Auf einen Blick
- Erweiterte jährliche manuelle Penetrationstests mit KI-gesteuerten White-Box-Tests
- Identifizierung einer komplexen, selten auftretenden Schwachstelle durch kontextbezogene Untersuchung
- KI-Penetrationstests kontinuierliches Schwachstellenmanagement eingebettet
- Reduzierung der manuellen Erstellung von Sicherheitsberichte Tagen pro Monat auf Stunden
- Eingebaute Sicherheit direkt in Pull-Request-Workflows
Herausforderung
TechWolf entwickelt eine KI-gesteuerte Datenschicht, die Unternehmen dabei hilft, Jobs, Aufgaben und Fähigkeiten zu verstehen, während sie die Transformation ihrer Belegschaft vorantreiben. Im Bereich HR-Technologie zu arbeiten bedeutet, mit sensiblen geschäftlichen und persönlichen Daten umzugehen. Sicherheit ist keine Option, sondern eine Grundvoraussetzung.
TechWolf investiert seit langem in seine Sicherheitsmaßnahmen. Das Unternehmen verfügt über die ISO 27001-Zertifizierung, führt jährlich SOC 2-Audits durch, lässt jährliche externe Penetrationstests durchführen und nutzt SAST, SCA und DAST in seiner gesamten Infrastruktur.
Aber die Sicherheitsreife ist nicht statisch.
„Einer unserer Werte lautet ‚Strebe nach den Sternen‘. Für mich bedeutet das, die Sicherheitsstandards Jahr für Jahr zu erhöhen“, so Kilian, Security Operations Engineer bei TechWolf.
Mit der Zeit lieferten manuelle Penetrationstests immer weniger offensichtliche Ergebnisse. Das war ein gutes Zeichen. Dennoch war sich das Team bewusst, dass in einer wachsenden und sich weiterentwickelnden Codebasis nuancierte Randfälle innerhalb eines zeitlich begrenzten Einsatzes weiterhin schwer zu erkennen sein können.
TechWolf wollte noch einen Schritt weiter gehen.
„Obwohl wir jährlich einen manuellen Penetrationstest mit einem externen Anbieter durchführen, haben wir weniger schwerwiegende Probleme festgestellt und waren der Meinung, dass sich tiefere Risiken in der Codebasis verbergen.“
KI-Penetrationstests hinzufügen, KI-Penetrationstests das Sicherheitsprogramm zu erweitern
TechWolf entschied sich, KI-Penetrationstests Aikido KI-Penetrationstests Erweiterung seines bestehenden Programms zu testen. Die Einrichtung war unkompliziert, da die Umgebung bereits innerhalb von Aikido verbunden war.
„Ich habe weniger als 15 Minuten für die Einrichtung gebraucht. Innerhalb weniger Stunden hatten die Agenten bereits etwas Interessantes aufgespürt.“
Im Gegensatz zu einem herkömmlichen Auftrag, der durch Zeit und Umfang begrenzt ist, konnten die KI-Agenten den Kontext des Quellcodes direkt analysieren, Randfälle untersuchen und reproduzierbare Angriffspfade generieren.
„Ich glaube, die Wirksamkeit liegt darin, dass die LLM-Pentests Aikidoweitaus mehr Kontext nutzen, als ein manueller Pentester jemals könnte, insbesondere durch die Analyse des Quellcodes.“
Für TechWolf ging es nicht darum, manuelle Tests zu ersetzen. Es ging darum, sie zu ergänzen.
„Beide Ansätze haben ihre Berechtigung. KI-Penetrationstests Ausdauer und Tiefe, insbesondere in Bereichen, die innerhalb eines zeitlich begrenzten Auftrags schwerer zu erreichen sind.“
Was der KI-Pentest aufgedeckt hat
Während des Tests identifizierte der KI-PentestAikidoeine komplexe Schwachstelle, die in der Anwendungslogik begründet war.
Es handelte sich nicht um eine oberflächliche Fehlkonfiguration oder eine einfache fehlende Überprüfung. Es erforderte ein Verständnis dafür, wie bestimmte Komponenten über verschiedene Teile des Codebasis hinweg interagierten.
„Wir waren von der Tiefe beeindruckt“, sagte Kilian. „Es ging nicht darum, etwas Grundlegendes zu finden. Es ging darum, Teile der Anwendung zu erkunden, die naturgemäß schwerer zu erreichen sind.“
Die KI-Agenten erstellten eine detaillierte Angriffsanalyse zusammen mit einem Proof-of-Concept-Skript, sodass das Team das Problem schnell überprüfen und reproduzieren konnte.
„Die PoC-Skripte waren entscheidend“, sagte Kilian. „Sie beseitigen Zweifel, reduzieren Fehlalarme und erleichtern es den Ingenieuren, genau zu verstehen, was behoben werden muss.“
Für TechWolf bestätigte dies die Entscheidung, seine Teststrategie zu erweitern. Manuelle Penetrationstests bleiben ein wichtiger Pfeiler ihres Programms. KI-Penetrationstests eine Ebene kontextbezogener ErkundungKI-Penetrationstests , die die Gesamtabdeckung stärkt.
Über Pentesting hinaus: Konsolidierung der Sicherheit auf einer einzigen Plattform
Während der KI-Pentest einen unmittelbaren Mehrwert bot, ergab sich die größere Wirkung aus der Nutzung von Aikido zentrale Schwachstellenmanagement .
„Wir nutzen bereits Standard-Sicherheitstools wie SAST, SCA, DAST und herkömmliche Penetrationstests“, sagte Kilian. „Diese sind jedoch oft isoliert, was es schwierig macht, aus verschiedenen isolierten Ergebnissen Prioritäten zu setzen.“
Aikido die Ergebnisse aller Tools, einschließlich der Pentest-Ergebnisse, und priorisiert sie automatisch mithilfe seiner AutoTriage-Funktion.
„Der wichtigste VorteilAikidobesteht darin, dass wir uns dank der AutoTriage-Funktion zunächst auf die kritischsten Probleme konzentrieren können, während alle anderen Ergebnisse im Blick behalten werden.“
Die Sicherheit wird nun direkt im Entwicklungs-Workflow durchgesetzt. Pull-Anfragen können nicht zusammengeführt werden, solange ungelöste Sicherheitslücken bestehen, wodurch verhindert wird, dass Probleme überhaupt in die Produktion gelangen.
Ergebnisse
Im Laufe der Zeit wurden die betrieblichen Verbesserungen deutlich.
Vor seiner Zeit bei Aikido verbrachte Kilian viel Zeit damit, die Ergebnisse verschiedener Tools zu konsolidieren, Audit-Dokumentationen vorzubereiten und Schwachstellen manuell zu priorisieren.
Jetzt werden Schwachstellen automatisch priorisiert und den zuständigen Teams zugewiesen.
„Die bedeutendste messbare Verbesserung ist die Reduzierung des Zeitaufwands für manuelle Sicherheitsmaßnahmen“, sagte Kilian.
Messbare Verbesserungen
.png)
Fazit
Für TechWolf KI-Penetrationstests bei der Einführung von KI-Penetrationstests nicht darum, bestehende Kontrollen oder Partner zu ersetzen. Es ging darum, die Messlatte weiter anzuheben.
„Für uns geht es darum, die Messlatte kontinuierlich höher zu legen“, sagte Kilian.
Aikido uns, proaktiv zu bleiben, die richtigen Themen zu priorisieren und weniger Zeit für operative Gemeinkosten aufzuwenden.“
Durch die Kombination von jährlichen manuellen Penetrationstests mit kontextbezogenen KI-Tests und zentralisiertem Schwachstellenmanagement hat TechWolf ein bereits ausgereiftes Sicherheitsprogramm weiter gestärkt und dabei Tiefe, Transparenz und Effizienz hinzugefügt, ohne bestehende Prozesse zu stören.
