Cinco pasos para estar preparado para Mythos
La IA está descubriendo vulnerabilidades a una escala que desbordará las defensas tradicionales. He aquí cómo crear una organización de seguridad preparada para Mythos.
Puntos importantes
- Aunque los modelos de IA de vanguardia como Claude Mythos refuerzan las ciberdefensas, también permiten a los atacantes descubrir y aprovechar vulnerabilidades a una velocidad de máquina sin precedentes.
- Para evitar quedar sepultadas por una avalancha de vulnerabilidades descubiertas por la IA, las organizaciones deben priorizar sin piedad pasando de la puntuación heredada a un enfoque de filtrado basado en el riesgo que se centre en las rutas de ataque.
- Para alcanzar el estatus de "preparado para Mythos" es necesario implantar la detección y corrección automatizadas mediante agentes, así como la validación continua de adversarios para adaptarse a la velocidad de las amenazas modernas impulsadas por IA.
Tenable está colaborando estrechamente con Anthropic, OpenAI y otros líderes de IA a medida que integramos la IA avanzada en nuestra plataforma de gestión de exposición Tenable One, acelerando la investigación de vulnerabilidades, la automatización de la corrección y la defensa cibernética proactiva. En nuestras recientes conversaciones con estos proveedores de modelos de IA de vanguardia, una cosa ha quedado clara: los modelos cambian las reglas del juego en múltiples frentes. Pueden detectar vulnerabilidades en código fuente abierto y entornos empresariales complejos que han eludido a los investigadores humanos durante décadas.
Sin embargo, este avance presenta una paradoja. Mientras que modelos como Claude Mythos de Anthropic y GPT de OpenAI aceleran nuestra capacidad de defensa, al mismo tiempo mejoran las capacidades de los malos actores, permitiéndoles descubrir y convertir en armas los fallos a la velocidad de la máquina. También amenazan con sacar a la luz órdenes de magnitud superiores de vulnerabilidades que es necesario priorizar y corregir.
La superficie de ataque se ha ampliado. Ya no se trata sólo de la infraestructura tradicional, sino de los controles de acceso al modelo, los derechos de identidad y los flujos de trabajo operativos que rodean a la propia IA. Tanto si un atacante utiliza un día cero descubierto por la IA como si ataca directamente al pipeline de entrenamiento de la IA, el reto sigue siendo el mismo: no se puede gestionar lo que no se ve, y no se puede defender lo que no se prioriza.
Para prosperar en la era del LLM, he aquí las cinco acciones clave que hay que emprender hoy:
1. Establecer una detección de activos continua y determinista
No puede encontrar vulnerabilidades en activos que no ha descubierto. Las organizaciones deben implantar una base de sensores deterministas (escáneres, agentes y monitores pasivos) para mantener un inventario en tiempo real de cada activo digital. Y con la rápida adopción de la IA en las empresas de todo el mundo, es esencial tener visibilidad de todo su inventario de IA, en la sombra y autorizada.
A diferencia de la naturaleza probabilística de la IA de frontera, que puede ser incoherente, su descubrimiento debe ser determinista. Necesita un registro auditable de lo que hay en su red para obtener la "verdad sobre el terreno" necesaria para los informes de conformidad y de riesgos.
2. Pase de la priorización heredada al filtrado implacable de riesgos
Con el descubrimiento impulsado por Mythos, se espera que el volumen de revelaciones de vulnerabilidades crezca en órdenes de magnitud a corto plazo. Las herramientas estándar como CVSS o EPSS, que sólo miden la gravedad teórica o la probabilidad, harán que su equipo se ahogue en el ruido.
Un programa preparado para Mythos utiliza el aprendizaje automático para reducir la avalancha del "60% crítico" al 1,6% de vulnerabilidades que crean un riesgo real. Al cruzar los fallos descubiertos por la IA con las rutas de ataque y la criticidad del negocio, se asegura de que su equipo está arreglando los agujeros que realmente conducen a sus joyas de la corona, incluidos los propios modelos de IA.
3. Neutralice las combinaciones tóxicas mediante el análisis de ruta de ataque (Attack Path Analysis)
Los atacantes no consideran las vulnerabilidades de forma aislada. Buscan un camino. Encadenan un pequeño fallo de software, un cubo en la nube mal configurado y un permiso de identidad excesivo para alcanzar su objetivo. En la era de la IA, la gestión de exposición consiste en identificar estas "combinaciones tóxicas" antes de que lo haga un adversario.
El rápido crecimiento de la infraestructura de IA significa que cada día se forman nuevas rutas de ataque. Y la intersección de una infraestructura de IA mal configurada y una infraestructura de TI tradicional crea poderosas debilidades que pueden ser explotadas.
Utilice el análisis de ruta de ataque para visualizar cómo un atacante podría utilizar un exploit acelerado por IA para violar su perímetro y desplazarse lateralmente hacia sus datos de entrenamiento de IA o motores de inferencia. Si se cierra el camino, la vulnerabilidad pasa a ser irrelevante.
4. Validación adversarial de la exposición (AEV)
Cuando la ventana "prompt-to-exploit" se reduce de semanas a minutos, la seguridad teórica está muerta. Debe implantar la Validación de Exposición Adversarial (AEV), un bucle continuo de red teaming automatizado.
Al contrastar periódicamente su entorno con el marco ATT&CK de MITRE, obtendrá pruebas de cómo se comportan sus defensas frente a los exploits de velocidad de IA. Esta es la única forma de garantizar que su plan de respuesta ante incidentes no sea sólo un documento, sino un escudo probado contra la realidad de una brecha impulsada por Mythos.
5. Gobierno de la exposición a la IA con corrección agéntica
La superficie de riesgo de más rápido crecimiento en el mundo es la propia infraestructura de IA: modelos, pipelines de formación y agentes autónomos con acceso de alto nivel. Ahora son objetivos de alto valor que requieren una vigilancia estricta.
Para adaptarse a la velocidad de la amenaza, debe implementar motores de IA agéntica (como Tenable Hexa AI) para automatizar el triaje y la corrección de estas exposiciones. Esto permite una "defensa a velocidad de máquina", utilizando la IA para descubrir, etiquetar y parchear su infraestructura a la misma velocidad a la que Mythos descubre sus fallos.
El resultado
La ventana para actuar es estrecha. En nuestras conversaciones activas con la Oficina del Director Nacional Cibernético, la Alianza de Seguridad en la Nube y Anthropic, el consenso es claro en cuanto a que el enfoque del mínimo común denominador en materia de seguridad ya no será suficiente. Esto refuerza la criticidad de las prácticas tradicionales de higiene cibernética, al tiempo que subraya la necesidad de incorporar a su programa sistemas de automatización y eficacia. Hope is not a strategy.
Debemos utilizar los mismos principios de gestión de exposición para manejar el volumen que crea este aumento de descubrimientos. Vea todo, priorice sin piedad y corrija a la velocidad de la máquina. Eso es lo que significa estar preparado para Mythos.
Para obtener más información sobre cómo puede ayudar Tenable, lea también el reciente artículo de Vlad Korsunsky, director de tecnología de Tenable, titulado "Claude Mythos: Prepárese para las preguntas de ciberseguridad de su junta sobre el último modelo de IA de Anthropic".
Steve Vintz
Codirector General
Steve Vintz is an accomplished executive with more than 25 years of financial, operational and strategic planning experience working with growth companies in the technology industry. Como codirector ejecutivo (CEO) de Tenable, supervisa los productos, la ciberseguridad, el desarrollo corporativo y todas las funciones generales y administrativas, así como las finanzas, los impuestos, la tesorería, las TI y el departamento jurídico en todo el mundo. En 2015, Steve dirigió a Tenable durante su ronda de financiamiento de la Serie B, que constituía, en ese momento, la mayor ampliación de capital para una empresa privada de ciberseguridad. Luego, en 2018, dirigió la oferta pública inicial de la compañía, que fue una de las mayores operaciones de ampliación de capital para una empresa de seguridad que cotiza en bolsa en los Estados Unidos. Anteriormente, se desempeñó como Vicepresidente Ejecutivo y Director de Finanzas de Vocus desde 2001 hasta su venta en junio de 2014. Durante su gestión, logró que la compañía registrara 40 trimestres consecutivos de aumento de ingresos y rápida expansión, que incluyeron una oferta pública inicial, una oferta complementaria y varias adquisiciones. Antes de Vocus, Steve fue vicepresidente de planificación estratégica y análisis en Snyder Communications, donde desempeñó un papel fundamental en más de 45 adquisiciones y supervisó su crecimiento, que fue de $86 millones a casi $1000 millones en ingresos. También trabajó para los servicios empresariales o grupo de mercado intermedio de Ernst & Young en Washington, D.C. y Baltimore. Steve recibió varios premios y distinciones durante su carrera, incluyendo el de Director de Finanzas de Compañía Pública del Año otorgado por el Consejo de Tecnología de Virginia del Norte. Es contador público certificado y posee una licenciatura en Administración de Empresas de la Escuela de Negocios Sellinger de la Universidad Loyola.
Artículos relacionados
Claude Mythos: Prepare for your board’s cybersecurity questions about the latest AI model from Anthropic
With the Federal Reserve Chairman meeting with bank CEOs to discuss the security implications of Claude Mythos, you can bet that your board of directors will ask you about the impact of the AI model on your cybersecurity strategy. Here’s how to prepare.
Supply chain attack on Axios npm package: Scope, impact, and remediations
The Axios npm package has been compromised in a supply chain attack that uploaded new versions of the package containing malicious code. Any environment that downloaded these compromised Axios versions is at risk of severe data theft. Scan your environment now.
What’s new in Tenable Cloud Security: Custom policies, AWS ABAC, and research-driven protection
Stop the noise and scale your cloud security. Our latest updates introduce custom policy automation via Explorer, AWS ABAC support for true least privilege, and research-backed protection against critical vulnerabilities, all designed to slash MTTR without disrupting your DevOps workflows.
- Cloud
- Exposure Management