Los chatbots generativos y los modelos de lenguaje (LLM) grandes pueden ser un arma de doble filo desde una perspectiva de riesgo.
Pero con el uso adecuado también pueden mejorar la ciberseguridad de manera clave.
Por: Michael Hill | Original de IDGN
La rápida aparición de ChatGPT de Open AI ha sido una de las historias más importantes del año, con el impacto potencial de los chatbots generativos de IA y los modelos de lenguaje extenso (LLM) en la ciberseguridad como un área clave de discusión.
Se ha hablado mucho sobre los riesgos de seguridad que podrían presentar estas nuevas tecnologías:
- Desde preocupaciones sobre compartir información comercial confidencial con algoritmos avanzados de autoaprendizaje
- Hasta actores maliciosos que los usan para mejorar significativamente los ataques
Algunos países, estados de EE.UU. y empresas han ordenado prohibiciones sobre el uso de tecnología generativa de IA como ChatGPT por motivos de seguridad, protección y privacidad de datos.
Claramente, los riesgos de seguridad introducidos por los chatbots generativos de IA y los grandes LLM son considerables.
Sin embargo, estos mismos dispositivos pueden mejorar la ciberseguridad para las empresas de múltiples maneras, dando a los equipos responsablea del área un impulso muy necesario en la lucha contra la actividad cibercriminal.
Aquí hay seis formas en que los chatbots de IA generativa y los LLM pueden mejorar la seguridad.
Análisis y filtrado de vulnerabilidades
Según un informe de Cloud Security Alliance (CSA) que explora las implicaciones de ciberseguridad de los LLM, los modelos generativos de IA se pueden utilizar para mejorar significativamente el escaneo y filtrado de vulnerabilidades.
En el documento, CSA demostró que la API Codex de OpenAI es un escáner de vulnerabilidades efectivo para lenguajes de programación como C, C #, Java y JavaScript.
“Podemos anticipar que los LLM como los de la familia Codex se convertirán en un componente estándar de los futuros escáneres de vulnerabilidad”, se lee en el documento.
Por ejemplo, se podría desarrollar un escáner para detectar y marcar patrones de código inseguros en varios lenguajes, ayudando a los desarrolladores a abordar posibles vulnerabilidades antes de que se conviertan en riesgos críticos de seguridad.
En cuanto al filtrado, los modelos generativos de IA pueden explicar y agregar un contexto valioso a los identificadores de amenazas que, de otro modo, el personal de seguridad humano podría pasar por alto.
Reacomodo de fuerzas
Otro ejemplo lo encontramos en TT1059.001, un identificador de técnica dentro del marco MITRE ATT&CK, que puede informarse pero no estar familiarizado con algunos profesionales de ciberseguridad, lo que genera la necesidad de una explicación concisa.
ChatGPT puede reconocer con precisión el código como un identificador MITRE ATT&CK y proporcionar una explicación del problema específico asociado con él, el cual implica el uso de scripts maliciosos de PowerShell.
También profundiza en la naturaleza de PowerShell y su uso potencial en ataques de ciberseguridad, ofreciendo ejemplos relevantes.
En mayo, OX Security anunció el lanzamiento de OX-GPT, una integración de ChatGPT diseñada para ayudar a los desarrolladores con recomendaciones de corrección de código personalizadas y corrección de código de cortar y pegar, incluida:
- La forma en que los piratas informáticos podrían explotar los códigos
- El posible impacto de un ataque
- Y el daño potencial a la organización
Invertir complementos, analizar API de archivos PE
Matt Fulmer, gerente de ingeniería de inteligencia cibernética en Deep Instinct señala que la tecnología generativa AI/LLM se puede utilizar para ayudar a construir reglas y revertir complementos populares basados en marcos de ingeniería inversa como IDA y Ghidra.
“Si eres específico en la pregunta de lo que necesitas y lo comparas con las tácticas de MITRE ATT&CK, puedes desconectar el resultado y hacer que sea mejor usarlo como defensa”, dice.
Agrega que los LLM también pueden ayudar a comunicarse a través de aplicaciones, con la capacidad de analizar API de archivos ejecutables portátiles (PE) y decirle para qué se pueden usar.
“Esto puede reducir el tiempo que los investigadores de seguridad pasan revisando archivos PE y analizando la comunicación API dentro de ellos”.
Consultas de búsqueda de amenazas
Los defensores de la seguridad pueden mejorar la eficiencia y acelerar los tiempos de respuesta aprovechando ChatGPT y otros LLM para crear consultas de búsqueda de amenazas, según CSA.
Al generar consultas para herramientas de investigación y detección de malware como YARA, ChatGPT ayuda a identificar y mitigar rápidamente amenazas potenciales, lo que permite a los defensores concentrarse en aspectos críticos de sus esfuerzos de ciberseguridad.
Esta capacidad resulta invaluable para mantener una postura de seguridad sólida en un panorama de amenazas en constante evolución.
Las reglas se pueden adaptar en función de los requisitos específicos y las amenazas que una organización desea detectar o supervisar en su entorno.
La IA puede mejorar la seguridad de la cadena de suministro
Los modelos de IA generativa se pueden utilizar para abordar los riesgos de seguridad de la cadena de suministro al identificar las posibles vulnerabilidades de los proveedores.
En abril, SecurityScorecard anunció el lanzamiento de una nueva plataforma de calificación de seguridad para hacer precisamente esto a través de la integración con el sistema GPT-4 de OpenAI y la búsqueda global en lenguaje natural.
Los clientes pueden hacer preguntas abiertas sobre su ecosistema empresarial, incluidos detalles sobre sus proveedores, y obtener rápidamente respuestas para impulsar las decisiones de gestión de riesgos, según la firma.
Los ejemplos incluyen “encontrar mis 10 proveedores con la calificación más baja” o “muéstrenme cuáles de mis proveedores críticos fueron violados el año pasado”, preguntas que, según SecurityScorecard, arrojarán resultados que permitirán a los equipos tomar decisiones de gestión de riesgos rápidamente.
Generación y transferencia de códigos de seguridad
Los LLM como ChatGPT se pueden usar para generar y transferir códigos de seguridad.
CSA cita el ejemplo de una campaña de phishing que se ha dirigido con éxito a varios empleados dentro de una empresa, exponiendo potencialmente sus credenciales.
Si bien se sabe qué empleados abrieron el correo electrónico de phishing, no está claro si sin darse cuenta ejecutaron el código malicioso diseñado para robar sus credenciales.
“Para investigar esto, se puede utilizar una consulta de búsqueda avanzada de Microsoft 365 Defender para encontrar los 10 eventos de inicio de sesión más recientes realizados por los destinatarios de correo electrónico dentro de los 30 minutos posteriores a la recepción de correos electrónicos maliciosos conocidos”, explicó.
Igualmente señala que la consulta ayuda a identificar cualquier actividad de inicio de sesión sospechosa que pueda estar relacionada con credenciales comprometidas.
Chatbots generativos en acción
Aquí, ChatGPT puede proporcionar una consulta de caza de defensor de Microsoft 365 para verificar los intentos de inicio de sesión de las cuentas de correo electrónico comprometidas, lo que ayuda a bloquear a los atacantes del sistema y aclara si el usuario necesita cambiar su contraseña.
Es un buen ejemplo para reducir el tiempo a la acción durante una respuesta cibernética.
Sobre la base del mismo ejemplo, puede tener el mismo problema y encontrar la consulta de caza de Microsoft 365 Defender, pero su sistema no funciona con el lenguaje de programación KQL. En lugar de buscar el ejemplo correcto en su idioma deseado, puede realizar una transferencia de estilo de idioma de programación.
“Este ejemplo ilustra que los modelos CODEX subyacentes de ChatGPT pueden tomar un ejemplo de código fuente y generar el ejemplo en otro idioma de programación. También simplifica el proceso para el usuario final agregando detalles clave a su respuesta proporcionada y la metodología detrás de la nueva creación”, dijo CSA.
Los líderes deben garantizar el uso seguro de los chatbots generativos de IA
Chaim Mazal, CSO en Gigamon, como muchos avances modernos, AI y LLM, pueden ascender a una espada de doble filo desde una perspectiva de riesgo, por lo que es importante que los líderes se aseguren de que sus equipos estén utilizando ofrendas de manera segura y segura.
“Los equipos de seguridad y legales deben colaborar para encontrar el mejor camino hacia adelante para que sus organizaciones accionen a las capacidades de estas tecnologías sin comprometer la propiedad intelectual o la seguridad”.
Fulmer la a AI generativa se basa en datos estructurados desactualizados, así que tómelo como un punto de partida solo cuando se evalúa su uso para la seguridad y la defensa, dice.
“Por ejemplo, si lo usa para cualquiera de los beneficios mencionados anteriormente, tiene que justificar su salida. Desconecte el resultado y haga que los humanos lo mejoren, sean más precisos y más prácticos”.
Los chatbots/LLM generativos de IA finalmente mejorarán la seguridad y las defensas de forma natural con el tiempo, pero utilizar AI/LLM para ayudar, no para dañar, las posturas de seguridad cibernética se reducirán a las comunicaciones internas y la respuesta. dice Mazal.
“Los AI/LLM generativos pueden ser un medio para involucrar a las partes interesadas para abordar los problemas de seguridad en todos los ámbitos de una manera más rápida y eficiente. Los líderes deben comunicar formas de aprovechar las herramientas para respaldar los objetivos de la organización mientras los educan sobre las amenazas potenciales”.
Los chatbots impulsados por IA también necesitan actualizaciones periódicas para seguir siendo efectivos contra las amenazas y la supervisión humana es esencial para garantizar que los LLM funcionen correctamente, dice Joshua Kaiser, ejecutivo de tecnología de IA y CEO de Tovie AI.
Los chatbots impulsados por IA también necesitan actualizaciones periódicas para seguir siendo efectivos contra las amenazas y la supervisión humana es esencial para garantizar que los LLM funcionen correctamente, dice Joshua Kaiser, ejecutivo de tecnología de IA y CEO de Tovie AI.
“Además, los LLM necesitan una comprensión contextual para proporcionar respuestas precisas y detectar cualquier problema de seguridad y deben probarse y evaluarse regularmente para identificar posibles debilidades o vulnerabilidades”.