Superando los ataques de IA generativa

Nir Givol de Morphisec explica los desafíos de defender sistemas contra técnicas sofisticadas impulsadas por IA y brinda algunos consejos sobre cómo derrotar a la próxima generación de adversarios.

Cibertecnología | 1/08/2023

Foto: Imágenes de Imago a través de Reuters Connect

A medida que la sofisticación de las herramientas de Inteligencia Artificial (IA) como ChatGPT, Copilot, Bard y otras continúa creciendo, presentan un mayor riesgo para los defensores de la seguridad y una mayor recompensa para los atacantes que adoptan técnicas de ataque basadas en IA.

Como profesional de la seguridad, debe defender un ecosistema diverso de múltiples sistemas operativos (SO) creados a lo largo del tiempo para mantener el legado y al mismo tiempo adoptar nuevas y modernas interfaces B2B y B2C de hiperescala, hipervelocidad y ricas en datos. Usted busca (y confía en) los mejores y más recientes productos de seguridad para ayudarlo a defenderse de los atacantes.

Sin embargo, cuando se comparan con técnicas sofisticadas impulsadas por la IA, a los productos y prácticas de seguridad existentes les falta un elemento de defensa crítico: una tecnología capaz de derrotar a la próxima generación de adversarios impulsados ​​por máquinas y habilitados con inteligencia artificial que se especializan en el aprendizaje automático para crear nuevas tecnologías adaptativas. explota a una velocidad y escala vertiginosas.

Está empezando a surgir un patrón claro con las principales preocupaciones específicas de los sistemas de IA generativa y su capacidad para violar la tecnología de detección y prevención.

A los profesionales de InfoSec les preocupa que la IA generativa pueda aprovecharse para:

La perspectiva del defensor

La inteligencia artificial (IA) con sus subconjuntos de aprendizaje automático (ML) y aprendizaje profundo (DL) son parte integral de las plataformas modernas de protección de terminales (EPP) y de los productos de detección y respuesta de terminales (EDR).

Estas tecnologías funcionan aprendiendo de grandes cantidades de datos sobre comportamientos o patrones de código maliciosos y benignos conocidos. Este aprendizaje les permite crear modelos que pueden predecir e identificar amenazas nunca antes vistas.

Específicamente, la IA se puede utilizar para:

El uso de IA se está convirtiendo ahora en un estándar de facto para ayudar a reducir los falsos positivos al identificar el contexto de un incidente y comprender el comportamiento del punto final para blanquear las alertas y corregir la información mal clasificada de forma retroactiva utilizando una gran cantidad de datos de telemetría enviados previamente.

La perspectiva del atacante

A medida que la IA evolucione y se vuelva más sofisticada, los atacantes encontrarán nuevas formas de utilizar estas tecnologías en su beneficio y acelerar el desarrollo de amenazas capaces de eludir las soluciones de protección de terminales basadas en IA.

Los métodos que los atacantes pueden aprovechar la IA para comprometer objetivos incluyen:

Esperamos que los atacantes utilicen activamente la IA para automatizar el escaneo de vulnerabilidades, generar mensajes de phishing convincentes, encontrar debilidades en los sistemas de seguridad basados ​​en IA, generar nuevos exploits y descifrar contraseñas. A medida que la IA y el aprendizaje automático evolucionan, las organizaciones deben mantenerse alerta y mantenerse al día con los últimos avances en ataques basados ​​en IA para protegerse de estas amenazas.

Las organizaciones que utilizan sistemas basados ​​en IA deben cuestionar la solidez y la seguridad de sus conjuntos de datos subyacentes, conjuntos de capacitación y las máquinas que implementan este proceso de aprendizaje, y proteger los sistemas de códigos maliciosos no autorizados y potencialmente utilizados como armas. Las debilidades descubiertas o inyectadas en los modelos de soluciones de seguridad basadas en IA pueden llevar a una elusión global de su protección.

Morphisec ha observado anteriormente ataques sofisticados por parte de actores de amenazas altamente capacitados y con buenos recursos, como actores de estados-nación, grupos del crimen organizado o grupos de piratería avanzada. Los avances en las tecnologías basadas en IA pueden reducir las barreras de entrada para la creación de amenazas sofisticadas, al automatizar la creación de malware polimórfico y evasivo.

Esto no es sólo una preocupación por el futuro.

No es necesario aprovechar la IA para eludir las soluciones de seguridad de endpoints actuales. Las tácticas y técnicas para evadir la detección por parte de EDR y EPP están bien documentadas, específicamente en manipulaciones de memoria y malware sin archivos. Según Picus Security, las técnicas evasivas y en memoria representan más del 30% de las principales técnicas utilizadas en el malware visto en la naturaleza.

La otra preocupación importante es la naturaleza reactiva de los EPP y EDR, ya que su detección suele ser posterior a la infracción y la remediación no está completamente automatizada. Según el informe IBM Data Breach de 2023, el tiempo promedio para detectar y contener una vulneración aumentó a 322 días. El uso extensivo de la IA de seguridad y la automatización redujeron este período de tiempo a 214 días, mucho después de que los atacantes establecieran persistencia y pudieran potencialmente exfiltrar información valiosa.

Es hora de considerar un paradigma diferente

En una carrera armamentista interminable, los atacantes aprovecharán la IA para generar amenazas capaces de eludir las soluciones de protección basadas en IA. Sin embargo, para que todos los ataques tengan éxito, deben comprometer un recurso en un sistema objetivo.

Si el recurso objetivo no existe o se transforma (mueve) continuamente, la posibilidad de apuntar a un sistema se reduce en un orden de magnitud.

Consideremos, por ejemplo, un francotirador altamente entrenado y extremadamente inteligente que intenta comprometer un objetivo. Si el objetivo está oculto o se mueve continuamente, las posibilidades de éxito del francotirador se reducen e incluso pueden comprometer al francotirador debido a repetidos disparos fallidos en ubicaciones incorrectas.

Aprovechando AMTD para detener ataques generativos de IA

Ingrese a los sistemas Automated Moving Target Defense (AMTD), diseñados para prevenir ataques sofisticados mediante la transformación y aleatorización de los recursos del sistema: mover el objetivo.

La prevención, primero la seguridad, la prevención, primero la seguridad (impulsada por AMTD) utiliza una tecnología patentada de confianza cero en la ejecución para bloquear proactivamente ataques evasivos. A medida que una aplicación se carga para cargar espacio de memoria, la tecnología transforma y oculta las estructuras de proceso y otros recursos del sistema, desplegando trampas esqueléticas livianas para engañar a los atacantes. Al no poder acceder a los recursos originales, el código malicioso falla, lo que detiene y registra los ataques con detalles forenses completos.

Escrito por Nir Givol, Director de Gestión de Productos de Morphisec.

Lee el artículo completo