Das britische Cybersicherheitsunternehmen Glasswall, das sich auf den Schutz von Dateien mittels CDR-Technologie (Content Disarm and Reconstruction) spezialisiert hat, hat Snyk, Wiz und Black Duck durch eine einzige Aikido , erreichte innerhalb von zwei Wochen eine VC-Paket-C++-Abdeckung und führte Safe Chain in jeder Produktionspipeline ein, die mit unterstützten Paketen in Berührung kommt.
Auf einen Blick
- Ersetzt Snyk, Wiz und Black Duck durch Aikido
- Das VC-Paket mit C++-Unterstützung wird innerhalb von zwei Wochen nach der Anfrage geliefert
- AutoFix per Knopfdruck für anfällige Abhängigkeiten
- Direkte Anbindung an Azure DevOps-Repositorys und container
- Konsolidierter Code, Abhängigkeiten und container in einer Plattform
- Safe Chain wird in jeder Produktionspipeline eingesetzt, die mit den unterstützten Paketen in Berührung kommt
- Bewertung KI-Penetrationstests als nächste Entwicklungsstufe offensiver Tests
Herausforderung
Chris Holman leitet den Bereich Anwendungssicherheit bei Glasswall, einem britischen Cybersicherheitsunternehmen, das sich auf den Schutz von Unternehmen vor dateibasierten Bedrohungen spezialisiert hat. Als Cybersicherheitsanbieter hat Glasswall seine AppSec mit derselben Sorgfalt geprüft, die es auch bei seinen eigenen Produkten anwendet.
Als Chris die Position übernahm, hatte sich AppSec von Glasswall im Laufe der Zeit schrittweise auf mehrere Anbieter ausgeweitet.
Snyk Scan von Softwareabhängigkeiten. Wiz übernahm die Analyse auf Code-Ebene. Black Duck übernahm die Open-Source-Governance. SonarQube übernahm die Codequalität. Jedes Tool löste ein spezifisches Problem, doch zusammen führten sie zu operativer Komplexität. Entwickler hatten bereits schlechte Erfahrungen mit Tools gemacht, die Ergebnisse lieferten, denen sie nicht trauen konnten, und das Sicherheitsteam verbrachte seine Zeit damit, Signale von Rauschen zu trennen, anstatt Probleme zu beheben.
„Wir hatten Snyk, Wiz und Black Duck in verschiedenen Bereichen des Unternehmens im Einsatz. Jedes für sich genommen war ein gutes Tool. Zusammen waren sie ein einziges Chaos.“
Die Überschneidungen zwischen den verschiedenen Tools führten zu doppelten Ergebnissen, einer uneinheitlichen Priorisierung und einem wachsenden Verwaltungsaufwand. Der Aufwand für die Beschaffung hatte zudem den Nutzen, den das Team daraus zog, bei weitem überstiegen.
Gleichzeitig stellte die C++-Umgebung des Teams eine weitere Herausforderung dar. Glasswall stützt sich stark auf VC Package, ein System zur Abhängigkeitsverwaltung, das von vielen modernen Scannern nur unzureichend oder gar nicht unterstützt wurde. Das Team benötigte eine Testabdeckung, die direkt mit ihrer Umgebung kompatibel war, anstatt die Entwicklerteams zu Umgehungslösungen zu zwingen.
„Unsere Umgebung ist stark auf das VC-Paket angewiesen. Die meisten Scanner, die wir getestet haben, unterstützten es entweder gar nicht oder nur unzureichend. Aikido , es bereitzustellen, und hat es innerhalb von zwei Wochen geliefert.“
Lösung
Für Chris waren die Ausführungsgeschwindigkeit und die Reaktionsfähigkeit die wichtigsten Unterscheidungsmerkmale.
Während größere Anbieter nach vierteljährlichen Release-Zyklen arbeiteten, Aikido angeforderte Funktionen innerhalb weniger Wochen Aikido . Die Unterstützung für VC Package wurde zum deutlichsten Beispiel dafür. Nachdem Glasswall den Bedarf angemeldet hatte, Aikido innerhalb von zwei Wochen eine produktionsreife Lösung. Diese Reaktionsschnelligkeit veränderte die Bewertung sofort.
Glasswall führte während des Evaluierungsprozesses Aikido zu Wiz auf derselben Produktionscodebasis aus. Die Ergebnisse waren so ähnlich, dass die wirtschaftlichen Vorteile kaum zu übersehen waren.
„Wir haben Aikido Wiz parallel getestet. Die Ergebnisse waren vergleichbar, und Aikido nur einen Bruchteil. In diesem Moment fiel die Entscheidung.“
Aikido wurde Aikido direkt in die Azure DevOps-Repositorys und container von Glasswall integriert, wodurch das Team einen zentralen Überblick über Code, Abhängigkeiten und Container erhielt.
Die Umsetzung verlief im gleichen Tempo. Innerhalb eines einzigen Tages gelang es Glasswall, von einer Situation ohne Aikido zu einer vollständigen Abdeckung aller Pipelines zu gelangen. Die Anbindung von Azure-Repos und container erfolgte mit einem einzigen Klick, anstatt Pipeline-Vorlagen erstellen oder CLI-Tools manuell einbinden zu müssen – ein entscheidender Vorteil für ein kleines DevSecOps , in dem Entwicklungszeit die knappste Ressource ist.
Glasswall hat außerdem Aikido Chain“ in allen Produktionspipelines eingeführt, die mit unterstützten Paketen zu tun haben. Nach den jüngsten Vorfällen in der Lieferkette, die gezeigt haben, wie schnell sich bösartige Pakete verbreiten können, überprüft „Safe Chain“ Abhängigkeiten vor der Installation, anstatt sich ausschließlich auf öffentliche CVE-Datenbanken zu verlassen.
„Man kann sich nicht einfach auf öffentliche CVE-Datenbanken verlassen, um festzustellen, ob ein Problem in Ihrem Paket vorhanden ist oder nicht. Man muss das Paket dann selbst genauer unter die Lupe nehmen und sicherstellen, dass es sicher ist, bevor man es installiert.“
Bei der Aktualisierung anfälliger Abhängigkeiten hat Glasswall den manuellen Entwicklungsaufwand erheblich reduziert. Entwickler können nun sowohl den Befund als auch den Behebungsweg im selben Workflow einsehen, wobei automatisierte Pull-Anfragen direkt von Aikido generiert werden.
„Bei den meisten anfälligen Abhängigkeiten genügt ein Knopfdruck. Der Pull-Request ist da, der Test ist da, man führt ihn zusammen.“
Für Glasswall war die Roadmap ebenso wichtig wie die aktuelle Funktionalität. Als Cybersicherheitsunternehmen bewertete das Team nicht nur, wie AppSec heute aussehen, sondern auch, wohin sich offensive Sicherheitstests in den nächsten Jahren entwickeln werden. KI-Penetrationstests dabei als wichtiges Signal hervor. Für Chris zeigte dies, dass Aikido über traditionelle Scan-Workflows hinaus Aikido und darüber nachdachte, wie sich offensive Sicherheitstests in den kommenden Jahren weiterentwickeln werden.
„Was ihr mit eurem KI-Penetrationstests macht, wird zur neuen Norm werden. Bug-Bounty ist keine aussterbende Kunst, aber viele Forscher setzen mittlerweile KI ein. Warum sollten wir nicht selbst KI nutzen, um Schwachstellen zu finden?“
Warum sich Glasswall für Aikido entschieden hat
Letztendlich waren mehrere Faktoren ausschlaggebend für diese Entscheidung:
- VC-Paket und C++-Unterstützung innerhalb von zwei Wochen bereitgestellt
- Native Integrationen mit Azure DevOps und container
- Ergebnisse, die mit denen von Wiz vergleichbar sind, zu deutlich geringeren Kosten
- Integration der Codequalität in dieselbe Plattform
- AutoFix per Knopfdruck zur Behebung von Abhängigkeiten
- Ein auf KI-gestützte Offensivtests abgestimmter Fahrplan
Ergebnisse
Das auffälligste Ergebnis war die Konsolidierung. Snyk, Wiz und Black Duck wurden durch eine einzige Aikido ersetzt, die Code, Abhängigkeiten und Container abdeckt. Die Auswirkungen gingen über Einsparungen bei der Beschaffung hinaus. Die Konsolidierung reduzierte die Komplexität des Betriebs, vereinfachte die Priorisierung und verschaffte dem Sicherheitsteam einen einheitlichen Workflow anstelle einer fragmentierten Tool-Landschaft, die sich über mehrere Anbieter erstreckte.
Glasswall baut zudem seine Abdeckung auf weitere Angriffsflächen aus. Eine der nächsten Prioritäten ist die Absicherung der Build-Agent-Infrastruktur selbst.
„Build-Agenten sind unser oberstes Ziel. Es ist von entscheidender Bedeutung, dass wir sie mit einem echten mehrschichtigen Sicherheitskonzept schützen. Der Einsatz von Aikido Protection für unsere Build-Agenten würde die Sicherheit des gesamten Ökosystems gewährleisten.“
Für Chris sind KI-gestützte offensive Tests eine der wichtigsten Entwicklungen, die derzeit im Bereich der Anwendungssicherheit stattfinden.
KI-Penetrationstests zur neuen Norm werden. Viele Forscher nutzen bereits KI, um Schwachstellen zu finden. Sicherheitsteams müssen denselben Ansatz verfolgen.“
Wie Glasswall Aikido einsetzt
Derzeit im Einsatz
- SAST SCA
- VC-Paket / C++-Abdeckungsgrad
- Container Scannen
- Secret Detection
- Code-Qualität
- „Safe Chain “ zum Schutz der Lieferkette
- KI-AutoFix
- Integrationen mit Azure DevOps und container
Als Nächstes: Planung
- Aikido-Geräteschutz für Build-Agenten
Bewertung
Fazit
„Für uns steht der menschliche Ansatz im Vordergrund. Wir brauchen einen Partner, der mit unserem Tempo mithalten kann, und Aikido genau das.“
