Blog 5 preguntas críticas sobre «Mythos» que todo CISO debe responder | Insight

Mythos ha sacado a la luz miles de nuevas vulnerabilidades críticas. He aquí las cinco preguntas que le harán a todo CISO y cómo responderlas.

Si te has despertado a las 3 de la mañana en las últimas semanas repasando mentalmente tu entorno (los sistemas heredados, las dependencias de código abierto que nadie ha tocado en años, el software de terceros heredado de adquisiciones), no estás solo.

Todos los CISO con los que he hablado desde que Anthropic hizo público su LLM Mythos han estado haciendo el mismo inventario mental.

Aprovechando Mythos, Project Glasswing ha sacado a la luz miles de vulnerabilidades críticas previamente desconocidas en sistemas operativos, navegadores y capas de infraestructura. Esa es la parte que ha acaparado los titulares.

La parte más difícil llega a las 3 de la mañana. Aunque nada ha cambiado en nuestro entorno, el riesgo al que estamos expuestos ha aumentado exponencialmente. Las vulnerabilidades que antes no podían explotarse de forma realista ahora pueden ser encadenadas por Mythos para comprometer cualquier entorno en el que consigan un punto de apoyo inicial.

Esto no se contendrá simplemente limitando el acceso a Mythos. A partir de ahora, todos los modelos de frontera tendrán estas capacidades inherentes. También ha dejado una cosa clara: la IA creó esta superficie de exposición, y la IA tendrá que formar parte de cómo la defendamos.

Esto es lo que he aprendido respondiendo a preguntas desde abril. La versión de las 3 de la mañana sigue su curso cuando llegan los parches. La versión a la luz del día es la que puedes moldear ahora.

Saber exactamente qué te van a preguntar tu consejo de administración, tu equipo legal y tus reguladores, y tener preparada una respuesta operativa y defendible, es lo que te permite pasar de estar a merced de esta respuesta a dirigirla.

Estas son las cinco preguntas que más importan.

Primero: Qué hizo realmente Mythos

Project Glasswing fue una coalición de lanzamiento controlado. Anthropic puso su modelo de IA más avanzado, Mythos, a disposición de un grupo selecto de proveedores tecnológicos para que escanearan su propio código fuente en busca de vulnerabilidades antes de cualquier divulgación pública.

El resultado: miles de vulnerabilidades críticas previamente desconocidas encontradas en los principales sistemas operativos, navegadores, dispositivos perimetrales y capas de infraestructura. Mythos analizó el código fuente directamente a nivel de plano de diseño, sacando a la luz fallos que habían estado en producción durante años, algunos durante décadas.

Los parches están llegando. La pregunta es si tu organización estará lista para recibirlos.

Pregunta 1: «¿Cuál es nuestra exposición y disponemos siquiera de un inventario de activos preciso?»

Esta suele ser la primera pregunta, y a menudo es la más difícil de responder con honestidad. Mythos cambió las reglas del juego sobre qué vulnerabilidades importan: puede encadenar CVE de gravedad media y baja para lograr el mismo acceso que un exploit crítico, lo que significa que tu lista de tareas pendientes se ha vuelto mucho más relevante.

Si no puedes responder a la pregunta de la dirección sobre la exposición, suele ser porque la visibilidad continua de los activos no se ha tratado como una capacidad crítica para la misión. En la mayoría de los entornos en los que he trabajado, una pequeña fracción de las vulnerabilidades genera la gran mayoría del riesgo organizativo real. Necesitas saber a cuáles te enfrentas hoy, no el trimestre pasado.

Y el cálculo se complica aún más si se tiene en cuenta el volumen de parches que provienen de los proveedores de infraestructura y OEM. Cada sistema operativo, navegador y capa de plataforma se enfrenta a la misma cadena de divulgaciones, y ese trabajo va a superar los métodos de puntuación de riesgo en los que la mayoría de nosotros hemos confiado durante la última década.

La respuesta que se sostiene ante tu consejo de administración es una cifra de exposición en tiempo real con una fecha asociada, un responsable asignado para lo que quede en la brecha y un enfoque de puntuación diseñado para vulnerabilidades encadenadas.

Pregunta 2: «¿Podemos parchear lo suficientemente rápido, a escala y sin interrumpir la producción?»

Lo ideal sería que la respuesta fuera sí... pero quizá no con los procesos actuales. La mayoría de las organizaciones funcionan con ciclos de parcheo mensuales o trimestrales, una cadencia concebida para una época en la que las amenazas se movían lentamente. Cuando se publica un parche, el reloj empieza a correr para todos, incluidos los actores de amenazas que aplican ingeniería inversa para encontrar la vulnerabilidad subyacente.

La velocidad por sí sola rompe cosas. En organizaciones donde una sola persona gestiona la TI, la seguridad y una docena de funciones más, un despliegue fallido en el momento equivocado significa días de inactividad. Lo que funciona es crear una capacidad de respuesta de parches con priorización de la criticidad de los activos, gestión de cambios coordinada y vías de escalado. Ese es un nuevo modelo operativo, diseñado para el ritmo que exige la amenaza actual.

Lo que presentas a la dirección es exactamente eso: un SLA de parcheo definido para tus activos más críticos, una priorización documentada para el resto y un protocolo de gestión de cambios que resista un despliegue real.

Pregunta 3: «¿Qué se oculta en nuestro software de código abierto y de terceros?»

Cualquier CISO experimentado conoce la respuesta honesta: no lo sabemos, y tenemos que prestar atención a eso. Piensa en Log4j. Los actores maliciosos habían sembrado vulnerabilidades en esa biblioteca años antes de que nadie se diera cuenta; se utilizaba en miles de organizaciones, muchas de las cuales la habían integrado en el software que entregaban a los clientes. La exposición no se descubrió; ya estaba en todas partes.

Project Glasswing sacó a la luz la misma realidad a mayor escala. Las vulnerabilidades viven en las bibliotecas de código abierto que tus desarrolladores incorporaron hace años, en las integraciones de terceros heredadas a través de adquisiciones y en los paquetes que alimentan tu infraestructura web.

Si no dispones de una lista de materiales de software (SBOM) para tu entorno, no sabes lo que tienes. Lo que presentas en esa sala es una SBOM en desarrollo, una lista priorizada de tus dependencias de mayor riesgo y un árbol de contactos de proveedores listo antes de que llegue la próxima divulgación.

Pregunta 4: «¿Disponemos de la capacidad de ingeniería para solucionar nuestra propia lista de tareas pendientes?»

Esta es la pregunta que nadie quiere pronunciar en voz alta ante su equipo directivo, pero en la que todo el mundo está pensando. La remediación requiere personal cualificado, y la escasez de talento en seguridad no se detuvo por Glasswing. Para la mayoría de las organizaciones, las personas que realizarían el trabajo de remediación ya están plenamente comprometidas.

Si hay una brecha en tu capacidad de ingeniería, reconocerlo claramente es lo más responsable que puedes hacer. Refuerza los recursos externos, prioriza de forma implacable para centrar los equipos internos en los elementos de mayor riesgo e incorpora prácticas seguras por defecto en el desarrollo de cara al futuro. Las organizaciones que salgan mejor paradas de esto serán las que tomen decisiones realistas sobre su capacidad ahora.

Lo que funciona ante la dirección son cifras honestas: las horas necesarias, la brecha entre eso y la capacidad de tu equipo, y el plan específico que estás ejecutando para cerrarla.

Pregunta 5: «Si un parche se retrasa, ¿podemos detectar y contener el exploit?»

Esta es la cruda realidad: no todos los parches van a llegar a tiempo. El consejo de administración lo sabe. El equipo legal lo sabe. La pregunta que realmente se hacen es: ¿cuál es el plan de contingencia?

Zero Trust siempre ha incluido el principio de «asumir el compromiso» (assume breach), y la mayoría de las organizaciones adoptaron otras partes de este modelo hace años. Este es el momento en que asumir el compromiso deja de ser un concepto de planificación y se convierte en una postura operativa. Monitorización continua, caza de amenazas (threat hunting) proactiva y contención medida en minutos, no en horas.

Si tu bucle de detección a aislamiento se mide en horas, los actores de amenazas ya se están moviendo más rápido que tú. La respuesta defendible es tu tiempo medio de contención actual, el objetivo hacia el que lo estás dirigiendo y un programa de caza de amenazas adaptado a las superficies de exposición de Mythos.

Las preguntas se acumulan. Las respuestas también.

Ninguna de estas cinco preguntas existe de forma aislada. Una brecha en la visibilidad de los activos alimenta el problema del parcheo. Un retraso en el parcheo crea una ventana de detección. Una cadena de suministro no escaneada significa que puedes estar asumiendo una exposición sobre la que ni siquiera has preguntado. Ese efecto acumulativo es la razón por la que abordar la exposición a esta escala requiere visibilidad continua, parcheo coordinado, escaneo de la cadena de suministro, capacidad de ingeniería y detección ejecutándose en paralelo.

Eso significa operar a la velocidad de la IA. Mythos demostró lo que la IA puede hacer en el lado ofensivo. El lado defensivo tiene que estar a la altura, con herramientas de IA y automatización integradas en cada paso de nuestros esfuerzos de remediación. Esa es la única manera de mantenernos por delante de los adversarios en lugar de estar perpetuamente intentando alcanzarlos.

La ventana es real y es finita. Las preguntas ya están llegando. Asegúrate de estar preparado con algo más que una respuesta.

Cómo estructuramos estas preguntas internamente

Si te estás preguntando cómo poner en práctica estas respuestas, así es como lo hicimos nosotros. Las cinco preguntas anteriores se corresponden directamente con cinco capacidades funcionales, las mismas que desplegamos primero para nosotros mismos y luego empaquetamos para los clientes bajo el nombre de Insight Managed Exposure Defense. Si estás evaluando tu postura o preparando un caso internamente, así es como se conectan:

«¿Cuál es nuestra exposición y disponemos de un inventario de activos preciso?»

• Gestión continua de la exposición a amenazas (CTEM): Visibilidad de activos en tiempo real, priorización de vulnerabilidades basada en el riesgo y escaneo diario para que trabajes con una imagen actualizada de tu entorno.

«¿Podemos parchear lo suficientemente rápido, a escala y sin interrumpir la producción?»

• Parcheo gestionado: Remediación basada en SLO con puntuación de la criticidad de los activos, gestión de cambios coordinada y vías de escalado para hallazgos críticos, sin necesidad de que tu equipo tenga que elegir entre velocidad y estabilidad.

«¿Qué se oculta en nuestro software de código abierto y de terceros?»

• Cadena de suministro de software y riesgo de OSS: Escaneo continuo de bibliotecas de código abierto, desarrollo de listas de materiales de software (SBOM) y monitorización del riesgo de dependencias para que puedas responder a la pregunta de la cadena de suministro con datos fundamentados.

«¿Disponemos de la capacidad de ingeniería para solucionar nuestra propia lista de tareas pendientes?»

• Subcontratación de desarrolladores de software: Recursos de ingeniería nativos en seguridad que aumentan la capacidad de tu equipo interno sin incrementar la plantilla, diseñados específicamente para el tipo de volumen de trabajo acumulado que está creando Glasswing.

«Si un parche se retrasa, ¿podemos detectar y contener el exploit?»

• XDR gestionado: Monitorización SOC 24/7, caza proactiva de amenazas y capacidad de contención medida en minutos, de modo que la cobertura de detección cubra la brecha mientras se completa la remediación.

La razón por la que estos cinco servicios funcionan como una oferta integrada, y la razón por la que nosotros mismos los estamos aplicando todos ahora mismo, es que las preguntas se acumulan, al igual que el riesgo de abordarlas por separado.

Tanto si creas estas capacidades internamente, como si las adquieres o te asocias para cubrir las brechas, el objetivo es el mismo: una respuesta coherente en las cinco áreas. El momento de construirla es ahora.