Blog 5 vragen die elke CISO over Mythos zal krijgen

Mythos heeft duizenden nieuwe kritieke kwetsbaarheden aan het licht gebracht. Hieronder volgen de vijf vragen die elke CISO zal krijgen, en hoe u ze kunt beantwoorden.

Als u de afgelopen weken wel eens om 3 uur ’s nachts wakker bent geworden en in gedachten uw omgeving hebt doorgenomen (de verouderde systemen, de open-source-afhankelijkheden waar al jaren niemand meer naar heeft omgekeken, de software van derden die u via overnames hebt geërfd), dan bent u niet de enige.

Elke CISO met wie ik heb gesproken sinds Anthropic hun Mythos LLM openbaar heeft gemaakt, heeft dezelfde mentale inventarisatie gemaakt.

Met behulp van Mythos heeft Project Glasswing duizenden voorheen onbekende kritieke kwetsbaarheden aan het licht gebracht in besturingssystemen, browsers en infrastructuurlagen. Dat is het deel dat de krantenkoppen heeft gehaald.

Het moeilijkste deel begint om 3 uur ’s nachts. Hoewel er in onze omgeving niets is veranderd, is het risico waaraan we worden blootgesteld exponentieel toegenomen. Kwetsbaarheden die voorheen niet op realistische wijze konden worden misbruikt, kunnen nu door Mythos aan elkaar worden gekoppeld om elke omgeving te compromitteren waarin ze een eerste voet aan de grond kunnen krijgen.

Dit kan niet worden tegengehouden door simpelweg de toegang tot Mythos te beperken. Meer modellen zullen in de toekomst over deze ingebouwde mogelijkheden beschikken. Het heeft ook één ding duidelijk gemaakt: AI heeft dit kwetsbare punt gecreëerd en AI zal een rol moeten spelen in de manier waarop we ons hiertegen verdedigen.

Dit is wat ik heb geleerd door sinds april vragen te beantwoorden. De ‘3 uur ’s nachts’-versie hiervan loopt ten einde zodra de patches worden uitgebracht. De ‘daglicht’-versie is wat u nu kunt vormgeven.

Als u precies weet wat uw raad van bestuur, uw juridische team en uw toezichthouders gaan vragen en u hebt een verdedigbaar, praktisch antwoord paraat, dan bent u niet langer het slachtoffer van deze reactie, maar neemt u het heft in eigen handen.

Dit zijn de vijf vragen die het belangrijkst zijn:

Ten eerste: wat Mythos nu eigenlijk heeft gedaan

Project Glasswing was een samenwerkingsverband voor gecontroleerde openbaarmaking. Anthropic stelde zijn meest geavanceerde AI-model, Mythos, ter beschikking aan een selecte groep technologieleveranciers, zodat zij hun eigen broncode konden scannen op kwetsbaarheden voordat deze openbaar zouden worden gemaakt..

Het resultaat: duizenden tot nu toe onbekende kritieke kwetsbaarheden die zijn ontdekt in de belangrijkste besturingssystemen, browsers, edge-apparaten en infrastructuurlagen. Mythos analyseerde de broncode rechtstreeks op blauwdrukniveau en bracht zo tekortkomingen aan het licht die al jaren en in sommige gevallen zelfs decennia, in de productieomgeving aanwezig waren.

De patches komen eraan. De vraag is of uw organisatie er klaar voor is om ze te installeren.

Vraag 1: "Hoe groot is ons risico, en beschikken we überhaupt wel over een nauwkeurige inventaris van onze activa?"

Dit is meestal de eerste vraag, en vaak ook de moeilijkste om eerlijk te beantwoorden. Mythos heeft de criteria veranderd op basis waarvan kwetsbaarheden belangrijk worden geacht: het kan Algemeen bekende kwetsbaarheden en blootstellingen (CVE’s) met een gemiddelde en lage ernst aan elkaar koppelen om dezelfde toegang te verkrijgen als een kritieke exploit, wat betekent dat uw achterstand ineens een stuk relevanter is geworden.

Als u de vraag van uw leidinggevenden over de blootstelling niet kunt beantwoorden, komt dat meestal doordat continue zichtbaarheid van bedrijfsmiddelen niet als een bedrijfskritische capaciteit is beschouwd. In de meeste omgevingen waarin ik heb gewerkt, is een klein deel van de kwetsbaarheden verantwoordelijk voor het overgrote deel van het daadwerkelijke organisatorische risico. U moet weten met welke kwetsbaarheden u vandaag te maken hebt, niet met die van het afgelopen kwartaal.

En de berekeningen worden nog ingewikkelder als u rekening houdt met de hoeveelheid patches die u van uw OEM en infrastructuurleveranciers ontvangt. Elk besturingssysteem, elke browser en elke platformlaag heeft te maken met dezelfde rapportagestroom, en dat zal de risicobeoordelingsmethoden die de meesten van ons het afgelopen decennium hebben gebruikt snel doen veranderen.

Het antwoord aan uw leidinggevendenis een actueel blootstellingscijfer met een bijbehorende datum, een met naam genoemde eigenaar voor wat er nog gedaan moet worden en een scoringsmethode die is ontwikkeld voor aaneengeschakelde kwetsbaarheden.

Vraag 2: "Kunnen we snel genoeg patches uitbrengen, op grote schaal, zonder de productie te verstoren?"

Het antwoord hierop is idealiter ja … maar misschien niet met de huidige processen. De meeste organisaties werken met maandelijkse of driemaandelijkse patchcycli, een ritme dat is afgestemd op een tijdperk waarin bedreigingen zich langzaam verspreidden. Zodra er een patch uitkomt, begint de klok voor iedereen te tikken, ook voor de cybercriminelen die de patch reverse-engineeren om de onderliggende kwetsbaarheid te vinden.

Snelheid alleen leidt tot problemen. In organisaties waar één persoon verantwoordelijk is voor IT, beveiliging en een half dozijn andere taken, kan een mislukte implementatie op het verkeerde moment dagenlange uitval tot gevolg hebben. Wat wel werkt, is het opzetten van een systeem voor het reageren op patches, waarbij prioriteit wordt gegeven aan de kritieke bedrijfsmiddelen, in combinatie met gecoördineerd wijzigingsbeheer en escalatieprocedures. Dat is een nieuw bedrijfsmodel, afgestemd op het tempo dat de huidige dreigingen vereisen.

Wat u hiermee terugbrengt naar het management is precies dit: een duidelijk omschreven SLA voor uw meest kritieke bedrijfsmiddelen, een gedocumenteerde prioritering voor de rest en een protocol voor verandermanagement dat een daadwerkelijke implementatie ondersteunt.

Vraag 3: "Wat zit er verborgen in onze open-source- en software van derden? "

Elke ervaren CISO kent het eerlijke antwoord: nee, en daar moeten we goed op letten. Denk maar aan Log4j. Kwaadwillenden hadden jaren voordat iemand het doorhad kwetsbaarheden in die bibliotheek ingebouwd; deze werd door duizenden organisaties gebruikt, waarvan er vele de bibliotheek hadden geïntegreerd in software die ze aan klanten hadden geleverd. De kwetsbaarheid werd niet ontdekt. Ze was al overal aanwezig.

Project Glasswing bracht dezelfde realiteit op grotere schaal aan het licht. Kwetsbaarheden zitten verborgen in de open-sourcebibliotheken die uw ontwikkelaars jaren geleden hebben geïmporteerd, in integraties van derden die u via overnames hebt verkregen en in de pakketten waarop uw webinfrastructuur draait.

Als u geen software-stuklijst (SBOM) voor uw omgeving hebt, weet u niet wat u precies in huis hebt. Wat u mee terugneemt naar die vergaderruimte is een SBOM in ontwikkeling, een op prioriteit gerangschikte lijst van uw meest risicovolle afhankelijkheden en een overzicht van leverancierscontacten dat klaar is voordat de volgende openbaarmaking plaatsvindt.

Vraag 4: "Beschikken we over de technische capaciteit om onze eigen achterstand weg te werken??"

Dit is de vraag die niemand hardop aan zijn leidinggevenden wil stellen, maar die iedereen wel in gedachten heeft. Voor het verhelpen van beveiligingsproblemen zijn bekwame mensen nodig, en het tekort aan beveiligingstalent wordt door Glasswing nog nijpender. Bij de meeste organisaties zijn de mensen die dit werk zouden kunnen doen al volledig bezet.

Als er een tekort is aan technische capaciteit is het beste wat u kunt doen, dat duidelijk erkennen. Schakel externe hulp in, maak keiharde prioriteiten om interne teams te laten focussen op de taken met het hoogste risico en bouw voortaan ‘secure-by-default’-werkwijzen in het ontwikkelingsproces in. De organisaties die hier het beste uitkomen zijn de organisaties die nu realistische beslissingen nemen over hun capaciteit.

Wat bij het management werkt, is het maken van een eerlijke berekening: het aantal benodigde uren, de kloof tussen dat aantal en de capaciteit van uw team en het concrete plan dat u uitvoert om die kloof te dichten.

Vraag 5: "Als een patch vertraging oploopt, kunnen we de kwetsbaarheid dan opsporen en indammen?"

Dit is de harde realiteit: niet elke patch zal op tijd klaar zijn. Het managemnt weet dit. De juridische afdeling weet dit. De vraag die ze eigenlijk stellen is: wat is het vangnet?

Zero Trust is altijd gebaseerd geweest op het principe van ” ga uit van een inbreuk” en de meeste organisaties hebben andere aspecten ervan al jaren geleden geïmplementeerd. Dit is het moment waarop “ga uit van een inbreuk” niet langer een planningsconcept is, maar een operationele houding wordt. Continue monitoring, proactieve opsporing van bedreigingen en het indammen van incidenten binnen minuten, niet binnen uren.

Als uw detectie-tot-isolatie-cyclus in uren wordt gemeten, zijn de cybercriminelen u al een stap voor. Het verdedigbare antwoord is uw huidige gemiddelde tijd tot inperking (Mean Time to Contain), de doelstelling waar u naartoe werkt en een programma voor het opsporen van bedreigingen dat is afgestemd op de blootstellingsoppervlakken van Mythos.

De vragen stapelen zich op. De antwoorden ook.

Geen van deze vijf vragen staat op zichzelf. Een gebrek aan inzicht in de activa versterkt het probleem van het patchen. Een vertraging bij het patchen creëert een detectievenster. Een niet-gescande toeleveringsketen betekent dat u mogelijk risico’s loopt waar u zich nog niet eens bewust van bent. Dat versterkende effect is de reden waarom het aanpakken van risico’s op deze schaal vereist dat er continu inzicht is, gecoördineerd patchen plaatsvindt, de toeleveringsketen wordt gescand, er technische capaciteit beschikbaar is en detectie parallel wordt uitgevoerd.

Dat betekent dat we op AI-snelheid moeten werken. Mythos heeft aangetoond waartoe AI in staat is op aanvallend vlak. Op verdedigend vlak moeten we hieraan gelijke tred houden, door AI-tools en automatisering te integreren in elke stap van onze herstelmaatregelen. Dat is de enige manier waarop we de tegenstanders voor kunnen blijven in plaats van voortdurend achter de feiten aan te lopen.

De kans is reëel en de vragen komen nu al binnen. Zorg ervoor dat u meer dan alleen een antwoord paraat hebt.

Hoe we deze vragen intern in kaart hebben gebracht

Als u zich afvraagt hoe u deze antwoorden in de praktijk kunt brengen, volgt hier hoe wij dat hebben aangepakt. De vijf bovenstaande vragen sluiten rechtstreeks aan bij vijf functionele capaciteiten, die we eerst voor onszelf hebben ingezet en vervolgens voor klanten hebben gebundeld onder de naam Insight Managed Exposure Defense. Als u uw risicopositie evalueert of intern een businesscase opstelt, ziet u hier hoe deze met elkaar samenhangen:

"Hoe groot is ons risico en beschikken we over een nauwkeurige inventaris van onze activa?"

• Beheer van blootstelling aan voortdurende bedreigingen: Realtime inzicht in uw assets, risicogebaseerde prioritering van kwetsbaarheden en dagelijkse scans, zodat u werkt op basis van een actueel beeld van uw omgeving

"Kunnen we snel genoeg en op grote schaal patches aanbrengen zonder de productie te verstoren?"

• Managed Patch: SLO-gestuurde herstelmaatregelen met een beoordeling van de kritieke assets, gecoördineerd wijzigingsbeheer en escalatieprocedures voor kritieke bevindingen, waarbij uw team niet hoeft te kiezen tussen snelheid en stabiliteit.

"Wat zit er verborgen in onze open-source- en software van derden?"

• Software Supply Chain & OSS risico: Voortdurende analyse van open-sourcebibliotheken, het opstellen van software-BOM’s (Bill of Materials) en het monitoren van afhankelijkheidsrisico’s, zodat u de vraag over de toeleveringsketen kunt beantwoorden op basis van onderbouwde gegevens.

"Beschikken we over de technische capaciteit om onze eigen achterstand weg te werken?"

• Outsourcing van softwareontwikkelaars: Beveiligingsgerichte engineering-middelen die de capaciteit van uw interne team vergroten zonder extra personeel aan te nemen, speciaal ontwikkeld voor het soort backlog dat Glasswing opbouwt

"Als een patch vertraging oploopt, kunnen we de kwetsbaarheid dan opsporen en indammen?"

• Managed XDR: 24/7 SOC monitoring, proactieve opsporing van bedreigingen en de mogelijkheid om deze binnen enkele minuten in te dammen, zodat de detectiedekking de leemte opvult terwijl de herstelmaatregelen worden ingezet.

De reden waarom deze vijf diensten als een geïntegreerd geheel functioneren en de reden waarom we ze momenteel allemaal zelf beheren, is dat de vraagstukken elkaar versterken en daarmee ook het risico dat ontstaat als we ze stukje bij beetje aanpakken.

Of u deze capaciteiten nu intern opbouwt, inkoopt of samenwerkingsverbanden aangaat om de hiaten op te vullen, het doel blijft hetzelfde: één samenhangende aanpak voor alle vijf. Dit is het moment om hieraan te werken.