Con las nuevas generaciones Debido a que los modelos de IA impulsan tanto el rápido descubrimiento de vulnerabilidades de software como el potencial de una explotación más rápida por parte de piratas informáticos maliciosos, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos publicó el miércoles una nueva directiva que requiere parches de software más rápidos y eficientes por parte de agencias civiles federales. La “directiva operativa vinculante” (DBO) establece una rúbrica sobre la rapidez con la que se deben corregir los errores basándose en cuatro evaluaciones de urgencia, con un tiempo de respuesta en casos críticos de sólo tres días.
Chris Butera, subdirector ejecutivo interino de ciberseguridad de CISA, dijo a los periodistas el miércoles que el objetivo de la directiva es ayudar a las agencias a priorizar, para que puedan abordar las vulnerabilidades más problemáticas primero y al mismo tiempo tomarse más tiempo para remediar los errores que representan un riesgo menos apremiante. La directiva se produce mientras las empresas privadas y los gobiernos se han esforzado por evaluar el alcance de la seguridad cibernética que podrían desencadenar las capacidades de desarrollo de vulnerabilidades y explotaciones de la IA.
“Priorizar la atención de las operaciones de seguridad y TI en los activos de mayor riesgo es particularmente importante ahora, dados los avances en inteligencia artificial, que permiten a los actores de amenazas encontrar y explotar vulnerabilidades en [federal] activos», dijo Butera el miércoles. «Los defensores no pueden permitirse el lujo de tomarse semanas para parchar sistemas que pueden ser explotados de forma autónoma en masa».
Los criterios de la directiva CISA para evaluar la urgencia del parche incluyen analizar si una vulnerabilidad se encuentra en un sistema que está expuesto públicamente, si el error figura en el Catálogo de vulnerabilidades explotadas conocidas de CISA, si un atacante podría automatizar todos los pasos para explotar la vulnerabilidad y cuánto acceso tendría un atacante al objetivo si el error fuera explotado. Una vulnerabilidad en la que se aplican los cuatro puntos debe solucionarse en un plazo de tres días, según la nueva directiva, y la agencia también debe ejecutar un proceso de “clasificación forense” para determinar si los sistemas ya han sido comprometidos.
La directiva reemplaza dos órdenes CISA anteriores relacionadas con plazos de parcheo para vulnerabilidades urgentes: uno de 2019 y otro de 2021. Estos establecían un marco en el que los errores más críticos debían corregirse dentro de los 15 días posteriores a la detección y otra clase de vulnerabilidad de alta urgencia debía remediarse dentro de los 30 días. Y ambos alentaron a aplicar parches más rápidos para fallas graves cuando fuera posible. Incluso antes de la era de la IA, en 2021, CISA escribió que “los actores de amenazas son extremadamente rápidos para explotar las vulnerabilidades de su elección: de esos, el 4% de las explotadas conocidas [vulnerabilities]el 42% se están utilizando el día 0 de la divulgación; 50% en 2 días; y el 75% en 28 días”.
La ciberseguridad federal de EE. UU. ha mejorado significativamente durante la última década, pero a menudo todavía está rezagada, gracias a déficits de financiación y prioridades contrapuestas. Butera de CISA dijo que la agencia desarrolló la nueva rúbrica de evaluación y la directiva de manera más amplia teniendo en cuenta estas limitaciones. Señaló, por ejemplo, que el plazo de tres días para las vulnerabilidades más urgentes no es, digamos, 24 horas, porque un plazo tan corto no sería factible para la mayoría de las agencias.
Las nuevas capacidades de IA ya están cambiando el panorama de la detección de vulnerabilidades y la búsqueda de errores. Y a medida que esto genera una nueva urgencia en la aplicación de parches, muchos investigadores han comenzado a concluir, esencialmente, que ninguna cantidad de parches será suficiente y que la comunidad de desarrollo de software a nivel mundial debe trabajar para adoptar enfoques nuevos, arquitectónicos o sistémicos, para invalidar clases enteras de vulnerabilidades a la vez.
«La directiva de CISA tiene su corazón en el lugar correcto, pero sólo aborda la mitad del desafío», dice Emily Long, directora ejecutiva de la empresa de seguridad en la nube Edera. «Si su arquitectura no limita lo que un atacante puede alcanzar después de una infracción, simplemente estará corriendo más rápido en la misma rutina. La aplicación de parches siempre será importante, pero deberíamos hablar más sobre la contención por diseño».
Butera de CISA pareció reconocer esta evolución el miércoles. La nueva directiva “es un paso inicial para contrarrestar las mayores capacidades de los modelos de IA emergentes”, afirma. «Sin embargo, aún queda trabajo por hacer».
