Com as novas gerações de modelos de alimentação de IA e descoberta rápida de vulnerabilidades de software e potencial para exploração mais rápida por hackers mal-intencionados, a Agência de Segurança Cibernética e Infraestrutura de Segurança dos Estados Unidos divulgou nova directiva na quarta-feira que uma programação mais rápida e eficiente exige mais do que agências do serviço público federal. A “diretiva operacional de obrigação” (BOD) descreve a rapidez com que os bugs devem ser corrigidos em quatro casos de necessidade, com um tempo de resposta em casos críticos de três dias.
Chris Butera, diretor executivo interino de segurança cibernética da CISA, disse aos repórteres na quarta-feira que o objetivo da diretiva é ajudar as agências a priorizar para que possam resolver primeiro as vulnerabilidades problemáticas, enquanto passam mais tempo corrigindo bugs que representam um risco menos premente. A directiva surge num momento em que as empresas privadas e os governos se esforçam para avaliar a extensão da computação de segurança cibernética que pode perturbar a vulnerabilidade da IA e as capacidades de desenvolvimento.
“A atenção prioritária à segurança de operações e TI nos ativos mais perigosos é de extrema importância agora, dado o crescimento da inteligência artificial, que permite que os atores de ameaças encontrem e operem vulnerabilidades em ativos”, disse Butera na quarta-feira. “Os defensores não podem levar semanas para consertar sistemas que estão sendo abusados livremente”.
Os critérios da diretiva CISA para avaliar a necessidade de um patch incluem verificar se a vulnerabilidade está em um sistema exposto publicamente ou se o bug está listado na CISA. Eu tenho o Catálogo de Vulnerabilidades conhecidasse um invasor poderia usar todas as etapas para automatizar a vulnerabilidade e quanto acesso o invasor teria ao alvo se o bug fosse explorado. A vulnerabilidade, onde todos os quatro pontos devem ser aplicados, será corrigida em três dias, de acordo com a nova diretriz, e a agência também deverá implementar “triagem forense“O processo para determinar se os sistemas já estão construídos.
A diretiva apoia as duas ordens anteriores da CISA como prazos desiguais para vulnerabilidades urgentes, uma das. 2019 e um dos 2021. Eles estabeleceram uma estrutura na qual bugs críticos deveriam ser detectados em 15 dias, e outro tipo de vulnerabilidade de alta necessidade deveria ser corrigido em 30 dias. Ambos são incentivados diminuindo a velocidade para as falhas mais graves, quando possível. Mesmo antes da era da IA 2021, a CISA ele escreveu “Os atores da ameaça são extremamente rápidos em usar a vulnerabilidade de sua escolha: 4% de suas notas são exploradas (vulnerabilidades), 42% são usadas no dia da divulgação, 50% em 2 dias e 75% em 28 dias.”
A segurança cibernética federal dos EUA melhorou significativamente na última década, mas ainda é frequentemente insuficiente, devido a insuficiências de financiamento e prioridades concorrentes. Butera, da CISA, disse que desenvolveu a nova rubrica de avaliação e a diretiva mais ampla da agência tendo essas limitações em mente. Ele observou, por exemplo, que três dias de notificação para as vulnerabilidades mais urgentes não são, digamos, 24 horas, porque um período de tempo tão curto não é viável para a maioria das organizações.
Novos recursos de IA já estão mudando o cenário da detecção e caça de bugs. Com esta nova urgência, muitos investigadores começaram essencialmente a concluir que nenhum desequilíbrio é suficiente – e que a comunidade de desenvolvimento deveria trabalhar globalmente para desenvolver novas abordagens arquitectónicas ou sistémicas para resolver classes inteiras de vulnerabilidades de uma só vez.
“A diretriz CISA está no lugar certo, mas enfrenta apenas metade do desafio”, diz Emily Long, CEO da empresa de segurança em nuvem Edera. “Se a sua arquitetura não limita o alcance que um invasor pode alcançar após uma violação, você estará apenas correndo mais rápido na mesma esteira. Ser paciente sempre será importante, mas temos que falar sobre contenção por meio do design”.
Cisa Butera pareceu reconhecer este desenvolvimento na quarta-feira. A nova diretiva “é o primeiro passo contra o aumento das possibilidades dos modelos emergentes de IA”, diz ele. “Mas ainda há mais trabalho a fazer.”
