Cisco testade Mythos i egen kod – här är säkerhetsläxan för branschen

Det nya var tempot och förmågan att se hur flera mindre brister kan bilda en attackväg.

– Det är inte en ny klass av sårbarheter. Det är sofistikeringen i hur modellerna bygger attackkedjor, säger Anthony Grieco, säkerhetschef på Cisco, under en digital pressträff.

Cisco är ett av bolagen som har haft tillgång till Mythos genom Anthropics program Project Glasswing. Bolaget har också haft tillgång till OpenAI:s cyberinriktade modeller genom programmet Daybreak.

På åtta veckor skannades 1,8 miljarder kodrader i Ciscos produktportfölj. Enligt bolaget skulle motsvarande arbete ha tagit mer än åtta år för ett mänskligt säkerhetsteam utan AI-stöd.

Cisco uppger också att andelen falska positiva fynd som skickades vidare till utvecklare låg under tre procent. Det är en viktig uppgift på ett område där säkerhetsverktyg länge har kritiserats för att skapa mer brus än användbara resultat.

Cisco uppger däremot inte hur många sårbarheter som hittades i granskningen.

Små brister kan bli större tillsammans

Cisco har inte använt modellerna fristående. Bolaget har byggt ett eget ramverk runt dem för att styra hur de letar efter, kontrollerar och bekräftar misstänkta sårbarheter.

Ramverket Foundry Security Specification har gjorts öppet tillfängligt. Tanken är att andra organisationer ska kunna bygga liknande arbetssätt ovanpå olika AI-modeller.

Anthony Grieco säger att ramverket är avgörande för att resultaten ska kunna användas i praktiken.

– Modellerna är fantastiska, men de är inte magiska. Det krävs fortfarande djup säkerhetskompetens för att driva dem, säger han.

Den främsta lärdomen är enligt Cisco att AI-modellerna kan göra säkerhetsarbetet snabbare och bredare, men inte ersätta det. De måste styras av personer som förstår både kod, hotbild och prioritering.

Patchvågen når kunderna

AI-granskningen får också konsekvenser för Ciscos egen patchhantering. Bolaget går över till två säkerhetsuppdateringar per månad och ska ge kunderna sju dagars förhandsinformation om kommande uppdateringar.

Anthony Grieco räknar med att fler leverantörer går åt samma håll.

– Jag tror att vi under de kommande 12–18 månaderna kommer att se fler patchar och sårbarhetsfixar från leverantörer i hela ekosystemet, säger han.

Det gäller enligt Cisco både kommersiell programvara, öppen källkod, Linuxdistributioner och webbläsare.

Men snabbare patchning hos leverantörerna löser inte hela problemet. Kunderna måste också kunna ta emot uppdateringarna, prioritera mellan dem, testa dem och installera dem.

Chintan Patel, teknikchef för Cisco i Europa, Mellanöstern och Afrika, säger att många kunder redan oroar sig för nästa steg.

– Det de oroar sig för är lavinen av patchar. Har vi verktygen, människorna och automatiseringen för att hantera det strukturerat?

Teknisk skuld blir svårare att bära

Enligt Cisco är gammal infrastruktur en av de största riskerna när AI höjer tempot i sårbarhetsjakten. Många organisationer använder fortfarande hårdvara och programvara som inte längre stöds av leverantören.

– Många system körs på fundament som aldrig utformades för kraven i den här miljön, säger Chintan Patel.

Ciscos råd är att börja med tre saker: inventera hela it-miljön, fasa ut produkter som inte längre stöds och prioritera patchning efter risk.

– Du kan inte skydda det du inte ser, säger Chintan Patel.

Alla sårbarheter är inte lika allvarliga. Organisationer behöver därför lägga resurserna på de brister som har störst påverkan eller som redan utnyttjas aktivt, enligt Cisco.

Bolaget lyfter också fram multifaktorautentisering, segmentering, loggning, nolltillit, automatisering och löpande testning som centrala åtgärder.

Det gäller även mindre organisationer, enligt Anthony Grieco.

– Bara för att du inte har tillgång till de senaste modellerna betyder det inte att det inte finns något du kan göra som mindre företag, säger han.