Con la nueva generación Modelos de IA que impulsan el descubrimiento rápido de vulnerabilidades de software y una explotación potencial más rápida por parte de piratas informáticos malintencionados, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos publicó un nueva dirección el miércoles que requiere correcciones de software más rápidas y eficientes por parte de agencias civiles federales. La “directiva operativa vinculante” (BOD) establece una rúbrica sobre la rapidez con la que se deben corregir los errores basándose en cuatro evaluaciones de urgencia, con un tiempo de respuesta en casos críticos de sólo tres días.
Chris Butera, subdirector ejecutivo interino de ciberseguridad de CISA, dijo a los periodistas el miércoles que el objetivo de la directiva es ayudar a las agencias a priorizar, para que puedan abordar primero las vulnerabilidades más problemáticas mientras dedican más tiempo a corregir errores que plantean riesgos menos urgentes. Esta dirección se produce cuando las empresas privadas y los gobiernos buscan evaluar el alcance de la ciberseguridad considerando las vulnerabilidades de la IA y la explotabilidad del desarrollo.
“Dar prioridad a la atención de las operaciones de seguridad y TI en los activos con mayor riesgo es fundamental hoy en día, dados los avances en inteligencia artificial, que permiten a los actores de amenazas encontrar y explotar vulnerabilidades en activos (federales)”, dijo Butera el miércoles. “Los defensores de los derechos humanos no pueden pasar semanas arreglando un sistema que podría ser explotado masivamente por sí solos”.
Los criterios de la directiva CISA para evaluar la urgencia de un parche incluyen examinar si la vulnerabilidad existe en un sistema expuesto públicamente y si el error está en la lista de CISA. Catálogo de vulnerabilidades explotadas conocidassi el atacante puede automatizar todos los pasos para explotar la vulnerabilidad y cuánto acceso obtendrá el atacante al objetivo si se explota el error. Las vulnerabilidades que aplican esos cuatro puntos deben solucionarse en un plazo de tres días, según la nueva directiva, y la agencia también debe implementar “triaje forense”Proceso para determinar si un sistema ha sido comprometido.
Esta directiva reemplaza dos órdenes CISA anteriores relacionadas con programas de parches para vulnerabilidades urgentes, una de 2019 y uno de 2021. Establecieron un marco en el que los errores más críticos deben corregirse dentro de los 15 días posteriores a la detección y otras clases de vulnerabilidades muy urgentes deben corregirse dentro de los 30 días. Y ambos fomentan soluciones más rápidas para fallas graves siempre que sea posible. Incluso antes de la era de la IA, en 2021, CISA escribir que “los actores de amenazas explotan muy rápidamente las vulnerabilidades que eligen: del 4% de las vulnerabilidades que se sabe que han sido explotadas (vulnerabilidades), el 42% fueron explotadas el día 0 de la divulgación; el 50% en 2 días; y el 75% en 28 días”.
La ciberseguridad federal de EE. UU. ha mejorado significativamente durante la última década, pero a menudo todavía está rezagada debido a la falta de financiamiento y prioridades contrapuestas. Butera de CISA dijo que la agencia desarrolló la nueva rúbrica de puntuación y su orientación más amplia teniendo en cuenta estas limitaciones. Señaló, por ejemplo, que un plazo de tres días para abordar las vulnerabilidades más urgentes no es, digamos, 24 horas, porque un plazo tan corto sería imposible para la mayoría de las agencias.
Las nuevas capacidades de IA han cambiado el panorama de la detección de vulnerabilidades y la búsqueda de errores. Y a medida que esto provocó una nueva urgencia en la aplicación de parches, muchos investigadores comenzaron a concluir, en efecto, que ninguna cantidad de parches por sí sola sería suficiente y que la comunidad de desarrollo de software a nivel mundial debería buscar adoptar enfoques nuevos, arquitectónicos o sistémicos para invalidar grupos enteros de vulnerabilidades a la vez.
“La orientación de CISA da en el blanco, pero sólo aborda la mitad del desafío”, afirmó Emily Long, directora ejecutiva de la empresa de seguridad en la nube Edera. “Si su arquitectura no limita lo que un atacante puede alcanzar después de que se produce una infracción, simplemente estará corriendo más rápido en la misma rutina. Los parches siempre serán importantes, pero deberíamos hablar más sobre controles diseñados específicamente”.
Butera de CISA pareció reconocer esta evolución el miércoles. La nueva directiva “es un primer paso para contrarrestar las crecientes capacidades de los modelos de IA”, afirmó. “Pero todavía queda mucho trabajo por hacer”.
