Auf einen Blick
- Führt bei Bedarf KI-Penetrationstests durch, um Kunden- und Audit-Fristen einzuhalten
- Kombiniert KI-Penetrationstests mit manuellen Penetrationstests für Geschwindigkeit und Tiefe
- Nutzt White-Box-Tests, um False Positives zu reduzieren und die Glaubwürdigkeit zu verbessern
- Liefert kundenfertige Penetrationstestberichte, ohne wochenlang zu warten
- Integriert Aikido in CI/CD und Infrastruktur für eine kontinuierliche Abdeckung
Herausforderung
Für Sunhat ist Sicherheit kein interner Prüfpunkt, sondern Teil des Produktversprechens. Sunhat entwickelt eine KI-gestützte kollaborative Nachweisplattform, die Nachhaltigkeits- und Compliance-Teams von Unternehmen dabei unterstützt, ihren eigenen Kunden, Partnern und Aufsichtsbehörden Vertrauen und Compliance nachzuweisen.
Das macht die Sicherheitslage von Sunhat direkt abhängig von Umsatz, Reputation und Abschlussgeschwindigkeit. Sunhat verkauft an große, oft multinationale Unternehmen mit hohen Sicherheitserwartungen.
Kunden fragen regelmäßig nach Nachweisen von Penetrationstests, bevor sie fortfahren.
„Ja, Kunden fragen uns direkt nach Nachweisen von Penetrationstests. Und ehrlich gesagt, würde ich an ihrer Stelle dasselbe tun.“
Ali, Mitbegründer und CTO von Sunhat
Manuelle Penetrationstests waren bereits Teil des Sicherheitsprogramms von Sunhat. Doch sie brachten ein bekanntes Problem mit sich: das Timing.
Penetrationstests dauern Wochen in der Planung und Durchführung. Berichte veralten schnell. Und während Verkaufszyklen oder Audits kann Zeitdruck die Sicherheitsvalidierung zu einem Engpass machen.
„Manche Unternehmen sind nicht zufrieden mit einem Bericht, der einige Monate alt ist“, erklärte Ali.
Sunhat wollte eine Möglichkeit, aktuelle, glaubwürdige Sicherheitsnachweise bei Bedarf bereitzustellen, ohne Kompromisse bei der Qualität einzugehen.
Warum Sunhat auf KI-Penetrationstests setzte
Sunhat nutzte Aikido bereits als Teil seines sicheren Entwicklungslebenszyklus, als KI-Penetrationstests verfügbar wurden.
„Als wir entdeckten, dass Aikido jetzt KI-basierte Penetrationstests anbietet, war ich ziemlich neugierig, es auszuprobieren“, sagte Ali. „Ich war besonders daran interessiert, es mit manuellen Penetrationstests zu vergleichen, die wir zuvor durchgeführt hatten.“
Das Ziel war nicht, manuelle Penetrationstests zu ersetzen.
„Sowohl KI-Penetrationstests als auch manuelle Penetrationstests haben ihren Platz, weshalb wir beides tun“, sagte Ali.
Stattdessen sah Sunhat KI-Penetrationstests als eine Möglichkeit, ihrem Sicherheitsvalidierungsprozess Geschwindigkeit, Flexibilität und Realismus zu verleihen.
„Für mich ist das die Art und Weise, wie Penetrationstests und Sicherheitstests in der heutigen Zeit funktionieren sollten“, fügte er hinzu.
Durchführung des AI Pentests
Der Einstieg in KI-Penetrationstests ging reibungslos vonstatten.
„Es war einfach, eigenständig mit Aikido Attack zu beginnen. Ingenieure lieben es, wenn sie keine künstlichen Hürden überwinden müssen.“
Sunhat führt White-Box KI-Penetrationstests durch, um Validität und Relevanz zu maximieren. Die KI-Agenten haben Zugriff auf den Quellcode-Kontext, was es ihnen ermöglicht, sich auf realistisches Angriffsverhalten statt auf oberflächliche Scans zu konzentrieren.
„Wir führen White-Box-Penetrationstests durch, da diese eine höhere Validität bieten. Die Einsicht in die Logs und das Verhalten der KI-Agenten gibt uns mehr Sicherheit, dass sie versuchen, so viel wie möglich abzudecken.“
Am wichtigsten ist, dass KI-Penetrationstests bei Bedarf ausgelöst werden können.
„Das Auslösen eines KI-Penetrationstests ist jetzt eine Sache von Minuten, was sie in zeitkritischen Situationen äußerst nützlich macht.“
Was der KI-Penetrationstest geliefert hat
Sunhat führt keine Penetrationstests durch, nur um eine Formalität zu erfüllen.
„Wir führen Penetrationstests nicht durch, um uns selbst zu täuschen, sondern um Probleme zu finden, bevor böswillige Akteure es tun“, sagte Ali.
Bei einem KI-Penetrationstest identifizierte Aikido eine Schwachstelle im PDF-Exportgenerierungsprozess von Sunhat.
Sunhat uses a browser-as-a-service provider to launch headless Chromium instances for PDF generation. While the team had sanitized content such as the <head> element and tightly controlled allowed HTML elements, the implementation still permitted certain active elements like <iframe> and <img>.
Aikido stellte fest, dass diese Elemente während der PDF-Generierung ausgehende HTTP-Anfragen auslösen und potenziell Server-Side Request Forgery (SSRF) sowie die Einbindung von Antworten in das generierte Dokument ermöglichen könnten.
Dies war keine oberflächliche Fehlkonfiguration. Sie war darin begründet, wie der PDF-Generierungsfluss mit dem Browserverhalten interagierte.
Um das Problem zu beheben, hat Sunhat:
- Die JavaScript-Ausführung in Puppeteer während der PDF-Generierung deaktiviert
- Externe Netzwerkanfragen mittels Request Interception blockiert
Nachdem der Fix implementiert war, löste Sunhat einen erneuten Test aus.
„Dass die KI-Agenten die Verbesserungen bestätigen, nachdem wir die Korrekturen auf unserer Seite implementiert haben, ist sehr aufschlussreich.“
Aikido erkannte die Minderung während des erneuten Tests als wirksam und bestätigte, dass der SSRF-Vektor geschlossen worden war.
„Bisher sind wir nicht auf False Positives gestoßen“, fügte Ali hinzu. „Es scheint, dass die KI-Agenten den durch unseren Quellcode bereitgestellten Kontext gut nutzen.“
Jenseits von Penetrationstests: Aikido als Sicherheitsplattform
Obwohl KI-Penetrationstests eine entscheidende Fähigkeit sind, nutzt Sunhat Aikido als breitere Sicherheitsplattform.
Aikido läuft kontinuierlich über Pull Requests und geplante Infrastruktur-Scans hinweg, im Einklang mit Sunhats automatisierungszentrierten Engineering-Kultur.
„Bei Sunhat sind wir große Befürworter der Automatisierung, und wir sind der Meinung, dass Aikido perfekt dazu passt“, sagte Ali.
Die Anleitung zur Behebung ist praktisch und kontextsensitiv, insbesondere in White-Box-Szenarien.
„Da wir White-Box-Penetrationstests durchführen, fühlen sich die Behebungsschritte präzise an. Niemand mag allgemeine Ratschläge, die nicht auf einen zutreffen.“
Diese Kombination aus kontinuierlicher Abdeckung und On-Demand-Penetrationstests ermöglicht es Sunhat, sowohl Sicherheitsrisiken als auch Kundenerwartungen stets einen Schritt voraus zu sein.
Ergebnisse
Für Sunhat lassen sich die Auswirkungen von KI-Penetrationstests am besten in Geschwindigkeit, Vertrauen und Glaubwürdigkeit messen. KI-Penetrationstests ermöglichen Sunhat:
- Schnell auf Sicherheitsanfragen von Kunden und Audits reagieren
- Bereitstellung frischer, kundenfertiger Pentest-Berichte ohne lange Vorlaufzeiten
- Fixes schnell durch automatisiertes Retesting validieren
- Sicherheit als kontinuierliche Fähigkeit statt als punktuelle Maßnahme betrachten
„Ähnlich wie unsere Kunden ihren Stakeholdern nachweisbare Belege liefern müssen, möchten wir aktuelle Nachweise über unsere Sicherheitslage erbringen, um zu beweisen, dass wir ein zuverlässiger Geschäftspartner sind“, sagte Ali.
