[09/08/2024] La Cloud Security Alliance (CSA), organización dedicada a definir estándares, certificaciones y mejores prácticas para ayudar a garantizar un entorno seguro de computación en la nube, presentó su informe Using Artificial Intelligence (AI) for Offensive Security. El informe, redactado por el Grupo de Trabajo de Tecnología y Riesgo de IA, explora el potencial transformador de la IA impulsada por el modelo de lenguaje grande (LLM, por sus siglas en inglés) mediante el examen de su integración en la seguridad ofensiva. En concreto, el informe aborda los retos actuales y muestra las capacidades de la IA en cinco fases de seguridad: reconocimiento, escaneo, análisis de vulnerabilidades, explotación e informes.
"La IA está aquí para transformar la seguridad ofensiva, sin embargo, no es una bala de plata. Debido a que las soluciones de IA están limitadas por el alcance de sus datos de entrenamiento y algoritmos, es esencial comprender el estado actual del arte de la IA y aprovecharla como una herramienta de aumento para los profesionales de la seguridad humana", dijo Adam Lundqvist, autor principal del artículo. "Al adoptar la IA, capacitar a los equipos sobre el potencial y los riesgos, y fomentar una cultura de mejora continua, las organizaciones pueden mejorar significativamente sus capacidades defensivas y asegurar una ventaja competitiva en ciberseguridad".
Entre las principales conclusiones del informe se encuentran:
- Los equipos de seguridad se enfrentan a la escasez de profesionales cualificados, a entornos cada vez más complejos y dinámicos, y a la necesidad de equilibrar la automatización con las pruebas manuales.
- La IA, principalmente a través de LLM y agentes de IA, ofrece capacidades significativas en seguridad ofensiva, incluido el análisis de datos, la generación de código y texto, la planificación de escenarios de ataque realistas, el razonamiento y la orquestación de herramientas. Estas capacidades pueden ayudar a automatizar el reconocimiento, optimizar los procesos de escaneo, evaluar vulnerabilidades, generar informes completos e incluso explotar vulnerabilidades de forma autónoma.
- Aprovechar la IA en la seguridad ofensiva mejora la escalabilidad, la eficiencia, la velocidad, el descubrimiento de vulnerabilidades más complejas y, en última instancia, la postura de seguridad general.
- Aunque prometedora, ninguna solución de IA puede revolucionar la seguridad ofensiva hoy en día. Es necesaria la experimentación continua con la IA para encontrar e implementar soluciones eficaces. Esto requiere crear un entorno que fomente el aprendizaje y el desarrollo, donde los miembros del equipo puedan utilizar herramientas y técnicas de IA para desarrollar sus habilidades.
Lundqvist anotó que, como se señala en el informe, la utilización de la IA en la seguridad ofensiva presenta oportunidades únicas, pero también limitaciones. La gestión de grandes conjuntos de datos y la garantía de una detección precisa de vulnerabilidades son desafíos importantes que pueden abordarse mediante avances tecnológicos y mejores prácticas. Sin embargo, las limitaciones, como las restricciones de la ventana de tokens en los modelos de IA, requieren una planificación y mitigación cuidadosas hoy en día. Para superar estos desafíos, los autores del informe recomiendan que las organizaciones incorporen la IA para automatizar tareas y aumentar las capacidades humanas; mantener la supervisión humana para validar los resultados de la IA, mejorar la calidad y garantizar la ventaja técnica; e implementar marcos y controles sólidos de gobernanza, riesgo y cumplimiento para garantizar un uso seguro y ético de la IA.
"Si bien la IA ofrece un potencial significativo para mejorar las capacidades de seguridad ofensiva, es crucial reconocer las dificultades que pueden surgir de su uso. Poner en marcha estrategias de mitigación adecuadas, como las que se tratan en este informe, puede ayudar a garantizar la integración segura y eficaz de la IA en los marcos de seguridad", dijo Kirti Chopra, autora principal del artículo.
Franca Cavassa, CTOPerú