Ciberseguridad
Chatbots
IA generativa

Seis formas en que los ‘chatbots’ de IA generativa y los LLM pueden mejorar la ciberseguridad

Los ‘chatbots’ de IA generativa y los grandes modelos lingüísticos pueden ser un arma de doble filo desde el punto de vista del riesgo, pero con un uso adecuado también pueden mejorar la ciberseguridad de formas clave.

IA generativa

La rápida aparición de ChatGPT de Open AI ha sido una de las historias más importantes del año, con el impacto potencial de los chatbots de IA generativa y los grandes modelos de lenguaje (LLM) en la ciberseguridad como área clave de debate. Se ha hablado mucho de los riesgos para la seguridad que podrían introducir estas nuevas tecnologías, desde la preocupación por compartir información empresarial sensible con algoritmos avanzados de aprendizaje automático hasta la posibilidad de que agentes maliciosos las utilicen para mejorar significativamente los ataques.

Algunos países, estados de EE.UU. y empresas han ordenado prohibir el uso de tecnologías de IA generativa como ChatGPT por motivos de seguridad, protección y privacidad de los datos. Está claro que los riesgos de seguridad que introducen los chatbots de IA generativa y los grandes LLM son considerables. Sin embargo, también pueden mejorar la ciberseguridad de las empresas de múltiples maneras, dando a los equipos de seguridad un impulso muy necesario en la lucha contra la actividad ciberdelictiva.

He aquí 6 formas en que los chatbots de IA generativa y los LLM pueden mejorar la seguridad.

 

Escaneo y filtrado de vulnerabilidades

Los modelos generativos de IA pueden utilizarse para mejorar significativamente el escaneo y filtrado de vulnerabilidades de seguridad, según un informe de Cloud Security Alliance (CSA) que explora las implicaciones de ciberseguridad de los LLM. En el documento, la CSA demostró que la API Codex de OpenAI es un eficaz escáner de vulnerabilidades para lenguajes de programación como C, C#, Java y JavaScript. "Podemos anticipar que los LLM, como los de la familia Codex, se convertirán en un componente estándar de los futuros escáneres de vulnerabilidades", se lee en el documento. Por ejemplo, podría desarrollarse un escáner para detectar y marcar patrones de código inseguro en varios lenguajes, ayudando a los desarrolladores a abordar posibles vulnerabilidades antes de que se conviertan en riesgos críticos para la seguridad.

En cuanto al filtrado, los modelos generativos de IA pueden explicar y añadir un contexto valioso a los identificadores de amenazas que, de otro modo, podrían pasar desapercibidos para el personal de seguridad humano. Por ejemplo, TT1059.001 -un identificador de técnica dentro del marco ATT&CK de MITRE- puede ser reportado pero desconocido para algunos profesionales de la ciberseguridad, lo que provoca la necesidad de una explicación concisa. ChatGPT puede reconocer con precisión el código como un identificador MITRE ATT&CK y proporcionar una explicación del problema específico asociado con él, que implica el uso de scripts PowerShell maliciosos, según el documento. También explica la naturaleza de PowerShell y su uso potencial en ataques de ciberseguridad, ofreciendo ejemplos relevantes.

En mayo, OX Security anunció el lanzamiento de OX-GPT, una integración de ChatGPT diseñada para ayudar a los desarrolladores con recomendaciones de corrección de código personalizadas y correcciones de código de cortar y pegar, incluyendo cómo los códigos podrían ser explotados por los hackers, el posible impacto de un ataque y el daño potencial a la organización.

 

Reversión de complementos, análisis de API de archivos PE

La tecnología Generative AI/LLM puede utilizarse para ayudar a crear reglas y revertir complementos populares basados en marcos de ingeniería inversa como IDA y Ghidra, afirma Matt Fulmer, director de Ingeniería de Ciberinteligencia de Deep Instinct. "Si eres específico en la petición de lo que necesitas y lo comparas con las tácticas ATT&CK de MITRE, puedes tomar el resultado fuera de línea y mejorarlo para usarlo como defensa".

Los LLM también pueden ayudar a comunicarse a través de las aplicaciones, con la capacidad de analizar las API de los archivos ejecutables portátiles (PE) y decirte para qué se pueden utilizar, añade. "Esto puede reducir el tiempo que los investigadores de seguridad pasan buscando a través de archivos PE y analizando la comunicación API dentro de ellos".

 

Consultas para la caza de amenazas

Los defensores de la seguridad pueden mejorar la eficacia y agilizar los tiempos de respuesta aprovechando ChatGPT y otros LLM para crear consultas de caza de amenazas, según CSA. Al generar consultas para la investigación de malware y herramientas de detección como YARA, ChatGPT ayuda a identificar y mitigar rápidamente las amenazas potenciales, permitiendo a los defensores centrarse en aspectos críticos de sus esfuerzos de ciberseguridad. Esta capacidad resulta inestimable para mantener una postura de seguridad sólida en un panorama de amenazas en constante evolución. Las reglas pueden adaptarse en función de los requisitos específicos y de las amenazas que una organización desee detectar o vigilar en su entorno.

 

La IA puede mejorar la seguridad de la cadena de suministro

Los modelos generativos de IA pueden utilizarse para abordar los riesgos de seguridad de la cadena de suministro mediante la identificación de posibles vulnerabilidades de los proveedores. En abril, SecurityScorecard anunció el lanzamiento de una nueva plataforma de calificaciones de seguridad para hacer precisamente esto mediante la integración con el sistema GPT-4 de OpenAI y la búsqueda global en lenguaje natural. Según la empresa, los clientes pueden hacer preguntas abiertas sobre su ecosistema empresarial, incluidos detalles sobre sus proveedores, y obtener rápidamente respuestas para tomar decisiones de gestión de riesgos. Por ejemplo, "encuentre a mis 10 proveedores peor valorados" o "muéstreme cuáles de mis proveedores críticos sufrieron ataques el año pasado", preguntas que, según SecurityScorecard, arrojarán resultados que permitirán a los equipos tomar rápidamente decisiones de gestión de riesgos.

 

Detección de texto generativo de IA en los ataques

Los LLM no sólo generan texto, sino que también están trabajando para detectar y poner marcas de agua al texto generado por IA, lo que podría convertirse en una función habitual del software de protección del correo electrónico, según CSA. Identificar el texto generado por IA en los ataques puede ayudar a detectar correos electrónicos de phishing y código polimórfico, y es realista suponer que los LLM podrían detectar fácilmente remitentes de direcciones de correo electrónico atípicos o sus dominios correspondientes, además de poder comprobar si los enlaces subyacentes en el texto conducen a sitios web maliciosos conocidos, afirma CSA.

 

Generación y transferencia de códigos de seguridad

Los LLM como ChatGPT pueden utilizarse tanto para generar como para transferir códigos de seguridad. CSA cita el ejemplo de una campaña de phishing que se ha dirigido con éxito a varios empleados de una empresa, exponiendo potencialmente sus credenciales. Si bien se sabe qué empleados han abierto el correo electrónico de phishing, no está claro si ejecutaron inadvertidamente el código malicioso diseñado para robar sus credenciales.

"Para investigar esto, se puede utilizar una consulta de Microsoft 365 Defender Advanced Hunting para encontrar los 10 eventos de inicio de sesión más recientes realizados por los destinatarios de correo electrónico dentro de los 30 minutos posteriores a la recepción de correos electrónicos maliciosos conocidos. La consulta ayuda a identificar cualquier actividad de inicio de sesión sospechosa que pueda estar relacionada con credenciales comprometidas".

Aquí, ChatGPT puede proporcionar una consulta de caza de Microsoft 365 Defender para comprobar los intentos de inicio de sesión de las cuentas de correo electrónico comprometidas, lo que ayuda a bloquear a los atacantes del sistema y aclara si el usuario necesita cambiar su contraseña. Es un buen ejemplo para reducir el tiempo de actuación durante la respuesta a un incidente cibernético.

Basándose en el mismo ejemplo, podría tener el mismo problema y encontrar la consulta de caza de Microsoft 365 Defender, pero su sistema no funciona con el lenguaje de programación KQL. En lugar de buscar el ejemplo correcto en el lenguaje deseado, puede realizar una transferencia de estilo de lenguaje de programación.

"Este ejemplo ilustra que los modelos Codex subyacentes de ChatGPT pueden tomar un ejemplo de código fuente y generar el ejemplo en otro lenguaje de programación. También simplifica el proceso para el usuario final añadiendo detalles clave a su respuesta proporcionada y la metodología detrás de la nueva creación", dijo CSA.

 

Garantizar el uso seguro

Al igual que muchos avances modernos, la IA y los LLM pueden equivaler a un arma de doble filo desde una perspectiva de riesgo, por lo que es importante que los líderes se aseguren de que sus equipos estén utilizando las ofertas de forma segura y protegida, insiste Chaim Mazal, CSO de Gigamon. "Los equipos de seguridad y legales deben estar colaborando para encontrar el mejor camino a seguir para que sus organizaciones aprovechen las capacidades de estas tecnologías sin comprometer la propiedad intelectual o la seguridad".

La IA generativa se basa en datos obsoletos y estructurados, así que tómela como punto de partida solo cuando evalúes su uso para seguridad y defensa, dice Fulmer. "Por ejemplo, si se utiliza para alguna de las ventajas mencionadas anteriormente, hay que justificar su salida. Tome la salida fuera de línea y haga que los humanos la hagan mejor, más precisa y más procesable”.

En última instancia, los chatbots/LLM de IA generativa mejorarán la seguridad y las defensas de forma natural con el tiempo, todo se reducirá a las comunicaciones internas y la respuesta. Mazal considera que “la IA/LLM generativa puede ser un medio para implicar a las partes interesadas a la hora de abordar los problemas de seguridad en todos los ámbitos de una forma más rápida y eficiente. Los líderes deben comunicar formas de aprovechar las herramientas para apoyar los objetivos de la organización mientras los educan sobre las amenazas potenciales".

Los chatbots impulsados por IA también necesitan actualizaciones regulares para seguir siendo efectivos contra las amenazas y la supervisión humana es esencial para garantizar que los LLM funcionen correctamente, revela Joshua Kaiser, ejecutivo de Tecnología de IA y CEO de Tovie AI. "Además, los LLM necesitan comprensión contextual para proporcionar respuestas precisas y detectar cualquier problema de seguridad, y deben probarse y evaluarse regularmente para identificar posibles debilidades o vulnerabilidades".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper