Por Dave Goossens, CEO de Lansweeper.
Cuando Anthropic publicó sus hallazgos de Mythos Preview a principios de este mes, la comunidad de seguridad se dio cuenta de inmediato de que estas capacidades representan un cambio sísmico, lo que obligó a una reacción urgente sobre cómo preparar defensas apropiadas.
La reacción de la comunidad de seguridad es rápida y furiosa: los CISO están revisando sus pilas de detección, los proveedores anuncian nuevas capacidades y marcos. La conversación se ha fusionado en gran medida en torno a una sola pregunta: ¿Está listo su programa de seguridad para la era de los ataques acelerados por IA?
Es una pregunta clave a responder, pero en nuestra opinión falta la primera pregunta que debemos hacernos: ¿tenemos cobertura total y comprensión total de lo que necesitamos proteger?
La explotación es el último paso, no el primero
Existe una lógica seductora para enmarcar la preparación de Mythos como un problema de detección de seguridad. Después de todo, la amenaza se materializa como un exploit, por lo que la respuesta debería ser una mejor detección de amenazas, una automatización de respuestas más rápida y una configuración SIEM más estricta.
Pero considere lo que tiene que ser cierto para que todo eso funcione.
Antes de que una herramienta de seguridad pueda detectar una anomalía, necesita saber cómo se ve “normal” para cada dispositivo, servicio y carga de trabajo en su entorno. Antes de que una respuesta automatizada pueda contener un activo comprometido, el sistema que lo contiene debe conocer ese activo. Antes de que se pueda implementar un parche para cerrar una vulnerabilidad, alguien o algo tiene que saber dónde se está ejecutando la versión vulnerable, en qué máquina, en qué segmento de red, administrado por qué equipo.
Toda la cadena de respuesta de seguridad está aguas abajo de algo que vive en las operaciones de TI: una comprensión completa, precisa y actual de su patrimonio tecnológico.
Cuando los exploits llegan en horas, el inventario de ayer es un pasivo
Durante la mayor parte de la última década, las organizaciones han operado con una tolerancia pragmática a la imperfección en sus datos de activos: los CMDB se desplazan, los escaneos Discovery se ejecutan semanalmente y Shadow IT se acumula entre ciclos de auditoría. Los equipos de TI y los equipos de seguridad mantienen listas separadas que nunca se concilian del todo. Todo el mundo sabe que los datos no son perfectos, pero el entorno de amenaza fue lo suficientemente lento como para que los equipos pudieran solucionarlo correlacionando, investigando y parcheando manualmente.
La llegada de la tecnología similar a Mythos nos plantea serias dudas sobre la sostenibilidad de esta disfunción funcional.
Las tres lagunas que hacen que las organizaciones sean estructuralmente indefendibles
El desafío no es sólo la velocidad. Es que contienen la mayoría de los patrimonios tecnológicos tres categorías de fracaso del conocimiento de TI que se convierten en vulnerabilidades críticas en un entorno de amenazas acelerado por IA.
1. La brecha de integridad
Lo reconozcamos o no, los inventarios actuales aún están incompletos. Existen diferentes equipos con diferentes inventarios para casos de uso específicos. Pero, ¿dónde está el panel único de control para TI, OT, IoT y Cloud? ¿y qué pasa con las herramientas de inteligencia artificial en la sombra que se ejecutan en las máquinas de los empleados? Las amenazas de clase Mythos no estarán limitadas por datos incorrectos en su CMDB o puntos ciegos en su inventario.
2. La brecha de coherencia
En la mayoría de las organizaciones, TI y Seguridad operan a partir de datos diferentes. TI tiene sus herramientas de gestión. La seguridad tiene su salida de escáner. La CMDB tiene algo completamente distinto. Cuando ocurre un incidente, conciliar estas imágenes en competencia lleva horas que los equipos simplemente no tendrán. La respuesta eficaz requiere una visión única y autorizada que ambas funciones compartan.
3. La brecha monetaria
Una vulnerabilidad revelada esta mañana podría aprovecharse activamente esta tarde. Para que su respuesta tenga éxito, su comprensión de qué sistemas están afectados, cuáles están parcheados y cuáles están expuestos debe medirse en minutos. Cualquier organización que todavía opere en ciclos de descubrimiento semanales está haciendo una apuesta potencialmente muy costosa. El futuro de la seguridad es preventivo, pero el nivel de automatización que esto requiere simplemente no puede funcionar sin datos validados continuamente.
Estas no son fallas del programa de seguridad. Estas son las consecuencias de que los equipos de TI y de seguridad operen con diferentes herramientas y diferentes conjuntos de datos, centrándose en las acciones tomadas en lugar de en la integridad y universalidad de los datos del patrimonio.
Qué significa realmente “Readiness” ahora
La conversación que exige Mythos no se trata principalmente de una mejor detección de amenazas. Se trata de lo que se necesita para cerrar las vulnerabilidades antes de que las capacidades de amenaza avanzadas puedan explotarlas.
Eso significa tratar la visibilidad de los activos no como una casilla de verificación de cumplimiento o un ejercicio periódico, sino como una capacidad operativa mantenida continuamente. Significa construir la infraestructura de datos que permita a los sistemas de respuesta automatizados actuar con confianza en lugar de vacilaciones.
Las organizaciones que navegarán con mayor éxito en la era de los Mitos no son aquellas con las capacidades de detección más sofisticadas, sino aquellas en las que estas capacidades se combinan y mejoran con la visibilidad total del patrimonio tecnológico, con el contexto.
Porqué esta conversación tiene un hogar en TI
Los argumentos anteriores reflejan lo que más de una década de trabajo con equipos de TI y seguridad en miles de organizaciones ha hecho claramente visible. La brecha entre lo que las organizaciones creen saber sobre su entorno y lo que realmente pueden confirmar ha sido consistente, persistente y trascendental mucho antes de que Mythos entrara en escena.
Lansweeper lleva veinte años construyendo la infraestructura que lo cierra. No porque anticipáramos específicamente la explotación acelerada por la IA, sino porque el problema subyacente de los datos de activos incompletos, inconsistentes y obsoletos no es exactamente nuevo. Lo hemos visto desarrollarse en todas las industrias, geografías y en todos los cambios importantes en el panorama de amenazas.
Esa experiencia nos da tanto una perspectiva como una responsabilidad. Una perspectiva, porque hemos observado este problema a una escala y profundidad que pocas organizaciones ven desde dentro. Y una responsabilidad, porque la conversación que la industria está teniendo ahora sobre las amenazas aceleradas por la IA requiere participantes que puedan hablar con la base de TI, no solo con la capa de respuesta de seguridad que tiene encima.