BreachLock ผู้นำระดับโลกด้าน Offensive Security ได้ประกาศว่าโซลูชัน Adversarial Exposure Validation (AEV) ของพวกเขาได้ขยายการรองรับการทำ Red Teaming แบบอัตโนมัติไปยัง Application Layer แล้ว จากเดิมที่รองรับเฉพาะ Network Layer เมื่อต้นปี 2025 โดย AEV ใช้ Generative AI ในการจำลองพฤติกรรมของผู้โจมตีจริง รวมถึงการ Piiroting และ Chaining Exploits เพื่อค้นหาและยืนยันช่องโหว่ที่สามารถถูกโจมตีได้จริงในแอปพลิเคชัน เช่น XSS, Code Injection, ช่องโหว่ OWASP Top 10 และข้อบกพร่องทาง Business Logic โซลูชันนี้ช่วยให้ทีมรักษาความปลอดภัยสามารถมองเห็นความเสี่ยงได้ลึกซึ้งขึ้น เพิ่มขอบเขตการทดสอบความปลอดภัย และลดความเสี่ยงที่สำคัญได้อย่างรวดเร็ว โดยเน้นไปที่การแก้ไขช่องโหว่ที่ได้รับการยืนยันแล้วว่ามีผลกระทบต่อองค์กรมากที่สุด
Severity: ข้อมูลทั่วไป/การพัฒนาด้านความปลอดภัย
System Impact:
- Web Applications
- Application Layer (including XSS, Code Injection, OWASP Top 10 vulnerabilities, business logic flaws)
Technical Attack Steps:
- AEV จำลองพฤติกรรมผู้โจมตีในโลกจริง
- วิเคราะห์การ Piiroting และ Chaining Exploits
- ระบุช่องโหว่ที่สามารถถูกโจมตีได้จริงในแอปพลิเคชัน เช่น Cross-site scripting (XSS), Code Injection, ช่องโหว่ OWASP Top 10 และข้อบกพร่องทาง Business Logic
- ยืนยันความสามารถในการใช้ประโยชน์จากช่องโหว่จริงและผลกระทบทางธุรกิจ
- นำเสนอการแสดงภาพเส้นทางการโจมตีแบบเรียลไทม์
- จัดทำรายงาน PDF ที่สอดคล้องกับ MITRE ATT&CK เพื่อการแก้ไขและปฏิบัติตามกฎระเบียบ
Recommendations:
Short Term:
- พิจารณาใช้โซลูชัน Adversarial Exposure Validation (AEV) เพื่อการทดสอบความปลอดภัยแอปพลิเคชันที่ครอบคลุมและต่อเนื่อง
- ใช้ประโยชน์จากการจำลองการโจมตีด้วย AI เพื่อระบุและยืนยันช่องโหว่ที่สำคัญอย่างรวดเร็ว
Long Term:
- ลงทุนในแพลตฟอร์ม Offensive Security ที่สามารถปรับขนาดได้และต่อเนื่อง เช่น Attack Surface Management, Penetration Testing as a Service (PTaaS), Red Teaming และ AEV
- นำข้อมูลเชิงลึกที่ขับเคลื่อนด้วยข้อมูลและ AI มาใช้เพื่อปรับปรุงท่าทีความปลอดภัยอย่างต่อเนื่อง
- ใช้รายงานที่สอดคล้องกับ MITRE ATT&CK เพื่อจัดลำดับความสำคัญของการแก้ไขและแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดด้านความปลอดภัย
Share this content: