IA y pruebas de penetración: cómo la inteligencia artificial está redefiniendo la seguridad ofensiva


En el último año, un tema ha dominado las conversaciones en la industria de la ciberseguridad: la inteligencia artificial.

Carece de duda que cada semana llega un nuevo anuncio, una nueva capacidad o una nueva predicción sobre cómo la IA transformará la seguridad. En la seguridad ofensiva, la discusión se ha intensificado. Vemos descubrimiento de vulnerabilidades asistido por IA, simulaciones de ataques generadas por IA, herramientas de análisis impulsadas por IA y afirmaciones cada vez más audaces sobre pruebas de seguridad autónomas.

Una pregunta que me hacen con mayor frecuencia es sorprendentemente simple:

“¿La IA reemplazará a los testers de penetración?”

Mi respuesta es igualmente simple: No.

Lo que hará la IA es cambiar la forma en que trabajan los testers de penetración.

Y en muchos sentidos, hará que los testers experimentados sean aún más valiosos.

La IA ya está cambiando las pruebas de seguridad

Empecemos por lo obvio.

Las modelos modernos de IA son impresionantes: pueden procesar grandes volúmenes de información, identificar patrones, resumir hallazgos, correlacionar fuentes de datos y descubrir posibles problemas mucho más rápido de lo que cualquier analista podría hacer manualmente.

En seguridad ofensiva, la IA ya está ayudando a los equipos a:

  • Identificar vulnerabilidades con mayor rapidez
  • Analizar grandes conjuntos de datos
  • Correlacionar hallazgos entre diferentes entornos
  • Visualizar posibles rutas de ataque
  • Generar documentación e informes
  • Reducir tareas manuales repetitivas

Estos son avances significativos.

Muchas de las actividades que tradicionalmente consumían tiempo de consultoría pueden acelerarse considerablemente.

Como resultado, las organizaciones están obteniendo una mayor visibilidad de sus entornos como nunca antes.

Pero la visibilidad por sí sola nunca ha sido el objetivo final.

Encontrar vulnerabilidades nunca ha sido la parte difícil

Una de las mayores ideas erróneas en ciberseguridad es pensar que encontrar vulnerabilidades es el principal desafío.

No lo es.

Entender el riesgo sí lo es.

La mayoría de las organizaciones ya disponen de grandes cantidades de datos de seguridad. Ejecutan escáneres de vulnerabilidades. Reciben informes de pruebas de penetración. Consumen inteligencia de amenazas. Despliegan herramientas de gestión de superficie de ataque. Monitorean logs y alertas.

El problema rara vez es la falta de información. El problema es entender qué es lo que realmente importa.

  • Qué vulnerabilidades son realmente explotables
  • Qué rutas de ataque representan amenazas realistas
  • Qué hallazgos requieren remediación inmediata
  • Qué hallazgos pueden esperar

Estas preguntas son mucho más difíciles de responder que simplemente identificar una vulnerabilidad. Requieren contexto.

El contexto es donde la experiencia humana importa

Una vulnerabilidad rara vez existe aislada.

El riesgo real asociado a cualquier hallazgo depende de una serie de factores, como la criticidad del activo, el impacto en el negocio, los controles compensatorios, los privilegios de los usuarios, la configuración del entorno, la motivación del atacante y las interrelaciones entre múltiples debilidades.

Es aquí donde los testers de penetración experimentados aportan un valor que la IA no puede replicar por sí sola.

Al realizar una evaluación, no nos limitamos a identificar vulnerabilidades. Pensamos como atacantes.

Preguntamos cosas como:

  • ¿Cómo obtendría acceso inicial?
  • ¿Qué apuntaría a continuación?
  • ¿Cómo podría encadenar estas debilidades?
  • ¿Qué datos podrían ser accedidos?
  • ¿Qué tan difícil sería la explotación?
  • ¿Cuál sería el impacto comercial probable?

Estas decisiones rara vez son directas. Requieren juicio, creatividad y experiencia.

Dos organizaciones pueden tener la misma vulnerabilidad en sus entornos, pero el riesgo asociado puede ser muy diferente dependiendo del contexto circundante.

Comprender esa diferencia es donde la experiencia humana se vuelve crítica.

El futuro no es pruebas autónomas

Actualmente hay mucho entusiasmo alrededor de las pruebas de seguridad autónomas. La idea es atractiva: alimentar un entorno a un modelo de IA y obtener a cambio una comprensión completa del riesgo.

La realidad es mucho más compleja.

Los atacantes no operan según flujos de trabajo predefinidos.

  • Se Adaptan
  • Improvizan
  • Explotan oportunidades inesperadas
  • Combinan debilidades aparentemente insignificantes en cadenas de ataque significativas

Las evaluaciones de seguridad ofensiva exitosas requieren la misma flexibilidad.

Si bien la IA puede ayudar con el análisis y el descubrimiento, la seguridad de pruebas sigue siendo, fundamentalmente, un ejercicio de comprender el comportamiento humano, el contexto empresarial y la toma de decisiones del atacante. Son áreas donde la experiencia humana continúa superando a la automatización.

En el corto plazo, creo que el enfoque más efectivo será una prueba liderada por humanos y asistida por IA. No humano frente a IA. Humano más IA.

La IA debe hacer que los testers de penetración sean mejores

La conversación no debe tratar de reemplazar a los testers de penetración. Debe tratar de habilitarlos. Cuando las tareas repetitivas se eliminan mediante automatización, los consultores pueden dedicar más tiempo a las áreas donde generan mayor valor.

En lugar de procesar información manualmente, pueden invertir más tiempo en:

  • Investigar rutas de ataque
  • Validar la explotabilidad
  • Entender el impacto en el negocio
  • Identificar cadenas de ataque complejas
  • Aconsejar a los clientes sobre prioridades de remediación
  • Entregar resultados de seguridad significativos

En muchos aspectos, la IA permite a los profesionales de seguridad operar a un nivel superior. Potencia la experiencia en lugar de reemplazarla. El resultado no es menos testers de penetración.

Es testers de penetración más efectivos.

El verdadero desafío es la priorización

A medida que la IA mejora el descubrimiento y análisis de vulnerabilidades, las organizaciones inevitablemente encontrarán más hallazgos de seguridad.

Eso suena positivo, pero introduce un nuevo reto. Más hallazgos no reducen automáticamente el riesgo. De hecho, sin una priorización eficaz, pueden generar ruido adicional.

Las organizaciones que tengan éxito en la próxima década no serán necesariamente las que encuentren más vulnerabilidades. Serán las que puedan distinguir de forma más eficiente el riesgo real del ruido de fondo, entender cómo podrían explotar las debilidades los atacantes en la práctica y tomar decisiones informadas sobre dónde dirigir recursos finitos.

Con la IA que continúa mejorando el descubrimiento y análisis de vulnerabilidades, los equipos de seguridad tendrán acceso a más datos, más hallazgos y una mayor visibilidad que nunca. Aunque esto representa un avance significativo para la industria, la visibilidad por sí sola no reduce el riesgo. El valor real radica en entender qué importa, qué es explotable y qué acción debe tomarse a continuación.

Por ello, sostengo que el futuro de las pruebas de seguridad no es autónomo. Es liderado por humanos y asistido por IA. Las herramientas de IA seguirán acelerando el análisis, mejorando la visibilidad y ayudando a descubrir oportunidades que antes podrían haberse pasado por alto. Sin embargo, comprender el contexto empresarial, evaluar el riesgo en el mundo real y tomar decisiones de seguridad sólidas seguirá siendo una responsabilidad fundamentalmente humana.

La industria de la ciberseguridad ha pasado años intentando resolver el problema de la visibilidad. La IA está ayudando a avanzar enormemente. El siguiente gran desafío es la priorización, y ahí es donde los profesionales de seguridad experimentados seguirán desempeñando su papel más importante.

Hemos destacado el mejor software antivirus.

Este artículo se produjo como parte de TechRadar Pro Perspectives, nuestro canal para presentar a las mentes más brillantes de la industria tecnológica hoy.

Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, descubra más aquí: https://www.techradar.com/pro/perspectives-how-to-submit

from Latest from TechRadar https://ift.tt/8B0eyZT
via IFTTT IA