CISA le dice a las agencias estadounidenses que corrijan errores de seguridad en apenas 3 días debido a amenazas de IA

Con nuevas generaciones de modelos de IA impulsando tanto el descubrimiento rápido de vulnerabilidades de software como el potencial de explotación más rápida por parte de hackers maliciosos, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos publicó una nueva directiva el miércoles que requiere parches de software más rápidos y eficientes por parte de agencias civiles federales. La "directiva operativa vinculante" (BOD) establece una rúbrica sobre cuán rápido deben corregirse los errores basada en cuatro evaluaciones de urgencia, con un tiempo de respuesta en casos críticos de apenas tres días.

Chris Butera, subdirector ejecutivo interino de ciberseguridad de CISA, dijo a los reporteros el miércoles que el objetivo de la directiva es ayudar a las agencias a priorizar, para que puedan abordar primero las vulnerabilidades más problemáticas mientras se toman más tiempo para remediar errores que presentan un riesgo menos urgente. La directiva llega cuando empresas privadas y gobiernos han estado tratando de evaluar el alcance del reckoning de ciberseguridad que las capacidades de desarrollo de vulnerabilidades y exploits de IA podrían desatar.

"Priorizar la atención de operaciones de TI y seguridad en los activos de mayor riesgo es particularmente importante ahora dado los avances en inteligencia artificial, que permiten a los actores de amenazas encontrar y explotar vulnerabilidades en activos [federales]", dijo Butera el miércoles. "Los defensores no pueden permitirse tomar semanas para parchear sistemas que pueden ser explotados autónomamente a gran escala".

Los criterios de la directiva de CISA para evaluar la urgencia de parches incluyen verificar si una vulnerabilidad está en un sistema expuesto públicamente, si el error figura en el Catálogo de Vulnerabilidades Conocidas Explotadas de CISA, si un atacante podría automatizar todos los pasos para explotar la vulnerabilidad, y cuánto acceso obtendría un atacante al objetivo si se explotara el error. Una vulnerabilidad donde se aplican los cuatro puntos debe corregirse dentro de tres días, según la nueva directiva, y la agencia también debe ejecutar un proceso de "triaje forense" para determinar si los sistemas ya han sido comprometidos.

La directiva reemplaza dos órdenes anteriores de CISA relacionadas con plazos de parches para vulnerabilidades urgentes, una de 2019 y otra de 2021. Estas establecieron un marco en el cual los errores más críticos debían parchearse dentro de 15 días de su detección y otra clase de vulnerabilidad de alta urgencia debía remediarse dentro de 30 días. Y ambas fomentaban parches más rápidos para defectos graves cuando fuera posible. Incluso antes de la era de la IA, en 2021, CISA escribió que "los actores de amenazas son extremadamente rápidos para explotar sus vulnerabilidades elegidas: del 4% de [vulnerabilidades] conocidas explotadas, el 42% se están utilizando el día 0 de la divulgación; el 50% dentro de 2 días; y el 75% dentro de 28 días".

La ciberseguridad federal estadounidense ha mejorado significativamente durante la última década, pero aún a menudo se queda atrás, gracias a la falta de financiamiento y prioridades en competencia. Butera de CISA dijo que la agencia desarrolló la nueva rúbrica de evaluación y la directiva en general teniendo en cuenta estas limitaciones. Señaló, por ej