Con las nuevas generaciones de modelos de IA que alimentan tanto el descubrimiento rápido de la vulnerabilidad del software como el potencial de explotación más rápida por parte de los piratas informáticos maliciosos, la Agencia de Seguridad Cibernética y Seguridad de la Infraestructura de Estados Unidos publicó el miércoles una nueva directiva que requiere un parche de software más rápido y eficiente por parte de las agencias civiles. La "directiva operativa vinculante" (BOD) establece una rúbrica sobre la rapidez con la que deben solucionarse los errores en función de cuatro evaluaciones de urgencia, con un tiempo de respuesta en casos críticos de sólo tres días.
Chris Butera, director adjunto ejecutivo en funciones de ciberseguridad de CISA, dijo el miércoles a los periodistas que el objetivo de la directiva es ayudar a las agencias a priorizar, de modo que puedan abordar primero las vulnerabilidades más problemáticas al tiempo que se toman más tiempo para corregir errores que representan un riesgo menos acuciante. La directiva llega cuando las empresas privadas y los gobiernos se han luchado por evaluar el alcance de la ciberseguridad teniendo en cuenta que la vulnerabilidad de la IA y las capacidades de desarrollo de explotación podrían desencadenar.
"La priorización de la atención de las operaciones de TI y de seguridad a los activos con mayor riesgo es especialmente importante ahora dados los avances en inteligencia artificial, que permiten a los actores de las amenazas encontrar y explotar vulnerabilidades en [federal] activos", dijo Butera el miércoles. "Los defensores no pueden permitirse el lujo de tardar semanas en pegar sistemas que se pueden explotar de forma autónoma en masa".
Los criterios de la directiva CISA para evaluar la urgencia de los parches incluyen mirar si una vulnerabilidad se encuentra en un sistema que está expuesto públicamente, si el error figura en el catálogo de vulnerabilidades explotadas conocidas de CISA, si un atacante podría automatizar todos los pasos para explotar la vulnerabilidad y cuánto accedería un atacante al objetivo si se explotara el error. Una vulnerabilidad en la que se aplican los cuatro puntos debe solucionarse en tres días, según la nueva directiva, y la agencia también debe ejecutar un proceso de "triaje forense" para determinar si los sistemas ya se han comprometido.
La directiva sustituye dos órdenes CISA anteriores relacionadas con la aplicación de parches para vulnerabilidades urgentes, una de 2019 y una de 2021. Éstas establecieron un marco en el que los errores más críticos debían corregirse dentro de los 15 días posteriores a la detección y otra clase de vulnerabilidad de alta urgencia se ha. Y ambos alentaron un parche más rápido para defectos graves cuando era posible. Incluso antes de la era de la IA, en 2021, CISA escribió que "los actores de la amenaza son extremadamente rápidos a la hora de explotar sus vulnerabilidades preferidas: de esos 4% de los explotados conocidos". [vulnerabilities]el 42% se utiliza el día 0 de la divulgación; 50% en 2 días; y el 75% en 28 días".
La ciberseguridad federal de Estados Unidos ha mejorado significativamente en la última década, pero todavía a menudo se queda retrasada, gracias a los déficits de financiación ya las prioridades en competencia. Butera de CISA dijo que la agencia desarrolló la nueva rúbrica de evaluación y la directiva de forma más amplia teniendo en cuenta estas limitaciones. Señaló, por ejemplo, que el plazo de tres días para las vulnerabilidades más acuciantes no es, por ejemplo, 24 horas, porque un período de tiempo tan corto no sería factible para la mayoría de las agencias.
Las nuevas capacidades de IA están cambiando ya el panorama de la detección de vulnerabilidades y la búsqueda de errores. Y dado que esto provoca una nueva urgencia en la aplicación de parches, muchos investigadores han empezado a concluir, básicamente, que ninguna cantidad de parches será suficiente, y que la comunidad de desarrollo de software a nivel mundial debe trabajar para adoptar enfoques nuevos, arquitectónicos o sistémicos para invalidar clases enteras de vulnerabilidades a la vez.
"La directiva de CISA tiene el corazón en el lugar correcto, pero solo aborda la mitad del reto", dice Emily Long, CEO de la firma de seguridad en la nube Edera. "Si su arquitectura no limita lo que puede llegar un atacante después de una violación, sólo está corriendo más rápido en la misma cinta de correr. El parche siempre será importante, pero deberíamos hablar más de la contención por diseño".
Butera de CISA parecía reconocer esta evolución el miércoles. La nueva directiva "es un paso inicial para contrarrestar el aumento de las capacidades de los modelos de IA emergentes", dice. "Pero aún hay más trabajo por hacer".
Silo es el sustituto perfecto de Severance y se estrena en Apple TV en 3 semanas
TI 2026 China Qualifier: programación, resultados, equipos, formato y cómo verlos
Matt Booty de Xbox ha visto el juego de Elder Scrolls 6 y dice que "parece increíble" y que "está saliendo bien"
El CEO de Xbox mata las vibraciones con duras verdades sobre el negocio
El creador de Airbender dice que AAA Avatar RPG no se "canceló", promete noticias en julio
El estudio Spyro: En Realm Beyond tuvo que "recomprar" su independencia de Xbox "para volver a los juegos por los que nos conocíamos" en lugar de Call of Duty y Overwatch
Subir
Deja una respuesta