com uma nova geração A Agência de Segurança Cibernética e de Infraestrutura (CSA) dos EUA publicou um relatório sobre um modelo de IA que promove a descoberta rápida de vulnerabilidades de software e a exploração mais rápida por hackers mal-intencionados. novas instruções Quarta-feira pede patches de software mais rápidos e eficientes por parte das agências civis federais. A “Diretiva de Operações Vinculativas” (BOD) estabelece uma rubrica para a rapidez com que os bugs devem ser corrigidos com base em quatro avaliações de urgência, com um tempo de resposta de apenas três dias para casos críticos.
Chris Butera, vice-diretor interino de segurança cibernética da CISA, disse aos repórteres na quarta-feira que o objetivo da orientação é ajudar a agência a definir prioridades. Isso permite que você resolva primeiro as vulnerabilidades mais problemáticas, ao mesmo tempo que permite que você gaste mais tempo resolvendo bugs que representam riscos menos urgentes. A orientação surge num momento em que as empresas privadas e os governos se esforçam para avaliar o âmbito da sua segurança cibernética, dado o potencial de vulnerabilidades da IA e a sua capacidade de desenvolver explorações.
“Priorizar as operações de TI e segurança nos ativos de maior risco é especialmente importante, dados os avanços na inteligência artificial que permitem que os agentes de ameaças encontrem e explorem vulnerabilidades em ativos (federais)”, disse Butera na quarta-feira. “Os defensores não podem se dar ao luxo de levar semanas para corrigir sistemas que podem ser explorados de forma autônoma e massiva.”
Os critérios nas diretrizes da CISA para avaliar a urgência do patch incluem se a vulnerabilidade existe em um sistema exposto publicamente e se o bug é Catálogo de vulnerabilidades de exploração conhecidasInformações sobre se um invasor pode automatizar todas as etapas para explorar a vulnerabilidade e quanto acesso o invasor obteria ao alvo se o bug fosse explorado. As vulnerabilidades às quais todas as quatro se aplicam devem ser corrigidas dentro de três dias de acordo com as novas diretrizes, disse a agência.classificação forense”Este é o processo de determinar se um sistema já foi comprometido.
Esta orientação substitui duas diretivas anteriores da CISA relacionadas a cronogramas de patches para vulnerabilidades críticas. 2019 e um é 2021. Eles estabeleceram uma estrutura em que os bugs mais graves devem ser corrigidos no prazo de 15 dias após a detecção, e outros tipos de vulnerabilidades muito urgentes devem ser corrigidos no prazo de 30 dias. E ambos incentivaram a correção mais rápida de defeitos graves sempre que possível. Mesmo em 2021, antes da era da IA, a CISA escreveu “Os agentes de ameaças são muito rápidos em explorar as vulnerabilidades que escolhem. Dos 4% que se sabe terem sido explorados, 42% são explorados no prazo de 0 dias após a divulgação, 50% no prazo de 2 dias e 75% no prazo de 28 dias.”
Embora a segurança cibernética federal dos EUA tenha melhorado significativamente na última década, ainda muitas vezes fica atrasada devido à falta de financiamento e de prioridades concorrentes. Butera, da CISA, disse que a agência desenvolveu novos critérios de avaliação e orientações de forma mais ampla, tendo em mente essas limitações. Por exemplo, destacou que o prazo de três dias para as vulnerabilidades mais urgentes não é de 24 horas. Porque um período tão curto não é viável para a maioria das instituições.
Novas capacidades de IA já estão mudando o cenário da detecção de vulnerabilidades e da caça a bugs. E à medida que isto desperta uma nova urgência na aplicação de patches, muitos investigadores estão essencialmente a começar a concluir que nenhuma quantidade de patches é suficiente e que a comunidade de desenvolvimento de software deve trabalhar globalmente para adotar novas arquiteturas ou abordagens sistemáticas para neutralizar classes inteiras de vulnerabilidades.
“A orientação da CISA está no lugar certo, mas aborda apenas metade do desafio”, afirma Emily Long, CEO da empresa de segurança em nuvem Edera. “Se a sua arquitetura não limita o alcance que um invasor pode alcançar após uma violação, você estará apenas correndo mais rápido na mesma esteira. Patches são sempre importantes, mas precisamos falar mais sobre dissuasão por design.”
Butera, da CISA, pareceu reconhecer esta evolução na quarta-feira. “A nova orientação é um primeiro passo para responder às capacidades aprimoradas dos modelos emergentes de IA”, disse ele. “Ainda há mais trabalho a ser feito.”
