La inteligencia artificial (IA) está cambiando la forma en que las personas y las organizaciones realizan muchas actividades, incluida la forma en que los ciberdelincuentes realizan ataques de phishing e iteran malware. Los ciberdelincuentes ahora utilizan la IA para generar correos electrónicos de phishing personalizados, deepfakes y malware para evadir la detección tradicional haciéndose pasar por la actividad normal del usuario y eludiendo los modelos de seguridad tradicionales. Como resultado, los modelos basados en reglas por sí solos suelen ser insuficientes para la seguridad de la identidad contra las amenazas impulsadas por la IA. El análisis del comportamiento debe evolucionar hacia un modelado de riesgos dinámico basado en la identidad que pueda no sólo monitorear patrones de actividad sospechosa a lo largo del tiempo sino también identificar discrepancias en tiempo real.
Riesgos comunes que plantean los ataques impulsados por IA
Los ciberataques impulsados por IA plantean riesgos de seguridad significativamente diferentes a los de las ciberamenazas tradicionales. Al confiar en la automatización e imitar el comportamiento legítimo, la IA permite a los ciberdelincuentes ampliar sus ataques y, al mismo tiempo, reducir la cantidad de señales obvias que pasan desapercibidas.
Phishing e ingeniería social impulsados por IA
A diferencia de los ataques de phishing tradicionales que utilizan mensajes genéricos, la IA permite mensajes de phishing personalizados a escala mediante el uso de datos públicos, la falsificación del estilo de redacción ejecutiva o la referencia a eventos reales para crear mensajes contextuales. Estos ataques impulsados por IA pueden reducir las señales de alerta obvias, eludir algunas técnicas de filtrado y depender de la manipulación psicológica en lugar de la entrega de malware, lo que aumenta significativamente el riesgo de robo de credenciales y fraude financiero.
Abuso de credenciales automatizado y apropiación de cuentas
La explotación de credenciales mejorada por IA puede optimizar los intentos de inicio de sesión y al mismo tiempo evitar activar umbrales de bloqueo, imitar el tiempo humano entre intentos de autenticación y apuntar a cuentas privilegiadas según el contexto. Debido a que estos ataques utilizan credenciales comprometidas, a menudo parecen legítimos y se mezclan con la actividad de inicio de sesión normal, lo que hace que la seguridad de la identidad sea un componente crítico de las estrategias de seguridad modernas.
Malware asistido por IA
Antes de que los ciberdelincuentes pudieran utilizar la IA para acelerar el desarrollo y la implementación de malware, tuvieron que cambiar manualmente las firmas del código y dedicar mucho tiempo a crear nuevas variantes. La IA puede acelerar aún más la variación, la programación y la adaptación. El malware adaptable moderno permite a los ciberdelincuentes modificar automáticamente el código para evadir la detección, cambiar el comportamiento según el entorno y generar nuevas variantes de exploits con poco o ningún esfuerzo manual. Los modelos tradicionales de detección basados en firmas tienen dificultades para hacer frente a un código en continua evolución, por lo que las organizaciones deben empezar a confiar en patrones de comportamiento en lugar de métricas estáticas.
Cómo falla la vigilancia conductual tradicional contra los ataques basados en IA
El monitoreo tradicional fue diseñado para detectar amenazas cibernéticas causadas por malware, vulnerabilidades de seguridad conocidas y anomalías de comportamiento visibles. A continuación se muestran algunas formas en las que el monitoreo del comportamiento tradicional no cumple con los ataques impulsados por IA.
La detección basada en firmas no puede identificar las amenazas más recientes: las herramientas basadas en firmas se basan en indicadores conocidos de compromiso. El malware asistido por IA reescribe constantemente su código y genera automáticamente nuevas variantes, lo que hace que la firma de código estático quede obsoleta. Los sistemas basados en reglas se basan en umbrales predefinidos. Muchos sistemas de seguimiento del comportamiento se basan en reglas como la frecuencia de inicio de sesión o la ubicación geográfica. Los ciberdelincuentes asistidos por IA ajustan su comportamiento para mantenerse dentro de los límites establecidos, llevan a cabo actividades maliciosas durante largos períodos de tiempo e imitan el comportamiento humano para evitar ser detectados. Los modelos basados en límites fallan cuando se trata de credenciales comprometidas. Los modelos de seguridad tradicionales basados en perímetro asumen confianza una vez que se autentica un usuario o dispositivo. Una vez que los ciberdelincuentes se autentican con credenciales legítimas, estos modelos obsoletos los tratan como usuarios válidos y les permiten realizar acciones maliciosas. Los ataques basados en IA están diseñados para parecer normales. Las ciberamenazas basadas en IA actúan dentro de la autoridad asignada, siguen los flujos de trabajo esperados e introducen actividades intencionalmente realizando actividades de forma incremental. Aunque las actividades aisladas pueden parecer legítimas, el principal riesgo surge cuando las actividades se consideran en paralelo con el contexto del comportamiento a lo largo del tiempo.
Por qué es necesario trasladar el análisis del comportamiento hacia ataques basados en IA
El paso al análisis de comportamiento moderno requiere una evolución de la simple detección de amenazas a un modelado de riesgos dinámico y consciente del contexto que pueda identificar abusos de privilegios sutiles.
Los ataques basados en identidad requieren contexto
Para parecer normales, los ciberdelincuentes impulsados por IA suelen utilizar credenciales comprometidas mediante phishing o abuso de credenciales, trabajan desde dispositivos y redes conocidos y llevan a cabo actividades maliciosas a lo largo del tiempo para evitar ser detectados. Los análisis de comportamiento modernos deben evaluar si incluso los pequeños cambios de comportamiento coinciden con los patrones de comportamiento típicos de un usuario. Los modelos de comportamiento avanzados establecen líneas de base, evalúan la actividad en tiempo real y combinan identidad, dispositivo y contexto de sesión.
El monitoreo debe extenderse a toda la pila
Una vez que los ciberdelincuentes obtienen acceso a los sistemas a través de credenciales comprometidas, débiles o reutilizadas, se centran en ampliar su acceso con el tiempo. La visibilidad del comportamiento debe cubrir toda la pila de seguridad, incluido el acceso privilegiado, la infraestructura de la nube, los puntos finales, las aplicaciones y las cuentas de administración. Para que el análisis del comportamiento sea más eficaz contra los ciberataques basados en IA, las organizaciones deben aplicar una seguridad de confianza cero y asumir que ningún usuario o dispositivo debe tener confianza implícita o autenticación automática basada en la ubicación de la red.
Los infiltrados malintencionados pueden utilizar herramientas de inteligencia artificial
Las herramientas de inteligencia artificial no solo fortalecen a los ciberdelincuentes externos, sino que también facilitan que personas internas maliciosas operen dentro de la red de una organización. Los usuarios malintencionados pueden utilizar la IA para automatizar la recopilación de credenciales, identificar información confidencial y generar contenido de phishing creíble. Debido a que los internos a menudo operan con privilegios legítimos, detectar el abuso de privilegios requiere identificar comportamientos anómalos, como acceso más allá de las responsabilidades definidas, actividad fuera del horario comercial normal o actividad repetida dentro de sistemas críticos. Al eliminar el acceso continuo mediante la aplicación del acceso justo a tiempo (JIT), el monitoreo y la grabación de sesiones, las organizaciones pueden limitar la exposición y reducir el impacto de las cuentas comprometidas y el abuso interno.
Proteja su identidad de ciberataques autónomos basados en IA
Los ciberataques impulsados por IA se están volviendo cada vez más automatizados, ya que los agentes de IA pueden crear campañas persuasivas de ingeniería social, probar credenciales a escala y reducir el esfuerzo práctico necesario para llevar a cabo ataques. Proteger las identidades humanas y no humanas (NHI) ahora requiere más que autenticación. Las organizaciones deben implementar análisis de comportamiento continuos y conscientes del contexto y controles de acceso granulares. Las soluciones modernas de gestión de acceso privilegiado (PAM) como Keeper integran análisis de comportamiento, monitoreo de sesiones en tiempo real y acceso JIT para proteger identidades en entornos híbridos y multinube.
Nota: Este artículo fue escrito cuidadosamente y contribuido por la redactora de contenido de Keeper Security, Ashley D’Andrea, para nuestros lectores.
Source link
