Parmi les modèles IA capables de détecter automatiquement des vulnérabilités et de créer des exploits bien avant leur divulgation, Azul cite notamment Claude Mythos. La société affirme vouloir combler les angles morts que ces outils d’exploitation autonomes basés sur l’IA sont capables de détecter. Les utilisateurs peuvent s'inscrire à une évaluation gratuite. « Pour contrer les exploits basés sur l’IA, l’évaluation d’Azul associe directement les vulnérabilités JVM découvertes à des « Stable Critical Patch Updates » (CPU), des correctifs exclusivement dédiés à la sécurité qui peuvent être déployés immédiatement dans des environnements de production en direct sans risque de perturber le fonctionnement des logiciels », a précisé la société.
Annoncée le 17 juin, ce test des risques liés aux vulnérabilités JVM d’Azul est disponible auprès d’Azul et via certains de ses partenaires, a encore indiqué le fournisseur. Les entreprises bénéficient des éléments suivants :
- Un tableau de bord de sécurité destiné aux dirigeants : conçu pour les dirigeants et membres des conseils d’administration pour leur reporting, ce tableau de bord fournit un résumé visuel de l’ensemble du parc Java, ventilé par niveau de risque, éditeur et version Java ;
- Une répartition des risques par version afin d’identifier des versions Java spécifiques présentant la plus forte exposition et de cibler les efforts de correction là où ils sont le plus nécessaires plutôt que répartis de manière uniforme ;
- Des indicateurs clés de risque (KRI) pour les exploits basés sur l’IA pour accroître la visibilité sur les JVM présentant une exposition active à des vulnérabilités connues et exploitées (Known Exploited Vulnerability, KEV), la catégorie de menaces la plus prioritaire reconnue dans le catalogue KEV de l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), ainsi que sur les instances en fin de vie ou fonctionnant avec une version antérieure à la base de référence actuelle des correctifs ;
- Une feuille de route de correction hiérarchisée, avec des étapes concrètes classées par ordre d’impact, afin d’indiquer notamment quelles charges de travail corriger en priorité, lesquelles migrer hors des environnements d’exécution non pris en charge, et comment répondre aux besoins de support étendu pour les environnements hérités qui ne peuvent pas être modernisés immédiatement ;
« Dans le contexte actuel des risques, où les systèmes d’IA autonomes découvrent en permanence de nouvelles vulnérabilités ou enchaînent des CVE déjà connues pour créer des exploits, le rythme de déploiement des correctifs standard n’est plus suffisant », a déclaré Azul. L’entreprise a précisé que son évaluation gratuite des risques liés aux vulnérabilités de la JVM est spécialement conçue pour cet environnement.