Nathan Levy, CEO ICE
Feher Consulting, Junio 2023
El modelo de Inteligencia Artificial (IA) ChatGPT está siendo probado públicamente y se evalúa su utilidad en la industria de la ciberseguridad.
El uso de aprendizaje automático/inteligencia artificial (ML/AI) en ciberseguridad es relativamente nuevo, pero se ha aplicado con éxito en casos como la detección y respuesta de puntos finales (EDR).
ML/AI puede identificar comportamientos anómalos y tomar medidas como eliminar procesos, bloquear cuentas y activar alertas. Además, ML/AI puede automatizar tareas y fortalecer la postura de ciberseguridad.
ChatGPT puede ser muy útil en ciberseguridad. Por ejemplo, si eres un analista junior y necesitas buscar eventos de seguridad en Splunk, ChatGPT puede convertir tus preguntas en consultas complejas en solo segundos. También puede ayudarte a escribir alertas para detectar ataques específicos, como ataques de fuerza bruta contra Active Directory. Esto es especialmente útil si eres nuevo en el campo de la ciberseguridad.
A veces, los equipos de TI tienen que recurrir a crear sus propios scripts para desactivar cuentas obsoletas. ChatGPT puede ayudar a simplificar este proceso, creando la lógica necesaria para identificar y desactivar automáticamente las cuentas inactivas durante 90 días. Esto ahorra tiempo a los ingenieros más experimentados y les permite enfocarse en tareas más avanzadas.
Además, ChatGPT puede ser utilizado en ejercicios de colaboración entre equipos de seguridad, como los equipos rojos y azules. Puede crear ejemplos de scripts simples que los probadores de penetración pueden utilizar o ayudar a depurar scripts que no están funcionando correctamente.
Una táctica común en los ciber incidentes es la persistencia, donde los atacantes agregan scripts de inicio en las máquinas de Windows. ChatGPT puede crear scripts básicos pero funcionales que los equipos rojos pueden utilizar para agregar esta persistencia a una máquina objetivo. Esto ayuda tanto a los equipos rojos en sus pruebas de penetración como a los equipos azules a comprender cómo se verían estas herramientas y crear mejores mecanismos de alerta.
Los beneficios y límites de la IA en ciberseguridad
La inteligencia artificial (IA) puede ser de gran ayuda para acelerar el análisis y encontrar nuevas formas de abordar situaciones o investigaciones en ciberseguridad. Puede automatizar tareas y generar ideas para fortalecer la ciberseguridad.
Sin embargo, también hay límites en el uso de la IA. La complejidad del pensamiento humano y la experiencia en la toma de decisiones no se pueden replicar por completo en una herramienta de IA. Solo podemos utilizar la IA como apoyo para analizar datos y producir resultados basados en la información que le proporcionamos. Aunque la IA ha avanzado mucho en poco tiempo, aún puede generar resultados incorrectos que deben ser verificados por un humano.
La IA puede automatizar tareas diarias y liberar a los humanos para trabajos más creativos. Puede mejorar los scripts utilizados por ingenieros y administradores en ciberseguridad, reduciendo el tiempo necesario para completar tareas. Sin embargo, aún es temprano para confiar completamente en la IA para tomar decisiones prácticas. La capacidad humana de pensamiento subjetivo es fundamental y la IA aún no puede emularla por completo.
La IA es una herramienta valiosa para profesionales de seguridad. Puede ayudar con tareas repetitivas y proporcionar instrucciones a profesionales menos experimentados. Aunque hay preocupaciones sobre la IA reemplazando trabajos humanos y su mal uso en ataques de phishing, no se considera que elimine empleos en tecnología de la información y ciberseguridad.
Estamos al inicio de la IA y aún no hemos explorado todas sus posibilidades.
Recordemos usarlo con cuidado, para desarrollar nuestra creatividad y reducir tiempo en tareas cotidianas para ser constantemente mejores profesionales, jamás olvidemos que la complejidad del pensamiento humano y la experiencia no puede ser reemplazada por completo.