Com as novas gerações dos modelos de IA que alimentam a rápida descoberta de vulnerabilidades de software program e o potencial de exploração mais rápida por hackers mal-intencionados, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos divulgou um nova directiva na quarta-feira, isso exige correções de software program mais rápidas e eficientes por parte de agências civis federais. A “diretiva operacional vinculativa” (BOD) estabelece uma rubrica sobre a rapidez com que os bugs devem ser corrigidos com base em quatro avaliações de urgência, com um tempo de resposta em casos críticos de apenas três dias.
Chris Butera, diretor executivo assistente interino de segurança cibernética da CISA, disse aos repórteres na quarta-feira que o objetivo da diretiva é ajudar as agências a priorizar, para que possam resolver primeiro as vulnerabilidades mais problemáticas e, ao mesmo tempo, dedicar mais tempo para remediar bugs que representam um risco menos urgente. A directiva surge num momento em que as empresas privadas e os governos se esforçam por avaliar a extensão do cálculo da segurança cibernética que a vulnerabilidade da IA e as capacidades de desenvolvimento da exploração podem desencadear.
“Priorizar a atenção das operações de TI e de segurança nos ativos de maior risco é particularmente importante agora, dados os avanços na inteligência synthetic, que permitem que os agentes de ameaças encontrem e explorem vulnerabilidades em [federal] ativos “, disse Butera na quarta-feira. “Os defensores não podem se dar ao luxo de levar semanas para consertar sistemas que podem ser explorados em massa de forma autônoma.”
Os critérios da diretiva CISA para avaliar a urgência do patch incluem verificar se uma vulnerabilidade está em um sistema exposto publicamente, se o bug está listado no relatório da CISA Catálogo de vulnerabilidades exploradas conhecidasse um invasor poderia automatizar todas as etapas para explorar a vulnerabilidade e quanto acesso um invasor obteria ao alvo se o bug fosse explorado. Uma vulnerabilidade onde todos os quatro pontos se aplicam deve ser corrigida dentro de três dias, de acordo com a nova diretriz, e a agência também deve executar um “triagem forense”Processo para determinar se os sistemas já foram comprometidos.
A diretiva substitui duas ordens anteriores da CISA relacionadas à correção de cronogramas para vulnerabilidades urgentes – uma de 2019 e um de 2021. Eles estabeleceram uma estrutura na qual os bugs mais críticos deveriam ser corrigidos no prazo de 15 dias após a detecção e outra classe de vulnerabilidade de alta urgência deveria ser corrigida no prazo de 30 dias. E ambos incentivaram correções mais rápidas para falhas graves, quando possível. Mesmo antes da period da IA, em 2021, a CISA escreveu que “os atores da ameaça são extremamente rápidos para explorar as vulnerabilidades de sua escolha: desses 4% dos explorados conhecidos [vulnerabilities]42% estão sendo utilizados no dia 0 da divulgação; 50% em 2 dias; e 75% em 28 dias.”
A segurança cibernética federal dos EUA melhorou significativamente na última década, mas ainda muitas vezes fica atrasada, graças a deficiências de financiamento e prioridades concorrentes. Butera, da CISA, disse que a agência desenvolveu a nova rubrica de avaliação e a diretiva de forma mais ampla tendo essas limitações em mente. Ele observou, por exemplo, que o prazo de três dias para as vulnerabilidades mais urgentes não é, digamos, 24 horas, porque um prazo tão curto não seria viável para a maioria das agências.
Novas capacidades de IA já estão mudando o cenário da detecção de vulnerabilidades e da caça a bugs. E como isto estimula uma nova urgência na aplicação de patches, muitos investigadores começaram a concluir, essencialmente, que nenhuma quantidade de patches será suficiente – e que a comunidade world de desenvolvimento de software program deve trabalhar para adotar novas abordagens arquitetónicas ou sistémicas para invalidar courses inteiras de vulnerabilidades de uma só vez.
“A diretriz da CISA está no lugar certo, mas aborda apenas metade do desafio”, afirma Emily Lengthy, CEO da empresa de segurança em nuvem Edera. “Se a sua arquitetura não limita o que um invasor pode alcançar após uma violação, você estará apenas correndo mais rápido na mesma esteira. A aplicação de patches sempre será importante, mas deveríamos falar mais sobre contenção desde o design.”
Butera, da CISA, pareceu reconhecer esta evolução na quarta-feira. A nova diretiva “é um passo inicial para combater o aumento das capacidades dos modelos emergentes de IA”, diz ele. “No entanto, ainda há mais trabalho a fazer.”
