Guia do Defensor Sobre o Impacto da IA de Ponta na Segurança Cibernética

This post is also available in: English (Inglês) 繁體中文 (Chinês (Tradicional)) Français (Francês) Deutsch (Alemão) 日本語 (Japonês) 한국어 (Coreano) Español (Espanhol)

O lançamento dos mais recentes modelos de IA de ponta marca um divisor de águas para a segurança cibernética. A Palo Alto Networks realizou testes iniciais dos mais recentes modelos de IA de ponta, incluindo o modelo Mythos da Anthropic, como parte do Projeto Glasswing, e os modelos mais recentes da OpenAI, como parte do programa Trusted Access for Cyber. A conclusão é clara: eles são extraordinariamente capazes de identificar vulnerabilidades e gerar explorações correspondentes.

Essa melhoria geracional na capacidade de codificação se traduz diretamente em um avanço significativo na descoberta de vulnerabilidades e na geração de explorações. Essas capacidades, por mais que sejam controladas, não ficarão contidas. Avanços semelhantes aparecerão em outros grandes laboratórios de IA, em modelos chineses e em modelos de código aberto. Os invasores encontrarão brechas nessas proteções. Eles usarão IA avançada para descobrir vulnerabilidades de dia zero em escala, gerar explorações quase em tempo real e desenvolver agentes de ataque autônomos diferentes de tudo que o setor já enfrentou.

Em seis meses, modelos avançados de IA com recursos profundos de segurança cibernética serão comuns. As organizações que não tiverem adotado as proteções adequadas vão enfrentar uma classe de risco totalmente nova em toda a empresa e em sua infraestrutura crítica.

IA de ponta: Um salto quântico na fluência de código

Como você provavelmente já viu, os modelos ilimitados mais recentes, como o Mythos, representam uma melhoria de aproximadamente 50% na eficiência de codificação em relação ao modelo líder anterior da Anthropic. A Palo Alto Networks teve acesso antecipado a modelos sem restrições e conseguimos aproveitar essa grande melhoria na codificação para dar um salto quântico em termos de capacidade de verificação e ataque.

Centenas dos nossos melhores engenheiros de segurança estão avaliando essas capacidades e desenvolvendo práticas recomendadas para utilizá-las de forma eficaz. Os resultados revelaram várias verdades fundamentais:

• Descoberta de vulnerabilidades em escala: a IA de ponta é excepcionalmente eficaz na identificação de vulnerabilidades no código. Em menos de três semanas, ela realizou o equivalente a um ano inteiro de esforços em testes de penetração.
• Determinação de caminhos de ataque: talvez mais impressionante do que encontrar vulnerabilidades individuais, a IA de ponta se destaca no encadeamento de vulnerabilidades, combinando várias falhas de gravidade baixa em caminhos de exploração de nível crítico. Por exemplo, ligando duas vulnerabilidades de gravidade média e uma de gravidade baixa em uma única exploração crítica.
• Análise lógica de pilha completa: a IA de ponta consegue analisar toda a superfície de exposição dos aplicativos, incluindo SaaS e plataformas voltadas para o público, identificando vulnerabilidades baseadas em lógica que as ferramentas tradicionais não detectam.

Impactos no cenário cibernético

Os invasores usam LLMs há anos, mas, com base em nossos testes com modelos de IA de ponta, há três áreas principais nas quais eles terão um impacto significativo no cenário de segurança cibernética:

1. A enxurrada de vulnerabilidades: os modelos de IA de ponta vão acelerar drasticamente a taxa de descoberta de vulnerabilidades, tanto por defensores quanto por invasores. Isso será particularmente grave no código aberto e, o que é mais crítico, a inundação de patches que virá em seguida criará, por si só, um risco. Cada patch que não for aplicado imediatamente vira uma vulnerabilidade conhecida e passível de ataque. As organizações precisarão acelerar e automatizar seus programas de aplicação de patches, repensar como priorizam e aplicam patches e garantir que as melhores proteções da categoria estejam em vigor para mitigar a vulnerabilidade até que ela possa ser corrigida.
2. Aumento dos ataques de dentro para fora: ataques recentes à cadeia de suprimentos em ferramentas como LiteLLM e Trivy demonstram um padrão crescente em que os invasores conseguem entrar na infraestrutura de uma organização, contornando várias etapas convencionais de ataque e reduzindo o número de oportunidades de prevenção disponíveis para os defensores. A rápida implantação da infraestrutura de IA tornou esse problema mais grave, pois a cadeia de suprimentos de IA, incluindo ambientes de tempo de execução, infraestrutura de comunicação e dependências de modelos, muitas vezes não é suficientemente protegida. Embora o uso de código aberto e as práticas de aplicação de patches precisem ser significativamente mais robustos, as organizações precisarão de contenção estrutural de possíveis ataques por meio de confiança zero, modernização de identidades, restrições de conexões de saída e proteções contra movimentação lateral.
3. Ciclos de ataque assistidos por IA mais rápidos: acredito que a mudança mais significativa em relação aos modelos de IA de ponta seja a transição de ataques assistidos por IA para ataques orientados por IA. Os invasores vão criar agentes de ataque autônomos que reduzirão drasticamente a duração dos ciclos de ataque. O que antes exigia dias ou semanas de trabalho manual especializado será executado em minutos. Essa democratização das capacidades avançadas de ataque significa que os defensores devem acompanhar essa velocidade com detecção e resposta quase em tempo real, o que só é possível com ampla utilização de IA e automação em todas as operações de segurança. As organizações cujo Tempo Médio de Detecção e Tempo Médio de Resposta não forem medidos em minutos de um único dígito ficarão ultrapassadas.

O Guia do Defensor: Avaliação, Proteção, Plataformização

A estrutura de defesa contra ameaças orientadas por IA não é totalmente nova, mas o padrão de execução deve ser rigoroso. As organizações que estão “quase totalmente protegidas” estão, na prática, desprotegidas. O que vem a seguir é uma abordagem em fases – avaliação, proteção e plataformização – que as organizações devem adotar em paralelo para eliminar as lacunas antes que os invasores as explorem.

Avaliação: todas as organizações devem utilizar os modelos de IA mais recentes para avaliar todo o seu código e seu ambiente de aplicativos, bem como criar um inventário abrangente de ativos e exposições.

Principais prioridades:

• Utilizar modelos de IA para identificar vulnerabilidades na base de código, aplicativos e infraestrutura antes que os invasores o façam.
• Avaliar a exposição com todo o contexto, incluindo como as vulnerabilidades se encadeiam para formar caminhos críticos de exploração.
• Auditar sua cadeia de suprimentos de código aberto, incluindo infraestrutura de IA, ambientes de tempo de execução e dependências de modelos.
• Mapear sua cobertura atual de sensores. Lacunas de detecção, prevenção e telemetria representam pontos cegos críticos.

Proteção e correção: a correção e a redução da exposição são fundamentais. O que no passado pode ter sido difícil por causa do atrito entre organizações para encontrar e corrigir rapidamente agora deve ser acelerado com a atenção da alta administração a esses novos modelos de IA. Mas isso deve ir além e se estender à implantação abrangente dos melhores recursos de prevenção de ataques, onde o novo padrão é 100% de cobertura e otimização.

• XDR em todos os lugares, com ênfase na detecção e prevenção de ataques em tempo real com base em ML; incluindo todos os hosts locais e na nuvem.
• Segurança de endpoints com agente para garantir a adoção em larga escala da programação intuitiva e da segurança baseada em IA em toda a empresa (por exemplo, o Prisma AIRS e nossa recente aquisição da Koi são agora essenciais para proteger os endpoints com agente).
• Com uma média de 85% do trabalho sendo realizado atualmente no navegador, navegadores empresariais seguros com proteção em tempo real são essenciais para a prevenção de ataques.
• A abordagem de confiança zero e a segurança de identidade são fundamentais para proteger todos os usuários e todas as conexões.

Operações de segurança em tempo real: com os ciclos de ataque diminuindo rapidamente, a abordagem tradicional das operações de segurança simplesmente não funciona mais. Ferramentas distintas que analisam dados em silos, sobrepostas por processos manuais, devem ser substituídas por IA e automação em todas as etapas. A Cortex XSIAM, nossa plataforma SOC orientada por IA, é o que considero o padrão de excelência para uma abordagem de última geração que permite reduzir o MTTD e o MTTR a menos de dez minutos.

• A detecção de ataques deve ser orientada por IA/ML para identificar, em grande escala, até mesmo ataques novos e que mudam com frequência.
• Essas detecções por IA devem operar com uma ampla variedade de fontes de dados próprias e de terceiros – um SOC de IA da melhor qualidade deve operar com TODAS as fontes de dados relevantes.
• A automação, tanto integrada nativamente quanto ao longo de todo o ciclo de vida do SOC, é necessária para atingir um MTTR de um dígito; essa automação será cada vez mais baseada em agentes.
• Isso deve ser fornecido como uma plataforma para eliminar as lacunas e descontinuidades entre soluções pontuais.

Estamos aqui para ajudar

Para atingir esse nível de resiliência, são necessárias as plataformas certas e o conhecimento adequado.

Para ajudar você a lidar com essa mudança, estamos lançando a Defesa de IA de ponta da Unit 42. Esta nova solução foi projetada para identificar e corrigir suas vulnerabilidades atuais antes que os invasores o façam, fortalecer os controles que reduzem a exposição e minimizam o impacto, e modernizar as operações para que as equipes possam detectar e responder em alta velocidade.

Este é o momento para o qual vínhamos nos preparando. A ameaça nunca foi tão sofisticada, mas o caminho a ser seguido nunca esteve tão claro, e estamos aqui para trabalhar em parceria com você no que está por vir.