O centro de cibersegurança do Reino Unido (NCSC) está alertando organizações a se prepararem para uma onda de atualizações de segurança, impulsionada pelo uso de inteligência artificial na descoberta de vulnerabilidades. O alerta consta de um artigo publicado no dia 1º de maio no blog do NCSC. O diretor de tecnologia da instituição, Ollie Whitehouse, explicou no texto que a IA, quando utilizada por indivíduos suficientemente qualificados, está demonstrando capacidade de explorar dívidas técnicas em escala e velocidade em todo o ecossistema de tecnologia. Como resultado, o NCSC espera uma “correção forçada” para resolver esse passivo em todos os tipos de software, incluindo código aberto, comercial, proprietário e serviços em nuvem.
Redução da superfície de ataque e priorização no perímetro
O centro recomenda que as organizações reduzam suas superfícies de ataque externas, priorizem tecnologias no perímetro e substituam produtos que chegaram ao fim da vida útil e não recebem mais atualizações. O NCSC aconselha ainda que, onde o “hot patching” (correção segura automática sem interrupção de serviço) estiver disponível, ele deve ser ativado como prioridade. Quando atualizações automáticas forem possíveis (inclusive para dispositivos embarcados), a orientação é ativá-las para reduzir a carga sobre as equipes de suporte. Para os demais casos, as organizações precisarão garantir que seus processos e apetite a risco suportem atualizações frequentes e em escala, observando as compensações operacionais em sistemas críticos ou de segurança.
Método de priorização e preparação para a onda de patches
O blog do NCSC sugere o uso de um sistema de categorização de vulnerabilidades baseado em partes interessadas (SSVC) para priorizar a instalação de atualizações. O centro recomenda que organizações implementem uma política de “atualizar por padrão”, aplicando correções de software assim que possível, de preferência de forma automática. Whitehouse também apela para que produtores de tecnologia incluam, onde apropriado, tecnologias de segurança de memória e contenção, como CHERI, para minimizar a dívida técnica sistêmica. O NCSC orienta que consumidores e operadores concentrem-se nos fundamentos da cibersegurança para aumentar a resiliência e reduzir o impacto de violações, adotando esquemas como o Cyber Essentials ou o Cyber Assessment Framework para organizações que operam serviços essenciais.
O uso de IA por atacantes qualificados está acelerando a descoberta e exploração de dívidas técnicas acumuladas em décadas. Recomenda-se que organizações preparem processos para aplicar correções de segurança com mais rapidez, frequência e escala. É aconselhável priorizar a redução da superfície de ataque externa e ativar atualizações automáticas sempre que possível.
