Elektroniktidningen har ­träffat Jacob Henricson, en av grundarna av uppstarten Nørd­snipe, som den 4 april lanserade Hedgehog – en automatisk pentestare.

Att penetrationstesta (pentesta) är att försöka bryta sig in i sina egna datasystem för att identifiera sårbarheter. Nørdsnipes specialitet är att göra det med hjälp av generativ AI.

Det är inte första gången som grundarna utvecklar pentest. År 2017 hittade vi dem i uppstarten Foreseeti med produkten Securicad. Den kartlägger och rankar cybersårbarheter i datasystem.

– Man kan säga att vi var några år före marknaden. Det var få som fattade vad vi gjorde, kommenterar Jacob Henricson, som jobbat som cybersäkerhetschef på Skanska Sverige och nu är vd för Nørdsnipe.

Google fattade. Efter några år, i maj 2022, köpte Google både Foreseeti och delar av personalen. 

Det som slog igenom strax därefter var som bekant generativ AI i form av transformatorbaserade stora språkmodeller (LLM:er). 

Det visade sig snabbt att LLM:er var duktiga på programkod och datasystem. Experter insåg att de även skulle kunna komma att användas offensivt, för hacking. 

Och idag är vi där. LLM-styrda verktyg, som Hexstrike, används sedan i fjol i automatiska cyberattacker. Och LLM:er används för att hitta okända säkerhetshål – den trenden har accelererat sedan i höstas, redan innan Anthropic lanserade sin omtalade Mythos.

Det finns därmed anledning att frukta att cyberattacker står inför en ökning i både frekvens och tempo. Så Nørdsnipe lanseras i exakt rätt tid.

KTH-professorn Pontus Jonsson hade gått från Foreseeti till att jobba deltid med cybersäkerhet på Google. För drygt ett år sedan såg han hur cyberhackande AI skulle kunna hjälpa till även på försvarssidan, med samma sorts pentest som Foreseeti gjorde, men nu förstärkt med smart automatik.

Så i somras grundade han Nørdsnipe med två gamla kollegor från Foreseeti – Jacob Henricson och Erik Ringdahl. Den senare har spenderat sin senaste tid som teknikchef i Googles molnsäkerhetsteam. 

I april släppte Nørdsnipe sin AI-pentestare Hedgehog. Med hjälp av AI – och en mänsklig cyberexpert vid rodret – går Hedgehog till simulerad attack mot dina datasystem för att se hur långt den kan ta sig genom olika stigar i nätverket. 

Output blir en karta över dina viktigaste sårbarheter.

– Som säkerhetschef svämmar man över av larm, säger Jacob Henricson till Elektroniktidningen. 

– Det enda sättet att försvara sig är att täppa till sårbarheterna innan skurkarna hittar dem. Men det är svårt. Det finns miljoner öppna sårbarheter.

Hedgehog skickar ut AI-agenter som kartlägger nätverket, letar attackvägar och försöker ta sig fram – precis som en riktig angripare skulle göra. Allt visualiseras i en graf som visar hur långt det går att komma.

En planeringsagent bestämmer den större planen. I slutänden får du en aktivitetslogg och en rapport.

– Du kan kanske se att servern på adress 10.0.10 har sårbarheter som gör att du faktiskt kan komma åt saker. 

En sårbarhet i en server som sitter bakom en brandvägg och aldrig används utifrån är ofarlig. Är den åtkomlig från Internet kan den vara kritisk. 

– Vi ger kontext till försvararna. Det är nyckeln. Det innebär att du kan prioritera det som faktiskt kan utnyttjas. Resurserna inom cybersäkerhet räcker inte till. Det finns alldeles för många sårbarheter att springa på.

En människa har alltid kontrollen över Hedgehog. Systemet föreslår och dokumenterar, men exekverar ingenting utan att operatören godkänner det. Funktioner som skulle kunna användas för att faktiskt stjäla data är hårdspärrade. 

Att peka ut sårbarheter är en sak. Men att de ska lagas i ett system i drift är faktiskt ­ingen självklarhet. En stängning drabbar verksamheten.

– I stort sett varje åtgärd blir politisk. Säkerhetsavdelningen säger att vi måste stänga det här nu. De som är ansvariga för kunden säger nej – kunden är precis mitt i ett viktigt skede. ”Är ni verkligen säkra på att det här är en sårbarhet?”

– Det har vi i säkerhetsbranschen kanske inte alltid kunnat bevisa. Det blir ofta falskt alarm. 

Hedgehog tillhandahåller beviset på att säkerhetshålet faktiskt går att utnyttja.

– Pentestet säger att nu har jag tagit mig från internet hela vägen in till din bankdosa. Då är det inget snack om saken längre. 

Och tvärtom kan Hedgehog även berätta vilka sårbarheter som tillsvidare kan läggas åt sidan.

– På vägen rotar vi också ut falska positiva. 

Samtidigt är Nørdsnipe involverat i ett forskningsprojekt som trimmar en LLM. I en virtuell testmiljö ska de undersöka om AI-modeller kan tränas att bli bättre på specifika säkerhetsrelaterade uppgifter. Det är ett Vinnova-finansierat projekt tillsammans med KTH, Cybercampus och Cparta.

– Det blir vår första riktiga inblandning i själva modellerna.

Nørdsnipe lanserade Hedgehog den 4 april och signade sin första kund strax därpå. Ett trettiotal kunder finns i pipeline. 

Kunderna är allt från enskilda säkerhetsexperter – ”säkerhetsnördar” – till etiska hackare, myndigheter och försvar.

– De håller redan på med pentesting. Vi säljer ett verktyg som gör deras arbete effektivare. 

Företaget har idag tolv anställda. 

Huvudinvesterare är Sven Hagströmer, känd som huvudägare i Avanza.