Blogs

De rol van autonome agents binnen pentesting

De rol van autonome agents binnen pentesting

Geautomatiseerd versus autonoom

Toen IBM (met Deep Blue) vele jaren geleden tegen Kasparov schaakte, zijn er niet 40 miljoen schaakspellen voorgeprogrammeerd; nee, er werd naar elk stuk op het bord gekeken om de volgende beste zet te bepalen voor het behalen van een bepaald doel.
Geautomatiseerde pentesten, zoals verouderde Breach & Attack Simulation (BAS) producten, probeerde beveiligingstesten te automatiseren, iets wat een bijna onmogelijke taak is. In feite worden er runbooks gemaakt. Er zijn te veel mogelijke combinaties en het onderhouden van deze runbooks wordt een last. Ook zal de gebruiker van de runbooks een stuk meer ervaring moeten hebben om uitkomsten goed te interpreteren en de juiste vervolgstappen te nemen.

Autonome agents

Autonome agents zijn in de basis agents (lees hosts) die zelfstandig een omgeving kunnen inventariseren en op basis van die inventarisatie zelfbepaalde acties binnen die omgeving kunnen ondernemen om een reeks doelen te bereiken.

Autonome agents in pentesting

“Autonome agents” is het nieuwe populaire buzzword (na GPT) en NodeZero is de eerste “autonome agent voor pentesting”. NodeZero kan zonder enige voorkennis en zonder het maken van aanpassingen binnen het bedrijfsnetwerk, zelfstandig in een omgeving worden geplaatst. NodeZero zal de volledige omgeving en alle actieve hosts inventariseren en zal vervolgens zelf beslissingen nemen om doelen te bereiken zonder enige menselijke tussenkomst.

Besluitvorming in autonome systemen is geoptimaliseerd om specifieke doelen te bereiken. In het geval van autonoom pentesten waren de oorspronkelijke doelen waar NodeZero voor is geoptimaliseerd de volgende:

  1. Een domeinbeheerder (Domain Admin) worden.
  2. Kritieke componenten compromitteren om verder te kunnen doordringen binnen het netwerk.
  3. Domeingebruikers compromitteren zodat NodeZero toegang heeft tot hun gegevens en systemen.
  4. Zoeken naar gevoelige gegevens die NodeZero kan gebruiken en exfiltratie van data.
  5. De perimeter doorbreken.
  6. …. en nog verschillende andere.

Vervolgens vond er een zeer belangrijke ontwikkeling plaats. NodeZero “evolueerde” van het vinden van losse kwetsbaarheden zoals BlueKeep of ZeroLogon naar het aan elkaar koppelen van 5 tot 10 verschillende kwetsbaarheden verspreid over vele machines en diep verborgen tussen de meer dan 50.000 verschillende hosts. NodeZero is nu methodisch aan het werk en in staat om complexe aanvalspaden succesvol uit te voeren en de doelen van een aanvaller te bereiken.

In 2015 ontstond er een kerkhof van BAS-investeringen omdat geautomatiseerd pentesten gewoon niet goed werkt.

In 2020 was Horizon3.ai met NodeZero uniek in het leveren van een autonoom pentesting platform gebaseerd op het “goal-oriented decision making framework”

In 2023 lijkt de markt (en de hype) klaar te zijn voor autonome systemen zoals NodeZero.

Het grote concurrentievoordeel van NodeZero is de geanonimiseerde trainingsdata die verzameld wordt na elke pentest. En er zijn inmiddels heel veel pentesten uitgevoerd, meer dan de top 10 adviesbureaus gecombineerd. Stel je eens voor wat een krachtig platform je hebt als al die trainingsdata goed gebruikt wordt!

Door: Arjan Vermeulen | Senior Consultant & Service Manager Cybersecurity

#Horizon3.ai #NetBoss #NodeZero #ai #autonomous #pentest #infosec #cybersecurity #ciso

Share this
Tweet this
Email this