La IA generativa fue una de las principales prioridades en la conferencia del Congreso de Seguridad ISC2 celebrada en Las Vegas en octubre de 2024. ¿En qué medida cambiará la IA generativa lo que los atacantes (y los defensores) pueden hacer? Alex Stamos, CISO de SentinelOne y profesor de informática en la Universidad de Stanford, se sentó con TechRepublic para discutir las preocupaciones de ciberseguridad más apremiantes de la actualidad y cómo la IA puede ayudar y frustrar a los atacantes. Además, aprenda cómo aprovechar al máximo el Mes de la Concientización sobre la Ciberseguridad. Esta entrevista ha sido editada para mayor extensión y claridad. Cuando las pequeñas o medianas empresas se enfrentan a grandes atacantes TechRepublic: ¿Cuál es la preocupación más apremiante para los profesionales de la ciberseguridad en la actualidad? Stamos: Yo diría que la gran mayoría de las organizaciones simplemente no están equipadas para enfrentar cualquier nivel de adversario al que se enfrentan. Si usted es una pequeña o mediana empresa, se enfrenta a un adversario motivado financieramente que ha aprendido atacando a las grandes empresas. Están practicando todos los días irrumpiendo en empresas. Se han vuelto bastante buenos en eso. Entonces, cuando entran en su estudio de arquitectura de 200 personas o en su pequeño hospital regional, son extremadamente buenos. Y en la industria de la seguridad, no hemos hecho un buen trabajo en la creación de productos de seguridad que puedan ser implementados por pequeños hospitales regionales. La falta de coincidencia entre los conjuntos de habilidades que puede contratar y desarrollar frente a los adversarios a los que se enfrenta se enfrenta en casi todos los niveles de una gran empresa. Se pueden formar buenos equipos, pero hacerlo a la escala necesaria para defenderse de los adversarios de alto nivel del SVR ruso. [Foreign Intelligence Service] o el EPL chino [People’s Liberation Army] y MSS [Ministry of State Security] (el tipo de adversarios a los que te enfrentas si estás lidiando con una amenaza geopolítica) es extremadamente difícil. Y entonces, en todos los niveles hay algún tipo de desajuste. Los defensores tienen la ventaja en términos del uso de IA generativa TechRepublic: ¿Es la IA generativa un punto de inflexión en términos de empoderar a los adversarios? Stamos: En este momento, la IA ha sido netamente positiva para los defensores porque estos han gastado el dinero en I+D. Una de las ideas fundadoras de SentinelOne fue utilizar lo que solíamos llamar IA, aprendizaje automático, para realizar la detección en lugar de hacerlo mediante firmas. [detection]. Utilizamos IA generativa para crear eficiencias dentro de los SOC. Por lo tanto, no es necesario tener una gran formación en el uso de nuestra consola para poder hacer preguntas básicas como «muéstrame todas las computadoras que descargaron un nuevo software en las últimas 24 horas». En lugar de tener que hacer una consulta compleja, puedes hacerla en inglés. Así que los defensores son los primeros en ver las ventajas. Los atacantes están empezando a adoptarlo y aún no han obtenido todas las ventajas, lo cual, creo, es la parte más aterradora. Hasta ahora, la mayoría de los resultados de GenAI son para que los lean los seres humanos. El truco de GenAI es que para modelos de lenguaje grandes o modelos de difusión de imágenes, el espacio de salida de las cosas que un modelo de lenguaje puede generar y que usted verá como texto legítimo en inglés es efectivamente infinito. El espacio de salida de la cantidad de exploits que ejecutará una CPU es extremadamente limitado. VER: Los administradores de TI en el Reino Unido buscan profesionales con habilidades en IA. Una de las cosas con las que lucha GenAI son los resultados estructurados. Dicho esto, esa es una de las áreas de mayor interés en la investigación: las entradas y salidas estructuradas de la IA. Hay todo tipo de propósitos legítimos y buenos para los cuales se podría utilizar la IA si se impusieran mejores restricciones a los resultados y si la IA fuera mejor en los insumos y productos estructurados. En este momento, GenAI en realidad solo se usa para atraer phishing o para facilitar las negociaciones en idiomas que los actores del ransomware no hablan… Creo que la verdadera preocupación es cuando comencemos a que la IA se vuelva realmente buena escribiendo código de explotación. Cuando puede colocar un nuevo error en un sistema de inteligencia artificial y este escribe un código de explotación que funciona en Windows 11 24H2 completamente parcheado. Las habilidades necesarias para escribir ese código en este momento sólo pertenecen a un par de cientos de seres humanos. Si se pudiera codificar eso en un modelo GenAI y que pudiera ser utilizado por 10.000 o 50.000 ingenieros de seguridad ofensiva, ese sería un gran cambio en las capacidades ofensivas. TechRepublic: ¿Qué tipo de riesgos se pueden introducir al utilizar IA generativa en ciberseguridad? ¿Cómo podrían mitigarse o minimizarse esos riesgos? Stamos: Donde tendrás que tener cuidado es en la hiperautomatización y la orquestación. [AI] su uso en situaciones en las que todavía está supervisado por humanos no es tan riesgoso. Si estoy usando IA para crear una consulta para mí y luego el resultado de esa consulta es algo que miro, no es gran cosa. Si le pido a la IA que «busque todas las máquinas que cumplan con este criterio y luego las aísle», entonces eso empieza a dar más miedo. Porque puedes crear situaciones en las que puedas cometer esos errores. Y si tiene el poder de tomar decisiones de forma autónoma, entonces eso puede resultar muy arriesgado. Pero creo que la gente es muy consciente de ello. Los analistas del SOC humano también cometen errores. Cómo hacer que la concientización sobre la ciberseguridad sea divertida TechRepublic: Dado que octubre es el Mes de la concientización sobre la ciberseguridad, ¿tiene alguna sugerencia sobre cómo crear actividades de concientización que realmente funcionen para cambiar el comportamiento de los empleados? Stamos: El Mes de la Concientización sobre la Ciberseguridad es una de las únicas ocasiones en las que debes realizar ejercicios de phishing. Las personas que hacen cosas de phishing durante todo el año construyen una relación negativa entre el equipo de seguridad y la gente. Creo que lo que me gusta hacer durante el Mes de la Concientización sobre la Ciberseguridad es hacerlo divertido, gamificarlo y tener premios al final. Creo que realmente hicimos un muy buen trabajo en Facebook; Lo llamamos Hacktober. Tuvimos premios, juegos y camisetas. Teníamos dos tablas de clasificación, una tecnológica y otra no tecnológica. Se podría esperar que la gente de tecnología buscara errores. Todos podrían participar en el lado no tecnológico. Si recibiera nuestros correos electrónicos de phishing, si hiciera nuestros cuestionarios y demás, podría participar y obtener premios. Entonces, una: gamificar un poco y convertirlo en algo divertido porque creo que muchas de estas cosas terminan siendo punitivas y complicadas. Y ese simplemente no es un buen lugar para que estén los equipos de seguridad. En segundo lugar, creo que los equipos de seguridad simplemente necesitan ser honestos con la gente acerca de la amenaza que enfrentamos y que todos estamos juntos en esto. Descargo de responsabilidad: ISC2 pagó mi pasaje aéreo, alojamiento y algunas comidas para el evento del Congreso de Seguridad ISC2 que se llevó a cabo del 13 al 16 de octubre en Las Vegas. URL de la publicación original: https://www.techrepublic.com/article/isc2-security-summit-cyber-interview/Categoría y etiquetas: seguridad, software, tecnología y trabajo, mes de concientización sobre la ciberseguridad: seguridad, software, tecnología y trabajo, mes de concientización sobre ciberseguridad