Vertrauen nicht wirklich. Bei einer Anwendung dieser Größe und so viel Benutzerdefinierter Autorisierungslogik waren wir sicher, dass es Probleme geben musste, die wir einfach nicht sahen“, sagte Cope CTO Alvar Markhester.
Cope wollte eine tiefere Absicherung, ohne sich ausschließlich auf seltene, zeitlich begrenzte manuelle Tests zu verlassen.
Durchführung des AI Pentest
Cope führte Aikidos KI-Penetrationstests für ihre Anwendung durch, mit detailliertem Wissen über die Struktur der Plattform, APIs und das Autorisierungsmodell über die White-Box-Option unter Verwendung von Repo-Zugriff.
In diesem Fall nutzte Cope Aikidos engste Abdeckung von 20 Angreifer-Agenten.
Angesichts der Größe des Systems und der Menge der involvierten Benutzerdefinierten Logik war es entscheidend zu verstehen, wie die Autorisierung funktionieren sollte.
„Da die Anwendung in einem großen Monorepo mit viel Benutzerdefinierter Logik lebt, machte ein Tool, das den Kontext der Autorisierungsfunktion tatsächlich verstehen konnte, einen großen Unterschied.“
Das Team beschrieb seine Mandantenmodelle, rollenbasierte Zugriffskontrollen und privilegierte Funktionalitäten, die niemals offengelegt werden sollten.
Das Ziel war klar. Sicherstellen, dass Benutzer weder Daten noch Funktionalitäten außerhalb ihres vorgesehenen Umfangs zugreifen konnten, selbst bei Edge Cases und komplexen Logikpfaden.
Was der AI Pentest fand
Obwohl der frühere manuelle Pentest keine Ergebnisse meldete, deckte Aikidos AI Pentest mehrere gültige Autorisierungsprobleme auf.
Dies umfasste einige schwerwiegende Probleme mit erheblichen Sicherheits- und Geschäftsrisiken sowie zusätzliche Probleme geringerer Priorität, die auf eine schwächere oder inkonsistente Durchsetzung hinwiesen.
Um dem Engineering-Team ein effizientes Handeln zu ermöglichen, fasste Aikido verwandte Ergebnisse zusammen. Dies ermöglichte es den Teams, ganze Problemklassen anzugehen, anstatt einzelne Probleme isoliert zu beheben.
Die Ergebnisse waren nicht oberflächlich.
Der AI Pentest deckte mehrere schwerwiegende Autorisierungsfehler in der gesamten Anwendung auf. Diese Probleme betrafen privilegierte Aktionen, gemeinsam genutzte Ressourcen und Mandantengrenzen und waren in Benutzerdefinierter Anwendungslogik und nicht in einfacher Fehlkonfiguration begründet. Alle wurden vom 120-stündigen manuellen Pentest übersehen.
„Die Ergebnisse waren keine offensichtlichen Probleme, sie waren komplex, daher waren wir von Aikido Attack super beeindruckt“, sagte Alvar.
Die Probleme erstreckten sich über verschiedene Teile der Anwendung und stammten aus Benutzerdefinierter Anwendungslogik und Legacy-Pfaden statt aus Fehlkonfiguration. Alle waren vom 120-stündigen manuellen Pentest übersehen worden.
„Es gab in diesem Fall mehr Ergebnisse als bei einem manuellen Pentest.“
Dies geschah trotz der Nutzung von Aikidos engster Abdeckung und der kurzen Testdauer – etwas mehr als zwei Stunden.
Obwohl keine davon kritisch waren, stellten die Probleme bedeutende Autorisierungsschwachstellen dar, die bei Nichtbehebung zu Datenlecks oder Missbrauch von Berechtigungen hätten führen können. Alle identifizierten Probleme wurden behoben.
Cope hat seitdem alle diese Probleme mehrfach erneut getestet und die Bestätigung erhalten, dass sie behoben wurden.
Warum der manuelle Penetrationstest Schwachstellen übersehen hat
Die externen Penetrationstester verwendeten Standard-Tools und investierten erheblich Zeit, konnten die Probleme aber dennoch nicht aufdecken.
Aus Copes Sicht lag die Einschränkung nicht im Aufwand oder Fachwissen. Es war die Skalierbarkeit.
„Es ist eine große Anwendung, daher können selbst kleine Pfade in der Codebasis innerhalb eines zeitlich begrenzten Engagements schwer zu erreichen sein.“
Im Gegensatz zu Menschen, die durch Zeit und vordefinierten Umfang eingeschränkt sind, konnten die KI-Agenten Autorisierungspfade weiter erkunden, Logik über Dienste hinweg verfolgen und Grenzfälle ohne Ermüdung erneut prüfen.
„Dies sind Probleme, die ein menschlicher Tester eventuell finden könnte, aber nicht innerhalb eines zeitlich begrenzten Engagements. Die Agenten können Pfade und Annahmen lange weiter erkunden, nachdem ein traditioneller Penetrationstest hätte aufhören müssen.“
Als Cope die KI-Ergebnisse mit dem Unternehmen teilte, das den manuellen Penetrationstest durchgeführt hatte, war das Ergebnis eindeutig.
„Als wir die Ergebnisse mit dem Unternehmen teilten, das den manuellen Penetrationstest durchgeführt hatte, war klar, dass der KI-Penetrationstest echte Probleme aufgedeckt hatte, die während des manuellen Penetrationstests einfach nicht aufgetaucht waren.“
Wie Cope seine Nutzung von Aikido Security erweitert
Wird bereits verwendet
- KI-Penetrationstests & Angriffsfläche / DAST (Aikido Attack)
- Aikido Code
- Aikido Zen Firewall (Aikido Protect)
Planung zur Ausweitung der Einführung
Als Nächstes in der Evaluierung
- Alvar ist daran interessiert, in Zukunft eine kontinuierliches Penetrationstesten-Lösung zu nutzen.
Fazit
Für Cope ging es bei KI-Penetrationstests nicht darum, menschliche Tester zu ersetzen. Es ging um Tiefe, Persistenz und Kontext.
„Die Agenten konnten den Kontext der Anwendung recht einfach verstehen, da sie alle Informationen haben“, sagte er.
Aikido Attack bot ein Maß an Sicherheit, das mit der Anwendungskomplexität skaliert und über traditionelle punktuelle Tests hinausgeht.
„Der größte Unterschied war die Tiefe. Aikido testete nicht nur Endpunkte. Es verstand, wie unser Autorisierungsmodell funktionieren sollte, und erkundete weiter, bis es echte Lücken fand, die ein traditioneller Penetrationstest übersehen hatte.“
