Inteligencia artificial

Rob Gurzeev, CEO y Co-Fundador de CyCognito – Serie de Entrevistas

mm
Publicado el
Actualizado el

Rob Gurzeev, CEO y Co-Fundador de CyCognito, ha liderado el desarrollo de soluciones de seguridad ofensiva para el sector privado y las agencias de inteligencia.

Antes de fundar CyCognito, fue Director de Seguridad Ofensiva y jefe de I+D en C4 Security (adquirida por Elbit Systems) y CTO del Departamento de Productos del Cuerpo de Inteligencia 8200 de Israel. Los honores que recibió como oficial de las Fuerzas de Defensa de Israel incluyeron el Premio a la Excelencia, el Premio al Pensamiento Creativo y el Premio Fuente de Vida.

CyCognito fue fundada por veteranos de agencias nacionales de inteligencia que entienden cómo los atacantes explotan los puntos ciegos y se unieron a la gestión experimentada de algunas de las empresas de ciberseguridad más confiables.

¿Qué te atrajo inicialmente a la ciberseguridad?

Me interesé por primera vez en la tecnología alrededor de los 13 o 14 años. Comencé a frecuentar canales IRC con personas curiosas sobre la tecnología y lo que se llamaba “hacking” en ese momento.

La gente en ese entonces experimentaba con todo tipo de cosas interesantes como la criptografía en aplicaciones de mensajería. También experimentaban con el intercambio de archivos. Los niños se gastaban bromas a sus amigos enviando un archivo ejecutable que desencadenaría una acción divertida de algún tipo. Si se piensa en ello, esto fue la base de lo que hoy llamamos ataques de “ingeniería social”.

Todo esto me hizo pensar: ¿qué pasaría si una persona con malas intenciones se hiciera con esta tecnología para fines maliciosos?

Estas primeras experiencias son lo que inició mi carrera en seguridad. Finalmente, terminé en la Fuerza de Inteligencia Unit 8200 de Israel haciendo trabajo de reconocimiento, y más tarde co-fundé CyCognito.

¿Puedes compartir la historia de la creación de CyCognito?

CyCognito se fundó sobre la conciencia de que los atacantes siempre están por delante de los defensores. Son inteligentes, implacables y siempre buscan el camino de menor resistencia. Y mientras que todos los atacantes necesitan solo un punto débil para romper, los equipos de seguridad tienen que asegurar cada posible punto de entrada en una superficie de ataque en constante crecimiento y evolución. Es un desafío bastante grande.

Para empeorar el problema, la mayoría de las organizaciones tienen puntos de entrada potenciales que no son visibles para los equipos de seguridad pero que son fáciles de descubrir para los actores de amenazas.

Un día, me senté con mi co-fundador, Dima Potekhin, y nos propusimos cambiar el paradigma donde, en lugar de desplegar agentes o instruir a un escáner de puertos para escanear algunos rangos de IP conocidos, crearíamos una solución que funcionara como un atacante de clase mundial, es decir, que comenzaría sabiendo solo el nombre de la empresa y luego procedería a identificar los activos más en riesgo y los caminos abiertos más tentadores.

Queríamos simular una operación ofensiva de un atacante, comenzando desde el paso uno, donde el atacante solo conoce el nombre de la empresa objetivo y su objetivo es acceder a datos sensibles.

Así que, en 2017, tomamos nuestra experiencia en agencias nacionales de inteligencia y comenzamos a hacer que esto sucediera con la misión de ayudar a las organizaciones a prevenir violaciones, mediante la cartografía continua de sus puntos ciegos de exposición externa y la búsqueda de los caminos de menor resistencia hacia sus redes internas. Esto requirió aprovechar no solo el conocimiento cibernético ofensivo avanzado, sino también la tecnología moderna que es bastante rara en nuestra industria, como modelos de aprendizaje automático bayesianos, LLM, NLP y modelos de datos de grafo.

Hoy en día, ayudamos a empresas emergentes y grandes empresas Globales 100 a asegurar sus superficies de ataque contra amenazas en crecimiento. Algunos de nuestros clientes incluyen Colgate-Palmolive, Estado de California, Berlitz, Hitachi, Tesco, por nombrar algunos.

¿Qué es la Gestión de la Superficie de Ataque Externa?

La definición de texto de la Gestión de la Superficie de Ataque Externa (EASM) se refiere a los procesos y tecnologías utilizados para identificar, evaluar y gestionar la exposición de los activos digitales de una organización que son accesibles o visibles desde Internet.

Las superficies de ataque externas son vastas y complejas. Una sola organización puede tener cientos y miles de sistemas, aplicaciones, instancias en la nube, cadenas de suministro, dispositivos IoT y datos expuestos a Internet, a menudo extendiéndose a filiales, múltiples nubes y activos gestionados por terceros.

Los equipos de seguridad tienen una capacidad limitada para descubrir estos activos. Están abrumados con miles de alertas, pero no tienen el contexto para saber cuáles son críticos y cuáles priorizar.

Aislar los problemas críticos primero requiere visibilidad en la superficie de ataque, pero lo más importante, requiere una comprensión profunda del contexto y propósito de los activos afectados. Una vez que se establezca eso, los equipos de seguridad pueden calcular los caminos de ataque y predecir qué amenazas específicas importan, es decir, aquellas que probablemente causen daños monetarios o de reputación graves a la empresa. Luego, la organización puede priorizar correctamente y remediar para el máximo impacto.

¿Puedes compartir tus puntos de vista sobre la importancia de pensar como un atacante para descubrir riesgos desconocidos?

Según el Informe de Violaciones de Datos de Verizon, el 82% de los ataques provienen de fuera hacia adentro. Además, la mayoría de las violaciones, según Gartner, están relacionadas con activos desconocidos y no gestionados.

Esto es precisamente por qué adoptar un enfoque de fuera hacia adentro para evaluar la superficie de ataque es crucial para evaluar y gestionar el riesgo de ciberseguridad. Ponerse en el lugar del atacante proporciona una visión objetiva de las joyas de la corona que viven dentro de los sistemas y, lo más importante, qué están expuestas y vulnerables.

Como mencioné anteriormente, las superficies de ataque están en constante crecimiento y son complejas. La mayoría de los equipos de seguridad carecen de visibilidad de espectro completo en activos expuestos y vulnerables. Los atacantes lo saben. Y explorarán implacablemente la superficie de ataque, buscando el camino de menor resistencia y esa brecha que los equipos de seguridad no monitorean. Desafortunadamente, una sola brecha de seguridad es todo lo que necesitan para entrar. Mientras tanto, los equipos de seguridad tienen la difícil tarea de identificar las exposiciones que hacen que sus organizaciones sean más vulnerables y luego tomar medidas para proteger esos puntos de entrada.

¿Con qué frecuencia identificas amenazas que se deben a aplicaciones y API externas que simplemente no están siendo monitoreadas o probadas?

Más a menudo de lo que nos gustaría. Recientemente realizamos una investigación que muestra aplicaciones y API de nube pública vulnerables, móviles y web que exponen datos sensibles, incluidas API no seguras y información de identificación personal (PII). A continuación, se presentan algunos de los hallazgos clave:

  • El 74% de los activos con PII son vulnerables a al menos una explotación conocida importante, y uno de cada 10 tiene al menos un problema fácilmente explotable.
  • El 70% de las aplicaciones web tienen brechas de seguridad graves, como la falta de protección WAF o una conexión cifrada como HTTPS, mientras que el 25% de todas las aplicaciones web carecían de ambas.
  • La empresa global promedio tiene más de 12.000 aplicaciones web, que incluyen API, aplicaciones SaaS, servidores y bases de datos, entre otros. Al menos el 30% de estas aplicaciones web, más de 3.000 activos, tienen al menos una vulnerabilidad explotable o de alto riesgo. La mitad de estas aplicaciones web potencialmente vulnerables se encuentran en la nube.
  • El 98% de las aplicaciones web son potencialmente incumplidoras del GDPR debido a la falta de oportunidad para que los usuarios opten por no aceptar cookies.

Nuestra investigación, aparte, hay evidencia abundante de estas amenazas ahí fuera hoy en día. El exploit de MOVEit es un caso de punto, que todavía está en curso.

¿Puedes discutir la importancia de consolidar los procesos y herramientas para probar y gestionar la superficie de ataque?

La “inflación de la pila” es algo que la mayoría de las empresas sufren. Es particularmente pronunciada en la seguridad. La mayoría de las organizaciones tienen herramientas de seguridad desconectadas y en silos. Ha habido este mantra en la seguridad de que más plataformas eliminarán las brechas de seguridad. Pero en lugar de eso, abre la puerta a errores humanos, redundancias, carga operativa aumentada y puntos ciegos.

CyCognito fue construida para hacer el trabajo de muchas soluciones de puntos heredadas. Ayudamos a las empresas a consolidar su pila para que puedan centrarse en hacer su trabajo.

¿Cuáles son algunas formas en que los actores maliciosos están utilizando LLM y AI generativa para ampliar los ataques?

Todavía no hemos visto ataques a gran escala que utilicen LLM, pero solo es cuestión de tiempo. Desde mi perspectiva, los LLM tienen el potencial de proporcionar mayor escala, alcance, velocidad y amplitud a varias etapas de los ciberataques.

Por ejemplo, los LLM tienen el potencial de acelerar la reconnaissance automatizada, donde los atacantes pueden mapear y descubrir los activos, marcas y servicios de una organización, junto con información sensible como credenciales expuestas. Los LLM también pueden ayudar en el descubrimiento de vulnerabilidades, identificando debilidades dentro de una red objetivo y facilitar la explotación a través de técnicas como phishing o ataques de “punto de agua” para obtener acceso y explotar las vulnerabilidades de la red. Los LLM también pueden ayudar en el robo de datos copiando o exfiltrando datos sensibles de la red.

Además, las aplicaciones de consumo basadas en LLM, más notablemente ChatGPT, plantean una amenaza ya que pueden ser utilizadas tanto intencional como involuntariamente por los empleados para filtrar la propiedad intelectual de la empresa.

Las campañas de phishing proporcionan otro caso de uso. El phishing de alta calidad se basa en una comprensión profunda del objetivo; eso es precisamente lo que los grandes modelos de lenguaje pueden hacer muy bien, porque procesan grandes volúmenes de datos muy rápidamente y personalizan los mensajes de manera efectiva.

¿Cómo pueden las empresas, a su vez, utilizar la AI generativa para protegerse?

Buena pregunta. Esa es la buena noticia de todo esto. Si los atacantes pueden utilizar la IA generativa, también pueden hacerlo los equipos de seguridad. La IA generativa puede ayudar a los equipos de seguridad a hacer reconocimiento en sus propias empresas y remediar las vulnerabilidades. Pueden escanear y mapear su propia superficie de ataque más rápidamente y de manera más rentable para encontrar activos sensibles expuestos, como la información de identificación personal (PII), archivos, etc.

La IA generativa puede ayudar enormemente a entender el contexto empresarial de cualquier activo. Por ejemplo, puede ayudar a reconocer una base de datos que contiene PII y desempeña un papel en las transacciones de ingresos. Eso es extremadamente valioso.

La IA generativa también puede determinar el propósito empresarial de un activo. Por ejemplo, puede ayudar a distinguir entre un mecanismo de pago, una base de datos crítica y un dispositivo aleatorio, y clasificar su perfil de riesgo. Esto, a su vez, permite a los equipos de seguridad priorizar el riesgo de manera más efectiva. Sin la capacidad de priorizar, los equipos de seguridad tienen que buscar entre innumerables vulnerabilidades etiquetadas como “urgentes” cuando la mayoría en realidad no es crítica.

¿Por qué las empresas deben ser cautelosas al confiar demasiado en la IA generativa para fines defensivos?

La IA generativa tiene un gran potencial, pero hay problemas inherentes que debemos resolver como industria.

La imagen general para mí es que los modelos de IA generativa pueden hacer que los equipos de seguridad se confíen demasiado. El atractivo de la mayor automatización es grande, pero la revisión manual es crítica dado el estado actual de los modelos de IA generativa. Por ejemplo, los modelos de IA generativa “alucinan”. En otras palabras, producen salidas inexactas.

Además, los modelos de IA generativa (LLM, específicamente) no entienden el contexto porque están construidos sobre análisis de texto temporal y estadístico, lo que también puede llevar a “alucinaciones” adicionales que son muy difíciles de detectar.

Entiendo que los equipos de seguridad están cada vez más buscando hacer “más con menos”, pero la supervisión humana siempre será parte del proceso de seguridad.

¿Puedes discutir cómo CyCognito ofrece gestión automatizada de la superficie de ataque externa y pruebas continuas?

No suena como un disco rayado, pero como mencioné anteriormente, las superficies de ataque son vastas y complejas, y siguen creciendo.

Construimos CyCognito para cartografiar continuamente toda la superficie de ataque más allá del núcleo de la empresa para abarcar filiales, adquisiciones, joint ventures y operaciones de marca, y atribuir cada una a su propietario legítimo.

Hay algunas capacidades técnicas que vale la pena destacar.

En el proceso de descubrimiento de la superficie de ataque en la caja negra, nuestra plataforma aprovecha LLM como una de las decenas de fuentes de “hipótesis de atribución” que nuestros modelos de aprendizaje automático bayesianos analizan para determinar la estructura empresarial de la organización (hasta 1000 unidades comerciales y filiales) y asignar activos a propietarios (a escala de millones de activos de TI) completamente de forma automática.

La plataforma también acelera la clasificación de activos a través del procesamiento de lenguaje natural (NLP) y algoritmos heurísticos, una tarea que generalmente es costosa y consume muchos recursos.

También proporcionamos el contexto empresarial necesario para priorizar los riesgos de manera efectiva. Incluso si una vulnerabilidad afecta a mil máquinas, CyCognito puede identificar la más crítica al proporcionar información sobre el nivel de exposición, la importancia comercial, la explotabilidad y el murmullo de los hackers.

Tomamos un enfoque holístico para la Gestión de la Superficie de Ataque Externa, que supera la trampa de tratar todos los problemas críticos con la misma urgencia. Permitimos que la seguridad priorice los vectores críticos verdaderos, ahorrando tiempo y dinero.

Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar CyCognito.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un emprendedor serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI.

Como futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.