Los directores de seguridad de la información (CISO) de hoy enfrentan nuevos desafíos de ciberseguridad debido al uso cada vez mayor de la inteligencia artificial (IA), particularmente la IA generativa (GenAI).
Esto no es una sorpresa dado el creciente uso de GenAI en el lugar de trabajo: dos tercios de las organizaciones informaron el año pasado que ya estaban comenzando a usarlo y solo el 3% de las empresas no planeaban adoptarlo.
La IA se ha convertido en un arma de doble filo para la ciberseguridad. Por un lado, ha reducido la barrera de entrada al cibercrimen, permitiendo a los posibles delincuentes generar malware incluso cuando carecen de conocimientos de programación y proporcionando a los delincuentes más sofisticados capacidades que pocos podrían haber imaginado hace relativamente poco tiempo.
La reciente Orden Ejecutiva sobre IA firmada por el presidente Biden señaló el potencial de la IA para permitir operaciones cibernéticas ofensivas en los estados-nación mediante el descubrimiento y la explotación automatizados de vulnerabilidades contra una amplia gama de objetivos potenciales de ataques cibernéticos.
Por otro lado, los ciberdefensores pueden aprovechar la IA para estrategias de defensa y automatización inteligentes.
La IA tiene el potencial de nivelar el campo de juego incluso contra adversarios equipados con IA y las amenazas dinámicas que plantean.
Un posible actor cibernético malicioso ya no necesita conocimientos de programación para utilizar GenAI porque las herramientas de IA de modelo de lenguaje grande (LLM) se pueden utilizar para escribir malware.
La IA también se utiliza para explotar rápidamente las vulnerabilidades del software una vez que se conocen públicamente, lo que brinda a los actores maliciosos un mayor potencial para convertirlas en armas y explotar estas vulnerabilidades más rápidamente que muchos clientes que aplican parches o actualizaciones de proveedores.
La GenAI puede aumentar drásticamente la sofisticación de los ataques de phishing, elevándolos por encima del contenido estándar y los errores ortográficos o gramaticales incómodos que las organizaciones suelen enseñar a los usuarios a buscar.
Ahora, cuando un actor malintencionado recopila la libreta de direcciones de una víctima, también puede tomar el contenido del correo electrónico y utilizarlo para generar correos electrónicos personalizados que coincidan con la sintaxis y los asuntos que el remitente comprometido ha utilizado con cada destinatario.
La IA también equipa a los ciberdelincuentes con nuevas herramientas y capacidades.
Por ejemplo, las organizaciones suelen capacitar a los empleados para contrarrestar los intentos de comprometer solicitudes de correo electrónico empresarial para eludir los procesos normales y transferir fondos para apoyar a un alto ejecutivo, como el director ejecutivo, comunicándose con el solicitante por teléfono o video para validar tanto al remitente como a la solicitud.
Los delincuentes han comenzado a utilizar imitaciones de voz y video generadas por inteligencia artificial del supuesto remitente y respuestas generadas por chatbots para frustrar tales controles.
El análisis de datos impulsado por la IA ha proporcionado a los ciberdelincuentes maliciosos nuevas herramientas de explotación que convierten a nuevas clases de datos en objetivos atractivos.
Hace una década, sólo los estados-nación tenían los centros de datos y la potencia informática para hacer posible explotar grandes conjuntos de datos.
La revolución impulsada por la IA en la minería de datos y el crecimiento de la potencia informática y el almacenamiento de pago por uso significan que conjuntos de datos masivos se han convertido en objetivos explotables y atractivos para los actores criminales y los Estados-nación.
Los profesionales de la ciberseguridad utilizan el término superficie de ataque para describir el tamaño y la complejidad del entorno digital y su dificultad para mapearlo o incluso comprenderlo completamente, para lidiar con lo que el exsecretario de Defensa Donald Rumsfeld llamó las “incógnitas desconocidas”.
La IA y el uso cada vez mayor de arquitecturas de malla de ciberseguridad, como Fortinet Security Fabric, brindan la oportunidad de convertir el tamaño y la complejidad de esta responsabilidad del entorno digital para los defensores de la red en una ventaja potencial.
Los sensores vinculados en una arquitectura común permiten a los operadores y defensores de redes generar datos en tiempo real, y la IA y el aprendizaje automático, cada vez más potentes, pueden darles sentido en tiempo real.
Los ciberactores maliciosos rara vez tienen éxito la primera vez que atacan a un objetivo, incluso utilizando IA, sino que dependen de que sus ataques fallidos sean pasados por alto en la avalancha de alertas que inundan un centro de operaciones de seguridad empresarial en cada turno.
La IA ayuda a detectar actividades anómalas, determinar qué anomalías son ataques, generar una respuesta en tiempo real para bloquear el ataque e inocular el resto de los activos digitales de la organización contra futuros ataques.
Recuerde, la IA y el ML se alimentan de datos, y cuantos más datos tengan para entrenar y trabajar, más efectivos serán.
Generalmente, quienes operan y defienden un entorno empresarial están mejor posicionados para tener esos datos que quienes buscan ingresar a la red.
Algunos nichos, como el phishing, favorecen asimétricamente al atacante; pero como propuesta general, la “carrera armamentista del big data” favorece al defensor.
Por más empoderante que sea la IA para los CISO, las empresas enfrentan otros desafíos relacionados con el uso de la IA en el lugar de trabajo.
Una preocupación clave es que los datos contenidos en las consultas GenAI pasen a formar parte del conjunto de datos del modelo de lenguaje grande (LMM) utilizado por estos modelos.
Otros problemas comunes incluyen la infracción de derechos de autor, la revelación de información de identificación personal, el uso desconocido de datos sesgados o objetables y las “alucinaciones” de la IA, que son resultados simplistas pero evidentemente incorrectos.
Muchas organizaciones están actuando con cautela en el uso de GenAI; pero en la mayoría de los casos, la fuerza laboral no comprende las razones de este ritmo deliberativo ni ve las barreras digitales que se están implementando.
Se están acostumbrando a utilizar GenAI en su vida privada y a experimentar con ella de forma independiente en el lugar de trabajo. GenAI se ha convertido en la última forma de TI en la sombra con la que deben lidiar los CISO y CIO.
Deberías intentar aprovechar la IA, pero sé inteligente al respecto. Investigue el mercado y trabaje con proveedores cuyo compromiso con la seguridad se ajuste a sus necesidades.
Busque implementar soluciones GenAI utilizando una de estas opciones:
Ejecute un modelo fundamental en un entorno privado para que los datos de capacitación y los resultados permanezcan segregados, intercambiando parte de la amplitud y el poder de los datos LMM dinámicos «en vivo» por la seguridad de que sus consultas no expondrán los datos confidenciales de su organización a personas externas.
Utilice la generación de recuperación aumentada que utiliza datos externos validados para ajustar la precisión de los modelos fundamentales sin alimentarlos con datos de entrenamiento adicionales. Este enfoque reduce los riesgos de seguridad y precisión.
Ejecute la prevención de pérdida de datos como filtro en la entrada al LMM público.
Hable con su proveedor de GenAI y adapte sus casos de uso teniendo en cuenta la seguridad de los datos. Mire la configuración de privacidad y seguridad. ¿Puedes prohibir que se guarden tus datos? ¿Puedes hacerlo manualmente? ¿En función del tiempo? ¿Se pueden ejecutar consultas con datos anonimizados?
Si utiliza aplicaciones de terceros o proveedores de software como servicio que han incorporado GenAI en sus herramientas, haga las mismas preguntas y determine cómo protegen sus aportes y resultados. Las mejores prácticas incluyen:
Incorporar estrictos controles de acceso. Limite el uso de conjuntos de datos específicos a usuarios autorizados.
Utilice tecnologías que mejoren la privacidad con ofuscación de datos (agregando «ruido» o eliminando detalles de identificación), procesamiento de datos cifrados (cifrado homomórfico, computación multipartita), análisis federados/distribuidos sobre datos alojados centralizados (los procesadores no pueden ver el contenido) y responsabilidad de los datos. herramientas (control definido por el usuario).
Observe detenidamente el volumen de datos. Cuantos más datos proporcione, mayor será la probabilidad de fuga.
Capacite al equipo utilizando el modelo para reflejar las mejores prácticas, el cumplimiento y las amenazas.
En este artículo nos hacemos eco del artículo de Fortinet del mismo título.
Un saludo