Anthropic’s Mythos-model legt veel nieuwe kwetsbaarheden bloot. De hype eromheen doet vermoeden dat iedereen zich hier nu mee bezig moet houden. Er zijn echter ook nog genoeg bestaande, veel “saaiere” zaken op orde te brengen als het gaat om cybersecurity. Je zou zelfs kunnen zeggen dat die zaken veel belangrijker zijn voor de meeste organisaties. Cisco Live gaf een interessant inkijkje in hoe de verhoudingen liggen tussen verleden, heden en toekomst.
Laten we maar met de deur in huis vallen: we worden af en toe een beetje Mythos-moe. Iedereen heeft het over hoeveel impact dit model heeft en nog gaat hebben. Anthropic zelf wakkert het vuurtje ook geregeld aan met onheilspellende berichten. Het model zou te gevaarlijk zijn om uit te brengen, een kunstje dat OpenAI in 2022 ook flikte, een half jaar voordat de eerste publieke versie van ChatGPT uitkwam.
Om het securitymodel op een verantwoorde manier te laten landen op de markt, richtte Anthropic Project Glasswing op. Daarvoor nodigde het een select groepje leveranciers uit, waaronder Cisco, om daar gezamenlijk op toe te zien. Inmiddels is deze groep verder uitgebreid en is er met Claude Fable 5 een beperkte versie van Mythos voor het grote publiek beschikbaar.
Van 8 jaar naar 8 weken
Een en ander zorgde en zorgt nog altijd voor nog wat meer mysterie rond Mythos. Het bood bedrijven zoals Cisco echter ook de gelegenheid om onder andere hun eigen codebase door Mythos (en OpenAI’s GPT 5.5-Cyber) heen te halen.
De resultaten van het scannen van meer dan 1,8 miljard regels code, verspreid over 25 programmertalen en -frameworks en het hele portfolio van Cisco, zijn volgens de Chief Security en Trust Officer van het bedrijf tamelijk indrukwekkend. Volgens Anthony Grieco heeft Cisco in 8 weken tijd het werk gedaan waar teams anders zo’n 8 jaar voor nodig zouden hebben gehad.
Let wel, dit is niet alleen te danken aan de beschikbaarheid van nieuwe modellen zoals Mythos en GPT 5.5-Cyber. Ook andere modellen kunnen daarvoor gebruikt worden en het is zaak om een goed framework te bouwen om de modellen in te kunnen zetten. Anders krijg je een enorme brij aan output waar je alsnog niets mee kunt.
Cisco Foundry Security Spec
Om in 8 weken tijd niet alleen maar een hoop nutteloze data te krijgen, heeft Cisco iets gebouwd wat het een harnas noemt om de output van de modellen in het gareel te houden. Dit harnas gaat door het leven als Cisco Foundry Security Spec. Het is een open specificatie die je het beste kunt zien als een blauwdruk voor het bouwen van evaluatiesystemen.
Met andere woorden, het is niet zozeer Mythos of een ander hip, nieuw model dat ervoor zorgt dat organisaties snel kunnen opschalen met het evalueren van de security van hun code. Het is vooral hoe deze modellen ingezet worden dat het verschil maakt. Mythos mag dan intrinsiek beter zijn in het in kaart brengen van kwetsbaarheden en dan vooral de onderlinge afhankelijkheden van verschillende kwetsbaarheden, zonder het juiste vehikel om het in te zetten is het vooral een manier om extra ruis te creëren voor security teams.
Daarnaast hoeven zogeheten securitymodellen niet per se beter te zijn in het opsporen van kwetsbaarheden en zero days dan andere modellen. Het gaat ook vooral om hoeveel vrijheid de modellen krijgen om er diep op in te gaan. Dat vertelt Drew Hintz, Product Security Lead van OpenAI ook tijdens een sessie van Cisco Live die we bijwonen. GPT 5.5-Cyber is net zo krachtig als de gewone GPT 5.5. Het verschil zit hem in onder andere de guardrails. GPT 5.5-Cyber ‘mag’ meer dan de gewone variant.
Wat te doen met de oude kwetsbaarheden?
Als bedrijven zoals Cisco het hebben over een post-Mythos wereld, doet dat wellicht vermoeden dat we het verleden achter ons laten. Niets is echter minder waar. Post-Mythos is ook nog heel erg pre-Mythos. Dat wil zeggen, er zijn nog zoveel kwetsbaarheden die organisaties aan moeten pakken, die soms al tientallen jaren aanwezig en bekend zijn in de eigen omgeving, dat wij onszelf afvragen of organisaties wel echt geholpen zijn met nog een extra lading kwetsbaarheden en potentiële aanvalsvectoren.
Bij Cisco gaat het tijdens Cisco Live dan ook gelukkig niet alleen om wat Mythos allemaal wel niet te bieden heeft. Sterker nog, het had bij meerdere aankondigingen en in meerdere sessies vooral een pragmatische, realistische insteek.
Cisco Live Protect
Een belangrijke aankondiging die een belangrijk securityprobleem van organisaties aanpakt is Live Protect. Deze nieuwe feature die vooralsnog alleen beschikbaar is in NX-OS op Cisco Nexux N9000-apparatuur, moet ervoor zorgen dat kwetsbaarheden tijdelijk afgeschermd kunnen worden, totdat er met de volgende update een patch beschikbaar komt. Zodra er vanuit Talos (de threat intelligence-tak van Cisco) signalen zijn dat er iets gedaan moet worden, wordt daar een soort schild ontwikkeld en uitgerold. Dit alles gebeurt in runtime, dus zodra een kwetsbaarheid aan het licht komt, kan er snel een schil uitgerold worden.
Het tijdelijke karakter van Live Protect is belangrijk trouwens. Tom Gillis, SVP & GM Infrastructure & Security bij Cisco, laat geen kans onbenut om dat te benadrukken tijdens een sessie die we bijwoonden. Het is geen permanente oplossing.
Als we Gillis en andere mensen bij Cisco horen praten over Live Protect, bekruipt ons het gevoel dat we eerder al eens iets soortgelijks hebben gehoord. Je zou Live Protect kunnen zien als een speciale manifestatie van de Hypershield-architectuur die Cisco enkele jaren geleden in elkaar heeft gezet. Dankzij eBPF (extended Berkeley Packet Filter) kunnen kwetsbaarheden heel fijnmazig aangepakt worden. Hiermee kun je programma’s draaien in de kernel en in runtime security toevoegen.
Een volgende stap in dit traject durven we al wel te voorspellen. En dan hebben we het niet over het uitbreiden van Live Protect richting andere onderdelen van het portfolio zoals de Catalyst-hardware. Dat is een zekerheidje. Alle hardware die de prestaties kan bieden om Live Protect te draaien, gaat het krijgen. Cisco moet echter ook doorontwikkelen op het gebied van runtime security in het algemeen, dus na Live Protect voorzien we ook iets wat we hier Live Detect noemen. Het daadwerkelijk detecteren van aanvallen in runtime en daar meteen op reageren.
Cisco IQ voor security
Een tweede praktische en pragmatische update rondom security tijdens Cisco Live had te maken met Cisco IQ. Daar hebben we ruim een halfjaar geleden al eens een uitgebreid verhaal over geschreven. In een video opgenomen tijdens Cisco Live EMEA gaan we er ook relatief diep op in samen met Carlos Pereira van Cisco, Fellow and Chief Architect of CX at Cisco.
De CX-afdeling van Cisco, waar Cisco IQ als het ware het gezicht van is, richt zich primair op het maximaliseren van de waarde van investeringen in Cisco. Op deze manier halen klanten alles uit hun licenties en Capex-investeringen en heeft Cisco als het goed is tevreden klanten die bij een refresh weer voor Cisco kiezen.
Als het gaat om security, voegt Cisco behoorlijk wat toe aan Cisco IQ. De belangrijkste aankondiging hierbij is wat ons betreft die van de Resilient Infrastructure Services. Die moeten organisaties inzicht geven in waar kwetsbaarheden zitten, wat ze er tegen kunnen doen en hoe ze continu beter weerbaar kunnen worden. Het is een manier om alles uit de security te halen die Cisco biedt. Mits dit overzichtelijk gebeurt, kan dit zeker van belang zijn. Het is daarnaast ook heel goed te koppelen aan Cisco Cloud Control. Het overzicht van alle assets in Cloud Control past heel goed bij het overzicht dat Cisco IQ biedt. Een dergelijk overzicht is een eerste vereiste voor cybersecurity.
Lees ook: Cisco Cloud Control brengt networking en security samen in een enkel platform
Iets minder Mythos, iets meer realisme
De hype rondom Mythos is op zich begrijpelijk en ten dele ook terecht. De meeste organisaties kunnen op dit moment echter veel meer winnen als de pre-Mythos-uitdagingen aangepakt worden. Dat is door de snelle ontwikkelingen op het gebied van AI ook alleen maar belangrijker geworden. Al die oude kwetsbaarheden komen nu sneller aan het licht.
Het is dan ook goed om te zien dat er ook veel aandacht is voor de wellicht wat minder hippe uitdagingen bij Cisco. Daar zijn er nog meer dan genoeg van. Met Live Protect lost Cisco in theorie in ieder geval een groot probleem op, namelijk het toevoegen van (tijdelijke) bescherming van infrastructuur zonder dat er sprake is van een upgrade met downtime. De uitbreidingen binnen Cisco IQ moeten ervoor zorgen dat security goed ingericht wordt voor uitdagingen uit verleden, heden en toekomst. Dat is meer een operationele uitdaging dan een technische, maar daarmee niet minder belangrijk.