Diagnosis Aftermarket
Jen Easterly baru-baru ini membagikan diagnosis tajam mengenai keamanan siber. Ia mengatakan bahwa kita tidak memiliki masalah keamanan siber. Kita memiliki masalah kualitas perangkat lunak.
Kita menghabiskan waktu puluhan tahun membangun sebuah industri hanya untuk memperbaiki celah yang seharusnya tidak pernah ada.
Tujuannya adalah memindahkan keamanan ke hulu (upstream). Kita harus membangun keamanan ke dalam kode sejak awal. Kita tidak seharusnya menambahkannya belakangan.
Diagnosisnya benar. Namun resepnya salah.
Alat seperti Project Glasswing milik Anthropic menemukan kerentanan dan membantu memperbaikinya. Ini lebih cepat. Lebih murah. Lebih baik.
Namun, ini tetaplah solusi aftermarket.
Menemukan bug lebih cepat tetaplah menemukan bug. Memperbaikinya dengan lebih murah tetaplah memperbaikinya. Kerentanan tersebut tetap ada. Ia telah dibuat. Ia telah diterapkan. Kemudian AI menemukannya.
Itu bukanlah akhir dari aftermarket. Itu hanyalah aftermarket yang lebih cepat.
Keamanan upstream yang sesungguhnya menggunakan aturan deterministik. Ia tidak menggunakan model probabilistik.
Keamanan upstream yang nyata terlihat seperti ini:
• Manusia mendeklarasikan apa yang harus benar sebelum kode ditulis. • Mesin memverifikasi setiap perubahan terhadap deklarasi tersebut. • Sistem menolak apa pun yang melanggar aturan tersebut.
Beginilah cara kerja dunia penerbangan dan pembangkit listrik tenaga nuklir. Seorang pilot tidak mencari kesalahan setelah penerbangan. Komputer penerbangan mencegah kondisi yang tidak aman selama penerbangan.
Dalam perangkat lunak, kita harus melakukan hal yang sama.
Jika sebuah kerentanan dapat diprediksi, kita harus mendeklarasikannya.
• Jangan izinkan S3 bucket publik. • Jangan izinkan permintaan API tanpa autentikasi. • Jangan izinkan celah kritis yang diketahui dalam dependensi.
Jika Anda mendeklarasikan aturan-aturan ini, kerentanan tersebut tidak akan pernah ada. Anda tidak perlu mencarinya. Anda tidak perlu menambalnya. Anda tidak perlu mengeluarkan uang untuk AI guna mendeteksinya.
AI sangat hebat dalam menemukan pola baru yang tidak diketahui. Namun menggunakan AI untuk memeriksa kesalahan konfigurasi yang sudah diketahui adalah penggunaan alat yang salah. Itu seperti menggunakan puisi untuk mengukur suhu saat Anda memiliki termometer. Termometer itu akurat. Puisi hanyalah sebuah opini.
Cara terbaik menggunakan AI adalah sebagai ratchet:
- AI menemukan jenis kerentanan baru.
- Manusia meninjau temuan tersebut.
- Manusia menulis aturan baru untuk mencegah kelas kesalahan tersebut selamanya.
- Mesin menegakkan aturan tersebut secara otomatis.
Ini membuat beban kerja AI semakin mengecil setiap harinya.
Kita tidak membutuhkan peluru perak (silver bullet). Kita membutuhkan sistem deklarasi, verifikasi, dan penemuan.
Optional learning community: https://t.me/GyaanSetuAi