اتلانتا -
بالاعتماد على منهجية PASTA المتمحورة حول المخاطر وعقدين من العمل في مجال الأمن الهجومي المعتمد، تتيح هذه المنصة المتكاملة للمؤسسات نمذجة التهديدات في دورة عمل أمنية سريعة، ثم إثبات المخاطر من خلال اختبارات يقودها الذكاء الاصطناعي مع إشراف بشري.
(BUSINESS WIRE )-- اعلنت اليوم شركة VerSprite، الشركة الرائدة عالميًا في نمذجة التهديدات القائمة على المخاطر والشركة المطورة لمنهجية PASTA (عملية محاكاة الهجوم وتحليل التهديدات)، عن التوفر العام لـ Fork (www.forktm.com)، وهي منصة مستمرة لنمذجة تهديدات التطبيقات، جنبًا الى جنب مع Knife، وهي منصة اختبار عدائي يقودها الذكاء الاصطناعي مع اشراف بشري لتطبيقات الويب ونقاط نهاية واجهة برمجة تطبيقات الويب. معًا، تُفعّل هاتان الأداتان نموذجًا جديدًا لأمن المنتجات، حيث يتم تصميم التطبيقات بشكلٍ آمنٍ، ونمذجة تهديداتها بشكلٍ مستمرٍ، واختبارُها بفاعليةٍ كجزءٍ من عملية البناء ذاتها.
يعالج هذا الإطلاق مشكلة يعرفها كل قائد أمن ولكن قلة من الأدوات حلتها، وهي أن نمذجة التهديدات ضرورية، ولاسيما في عصر الذكاء الاصطناعي، إلا أنها ظلت بطيئة ويدوية ومرتبطة بأطر عمل صممت لمشهد تهديدات مختلف.
المشكلة: أصبح نمذجة التهديدات أكثر أهمية من أي وقت مضى، ومعظم الأدوات عالقة في عام 2005
على مدى عقدين من الزمن، اعتمدت نمذجة تهديدات التطبيقات بشكل كبير على STRIDE، وهو اختصار تصنيفي لانتحال الهوية، والتلاعب، وإنكار المسؤولية، والكشف عن المعلومات، وحجب الخدمة، ورفع الصلاحيات. تُعدُّ STRIDE مفيدةً لتصنيف التهديدات في مجموعات، لكنها لم تكن يوماً منهجيةً. فهي لا تستوعب معلومات التهديدات الفورية، ولا تزن التأثير التجاري، كما أن فئاتها الثابتة لا تقدم شيئاً عن سلوكيات المهاجمين التي تحدد المخاطر اليوم، مثل الاستمرارية، والابتزاز، وبرامج الفدية المزدوجة، واختراق سلسلة التوريد، وأسطح الهجوم المبتكرة التي تقدمها التطبيقات المعتمدة على الذكاء الاصطناعي.
والنتيجة هي عنق زجاجة مألوف. يتم التعامل مع نمذجة التهديدات على أنها تمرين لمرة واحدة مثقل بالوثائق يسقط بعد فوات الأوان في دورة الحياة، ويتقادم في اللحظة التي يتغير فيها التطبيق، ونادراً ما يتصل بالاختبار الذي من شأنه أن يتحقق بالفعل مما إذا كان التهديد حقيقيًا. نظرًا لأن المؤسسات تشحن بشكل أسرع وتتبنى الذكاء الاصطناعي عبر المكدس، فإن الفجوة بين مدى سرعة تطور البرامج ومدى بطء نمذجتها أصبحت تشكل خطرًا ماديًا.
الحل: نمذجة التهديدات التي تركز على المخاطر بسرعة فائقة
تُعد Fork تطبيقًا عمليًا ومدفوعًا بالبرمجيات لمنهجية PASTA، وهي منهجية نمذجة التهديدات الوحيدة المتمحورة حول المخاطر والموائمة للأعمال، والتي شارك في تأليفها مؤسس شركة VerSprite ورئيسها التنفيذي Tony UcedaVelez. بدلاً من تصنيف التهديدات بشكل نظري، تنتقل مراحل PASTA السبع من أهداف الأعمال عبر سطح الهجوم، وتحليل مكونات التطبيق، وتحليل التهديدات، وتحليل نقاط الضعف والثغرات، ونمذجة الهجوم، وأخيرًا تحليل المخاطر والتأثير، بحيث تكون التهديدات التي تظهر هي الأكثر احتمالاً للوقوع والأكثر ضرراً في حال حدوثها.
تجلب Fork هذه الصرامة إلى إيقاع التطوير الحديث، مما يُمكّن الفرق من إنتاج نموذج تهديد يمكن الدفاع عنه وتحديد أولويات المخاطر في أقل من ساعتين وإبقائه محدثًا من Sprint 1 فصاعدًا. تشمل القدرات الرئيسية ما يلي:
أشجار هجوم مُسرّعة بالذكاء الاصطناعي. تعمل قدرات الذكاء الاصطناعي في Fork على تقليص شجرة الهجوم للتطبيق بذكاء، مما يزيل الضوضاء ويركز جهود المحللين على المسارات القابلة للتنفيذ وذات التأثير العالي بدلاً من المسارات النظرية الشاملة.
النماذج السياقية المستنيرة بالتهديدات. تعمل Fork على إثراء كل نموذج بمعلومات حية عن التهديدات السيبرانية، وأحدث بيانات الثغرات الأمنية عبر مجموعة التكنولوجيا الكاملة للمنتج، وناقلات الهجوم القابلة للتطبيق التي يتم إثباتها من خلال اختبارات الخصومة الحقيقية.
التصنيفات المتوافقة مع الصناعة. تربط المنصة تلقائيًا النتائج بأطر MITRE وOWASP الموثوقة - بما في ذلك CWE وCVE مع تسجيل EPSS وCAPEC وATT&CK وD3FEND وASVS، لدفع عمليات التخفيف المستهدفة والدفاعية.
صيغة خاصة لحساب المخاطر المتبقية. مع اكتمال الاختبارات وتغير الظروف، تعيد Fork حساب المخاطر المتبقية حتى يكون لدى القادة دائمًا رؤية دقيقة وحديثة للتعرض.
اللوحة الزجاجية الواحدة. تتقارب تهديدات الصناعة وسطح هجوم التطبيق ومعلومات التهديد في وجهة نظر موحدة وتعاونية لأصحاب المصلحة في الأمن والهندسة والمنتج والأعمال.
من المخطط إلى الإثبات: نقدم لكم Knife
تحدد نمذجة التهديدات مسارات الهجوم الأكثر أهمية. بينما تُثبتها Knife.
تُطلق VerSprite منصة Knife، وهي منصة عدائية للتطبيقات الويب ونقاط نهاية واجهة برمجة تطبيقات الويب يقودها الذكاء الاصطناعي مع اشراف بشري، تم تدريبها على مدى اكثر من 20 عامًا من العمل الامني الهجومي المعتمد والمعترف به في الصناعة من فريق BREAKERS OffSec التابع لشركة VerSprite. حيث تعمل Fork كمخطط للاختبار العدائي، تقوم Knife بالتنفيذ وفقاً لهذا المخطط، مما يجمع بين نطاق وسرعة الذكاء الاصطناعي وإشراف الخبراء البشر للتحقق من قابلية الاستغلال بدقة تحاكي الواقع.
يغلق التكامل الحلقة التي فصلت منذ فترة طويلة نمذجة التهديد عن الاختبار. من داخل نموذج تهديد Fork، يمكن للفرق أن تطلب اختبارًا مستهدفًا عند الطلب لنقاط ضعف وأنماط هجوم محددة. تُجري Knife التقييم؛ وتتدفق النتائج عائدةً إلى النموذج؛ وتُحدّث Fork المخاطر المتبقية للمنتج تلقائياً. تتوقف نمذجة التهديدات والاختبارات العدائية عن كونها أحداثاً تسلسلية ومنفصلة لتصبح نظاماً مستمراً ومُحدثاً ذاتياً.
نموذج تشغيلي جديد: عمليات أمن الذكاء الاصطناعي
"مستقبل أمن المنتجات والبرمجيات هو نموذج متكامل لعمليات أمن الذكاء الاصطناعي، حيث يتم تصميم المنتجات واختبارها بشكل آمن كجزء من عملية البناء الوظيفي، وليس إضافتها لاحقاً. لقد منحت STRIDE الصناعة مفردات. ومنحتها PASTA منهجيةً. تمنح Fork وKnife الصناعة الآن سرعة تشغيلية، من خلال نمذجة التهديدات المستمرة والاختبارات المتكاملة التي يقودها الذكاء الاصطناعي، والتي تُواكب كيفية بناء البرمجيات فعلياً وكيفية تصرف المهاجمين في الواقع".
— Tony UcedaVelez، الرئيس التنفيذي ومؤسس شركة VerSprite والمشارك في تأليف منهجية PASTA
الرؤية التشغيلية من خلال التكاملات العميقة
صُمِّمت Fork لتعزيز أدوات الأمان التي تستخدمها المؤسسات بالفعل، وليس لاستبدالها. من خلال التكامل عبر منظومة أمن التطبيقات، والتي تشمل اختبار أمن التطبيقات الساكن، واختبار أمن التطبيقات الديناميكي، وتحليل تكوين البرمجيات، وفحص الثغرات الأمنية، ووضعية الأمن السحابي، وإدارة سطح الهجوم، ومنصات اختبار الاختراق، وإدارة خدمات تقنية المعلومات، تُحوِّل Fork النتائج المتناثرة إلى صورة مخاطر حية. تشمل عمليات التكامل المرتبطة والمدرجة في خارطة الطريق كلاً من ServiceNow وVeracode وSnyk وSemgrep وCheckmarx وOpenCTI وQualys وTenable وMandiant وArcher، بالإضافة إلى غيرها.
العائد هو رؤية لحظية وتفعيل تشغيلي: مع اكتمال الاختبارات المستمرة وعند الطلب وتقديم نتائجها، يُحدَّث نموذج تهديدات المنتج والمخاطر المتبقية بسرعة التسليم، مما يمنح قادة الأمن والمنتجات فهماً مُحدَّثاً دائماً لما قد يسير على نحو خاطئ، ومدى احتمالية حدوثه، والتكلفة التي سيتكبدها العمل.
التوافر
Fork متاحة اليوم. تدعم نسخة Fork Community المجانية نموذج تهديدات لتطبيق واحد مع إمكانية استيعاب الثغرات الأمنية عبر قائمة مكونات البرمجيات (SBOM) أو لغة التقييم والاعتماد المفتوحة (OVAL)، بينما تفتح نسخة Fork Enterprise المجال لعدد غير محدود من التطبيقات والفرق، وجميع عمليات التكامل، وتسجيل الدخول الموحد (SSO)، وعناصر التحكم الدقيقة في الوصول، وسجلات التدقيق. تُوسِّع Fork Enterprise PT المنصة من خلال اختبارات عدائية عند الطلب، مدعومةً بـ Knife وفريق BREAKERS التابع لشركة VerSprite، والتي يتم طلبها مباشرةً من داخل نموذج التهديدات. تقدم VerSprite أيضًا نمذجة التهديدات كخدمة للمنظمات التي تسعى إلى التدريب بقيادة الخبراء والتنفيذ المدار.
لمعرفة المزيد، اطلب عرضًا توضيحيًا، أو ابدأ مجانًا، وتفضّل بزيارة www.forktm.com.
حول VerSprite
VerSpriteهي شركة عالمية متخصصة في الأمن السيبراني، وتحديدًا في نمذجة التهديدات القائمة على المخاطر، والأمن الهجومي، وخدمات الأمن المُدارة. تأسست VerSprite في عام 2007 ويقع مقرها الرئيسي في أتلانتا بولاية جورجيا، وهي الجهة المبتكرة لمنهجية PASTA (عملية محاكاة الهجوم وتحليل التهديدات)، وتعقد شراكات مع مؤسسات قائمة Fortune 500 ومنظمات المنتجات في جميع أنحاء العالم للحد من المخاطر السيبرانية من خلال نهج منظم وقائم على البيانات ومستنير بالعدو. اعرف المزيد على www.versprite.com.
حول Fork
تُعدّ Fork منصة VerSprite للنمذجة المستمرة لتهديدات التطبيقات. بُنيت منصة Fork على منهجية PASTA ومُسرَّعة بالذكاء الاصطناعي، وهي تُمكِّن فِرق الأمن والهندسة والمنتجات من إنتاج نماذج تهديدات تركز على المخاطر في أقل من ساعتين، ووضعها في سياقها الصحيح باستخدام معلومات التهديدات المباشرة وبيانات الثغرات الأمنية لكامل المكدس التقني، والحفاظ على توافقها المستمر مع تطور التطبيقات، والآن مع اختبارات عدائية متكاملة يقودها الذكاء الاصطناعي من خلال Knife.
إن نص اللغة الأصلية لهذا البيان هو النسخة الرسمية المعتمدة. أما الترجمة فقد قدمت للمساعدة فقط، ويجب الرجوع لنص اللغة الأصلية الذي يمثل النسخة الوحيدة ذات التأثير القانوني.
الرابط الثابت
https://www.aetoswire.com/ar/news/545612951
جهات الاتصال
Tim Deleon
beetle@versprite.com
7079278611
www.versprite.com
