Puede que la industria de la ciberseguridad haya tenido su “momento ChatGPT”. Presentado a principios de abril, el nuevo sistema de Anthropic Modelo de vista previa de Claude Mythos Aparentemente, ha encontrado miles de vulnerabilidades de día cero de alta y crítica gravedad en software de código abierto y propietario, algunas de las cuales datan de hace más de 20 años. Al hacerlo, promete reducir drásticamente la ventana de explotación durante la cual los defensores de la red se apresuran a aplicar parches antes que sus adversarios. La decisión de Anthropic de utilizar el modelo en Proyecto Glasswing – donde los proveedores utilizarán la tecnología para encontrar y corregir nuevas vulnerabilidades – provocará aún más trastornos.

Es difícil exagerar el impacto que esto tendrá en los equipos de seguridad. Pero cuentan con una ventaja: la noticia ha llegado a la alta dirección. Esto podría ser una oportunidad de oro para conseguir financiación y recursos para una nueva era de gestión de vulnerabilidades basada en IA.

¿Qué significa esto para los CISO?

Aunque Mythos se mantenga a salvo de los hackers, otros modelos de otros proveedores no lo estarán. Esto tiene importantes implicaciones para los CISO:

  1. A corto plazo, es probable que los equipos se vean inundados de parches de emergencia por parte de los proveedores adheridos al Proyecto Glasswing.
  2. Es posible que los actores estatales intenten utilizar cualquier vulnerabilidad de día cero almacenada relativamente pronto, antes de que el descubrimiento impulsado por la IA las vuelva inútiles.
  3. A largo plazo, los CISO pueden esperar que capacidades similares a Mythos caigan en manos de ciberdelincuentes y actores estatales. Esto “aumentará drásticamente” el número y la frecuencia de ataques complejos y novedosos, según un nuevo informe. informe de la industria.

¿Qué tan bueno es Mythos?

Según el informe, elaborado por la Cloud Security Alliance (CSA), OWASP, SANS y otras organizaciones, Mythos representa un "cambio radical" en el descubrimiento y la explotación de vulnerabilidades mediante inteligencia artificial. Afirma que los modelos de este tipo son diferentes porque:

  • Más autónomo y fiable, desarrolla exploits de forma autónoma sin necesidad de "andamios" (el código externo y las medidas de seguridad que los LLM suelen necesitar para funcionar).
  • Capaz de identificar vulnerabilidades complejas y encadenadas.
  • Capaz de hacerlo todo con una sola indicación.

Sin embargo, después de probar Mythos, el Instituto de Seguridad de la IA del Reino Unido (AISI) tiene algunas advertencias importantes. En un nuevo informe reveló que, en tareas de captura de bandera de nivel experto, Mythos Preview tiene éxito el 73% de las veces. Sin embargo, los ciberataques del mundo real son mucho más complejos. Por eso, el AISI creó "The Last Ones" (TLO): una simulación de ataque a la red corporativa de 32 pasos que va desde el reconocimiento inicial hasta la toma total de la red. A un humano le tomaría alrededor de 20 horas completarla. Si bien Mythos fue el primer modelo en resolver TLO de principio a fin, tres veces de cada diez. Un mayor cálculo de inferencia podría lograr un rendimiento aún mejor, dijo el AISI.

Más importante aún, el instituto afirmó que esto solo demuestra que Mythos es capaz de "atacar de forma autónoma sistemas empresariales pequeños, con defensas débiles y vulnerables, donde se ha obtenido acceso a la red". En el mundo real, la situación debería ser mucho más difícil gracias a la presencia de "defensores activos y herramientas de protección".

Preparándonos para una era posterior a los Mitos

Mientras tanto, el AISI recomendó a los equipos de seguridad que se centraran en lo básico: “la aplicación regular de actualizaciones de seguridad, controles de acceso robustos, configuración de seguridad y registro exhaustivo”. También señaló uso defensivo de la frontera Inteligencia artificial para cosas como:

  • Refuerzo del sistema mediante escaneo continuo, detección de fallos y configuraciones incorrectas, mapeo de rutas de ataque y pruebas de explotabilidad.
  • Mejorar la detección e investigación de amenazas mediante la priorización, la identificación de patrones en los registros y la redacción de resúmenes de informes.
  • Automatizar acciones de respuesta como bloquear el tráfico, poner en cuarentena los procesos y revocar el acceso de los usuarios.

Martin Riley, CTO de Bridewell, añade que los CISO deberían comenzar con la gestión continua de la exposición a amenazas (CTEM) con carácter de urgencia.

“Inventario de activos, priorización de la superficie de ataque, validación de controles y movilización para la remediación. Si no se tiene visibilidad continua de la exposición, se está actuando a ciegas”, explica a IO (antes ISMS.online). “En segundo lugar, someta su sistema de detección a pruebas de estrés frente a amenazas desconocidas. Invierta en detección basada en anomalías y telemetría de red avanzada. Los enfoques basados ​​en firmas no detectarán las cadenas de exploits generadas por IA”.

Riley advierte que los CISO también deben preparar a sus equipos para un período de "intensidad operativa sostenida".

«El informe de la CSA destacó acertadamente el agotamiento como un riesgo operativo. Los CISO deben planificar la capacidad, solicitar personal y acelerar el uso de agentes de IA dentro de sus propios equipos para mantenerse al día», argumenta. «Por último, es fundamental reforzar los fundamentos: segmentación, filtrado de salida, autenticación multifactor resistente al phishing y defensa en profundidad. Estos controles aumentan el coste de la explotación, independientemente de cómo se haya descubierto la vulnerabilidad. La madurez no se construye de la noche a la mañana. Es el momento de invertir».

Los marcos existentes como base

Jeff Williams, fundador de OWASP y director de tecnología de Contrast Security, sostiene que los estándares y marcos de mejores prácticas existentes, como ISO 27001 y NIST CSF, pueden desempeñar un papel en la transición a un mundo posterior a Mythos.

“Los marcos de trabajo existentes pueden ser útiles en este caso, pero principalmente como una lista de resultados conceptuales deseados. Requieren gobernanza, visibilidad, control, detección, respuesta y mejora continua”, explica a IO. “Pero en un mundo posterior a Mythos, donde tanto desarrolladores como atacantes están hiperacelerados por la IA, casi todas las actividades que implican esos marcos de trabajo deben reinventarse para impulsar esos resultados con flujos de trabajo mejorados por la IA”.

No se trata de hacer el mismo trabajo más rápido, sino de transformar la "seguridad periódica, manual y basada en marcar casillas" en algo "más continuo, más legible por máquina y más defendible", continúa.

“CTEM, la detección asistida por IA, la seguridad en tiempo de ejecución y la observación continua son la forma de convertir esas ideas de marco en una garantía real de que la seguridad es realmente correcta y efectiva tanto en el desarrollo como en las operaciones”, argumenta Williams.

Pukar Hamal, fundador y director ejecutivo de SecurityPal AI, también considera que las normas ISO 27001, NIST CSF, SOC 2 e incluso Cyber ​​Essentials tienen su utilidad. «Siguen siendo buenos puntos de partida porque imponen la disciplina básica que la mayoría de las organizaciones aún no tienen: un inventario de sus activos, saber quién puede acceder a ellos y un protocolo documentado para responder ante cualquier fallo», explica a IO. «Nada de esto desaparece en un mundo post-Mythos».

Sin embargo, los CISO deberán basar su estrategia de seguridad posterior a Mythos en la garantía continua, no en la certificación periódica.

«Los líderes de seguridad más brillantes con los que hablo ya están considerando la norma ISO 27001 como la base y construyendo discretamente la segunda capa por sí mismos», concluye.

Amplíe su conocimiento

Podcast: Phishing para causar problemas, episodio n.° 08: Software seguro, negocios más seguros.

Guía: Asegurando la superficie de ataque de la IA

Blog: Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo