Cinco etapas para se preparar para a Mythos
A IA está descobrindo vulnerabilidades em uma escala que sobrecarregará as defesas legadas. Veja como criar uma organização de segurança que esteja preparada para o Mythos.
Principais conclusões
- Embora os modelos de IA de ponta, como o Claude Mythos, aumentem as defesas cibernéticas, eles também permitem que os invasores descubram e utilizem vulnerabilidades como armas em uma velocidade de máquina sem precedentes.
- Para evitar ser soterrado por uma avalanche de vulnerabilidades descobertas pela IA, as organizações devem priorizar impiedosamente, mudando da pontuação legada para uma abordagem de filtragem baseada em risco que se concentre nas vias de ataque.
- Para alcançar o status de "pronto para o Mythos", é necessário implementar a detecção e a correção automatizadas e agênticas, bem como a validação contínua do adversário para corresponder à velocidade das ameaças modernas orientadas por IA.
A Tenable está colaborando estreitamente com a Anthropic, a OpenAI e outros líderes de IA à medida que integramos a IA avançada à nossa Plataforma de gerenciamento de exposição Tenable One, acelerando a pesquisa de vulnerabilidades, a automação da correção e a defesa cibernética proativa. Em nossas discussões recentes com esses fornecedores de modelos de IA de ponta, uma coisa ficou clara: os modelos são um divisor de águas em várias frentes. Eles podem identificar vulnerabilidades em códigos abertos e ambientes empresariais complexos que escaparam aos pesquisadores humanos durante décadas.
No entanto, esse avanço apresenta um paradoxo. Enquanto modelos como o Claude Mythos da Anthropic e o GPT da OpenAI aceleram nossa capacidade de defesa, eles simultaneamente aprimoram os recursos dos agentes mal-intencionados, permitindo que eles descubram e utilizem falhas como armas na velocidade da máquina. Elas também ameaçam trazer à tona um número muito maior de vulnerabilidades que precisam ser priorizadas e corrigidas.
A superfície de ataque se expandiu. Não se trata mais apenas da infraestrutura tradicional, mas dos controles de acesso ao modelo, dos direitos de identidade e dos fluxos de trabalho operacionais que envolvem a própria IA. Independentemente de um invasor utilizar um dia zero descoberto pela IA ou visar diretamente o pipeline de treinamento de IA, o desafio continua o mesmo: não é possível gerenciar o que não se vê e não é possível defender o que não se prioriza.
Para prosperar na era do LLM, aqui estão as cinco principais ações a serem tomadas hoje:
1. Estabelecer descoberta de ativos contínua e determinística
Não é possível encontrar vulnerabilidades em ativos que você ainda não descobriu. As organizações devem implementar uma base de sensores determinísticos (verificadores, agentes e monitores passivos) para manter um inventário em tempo real de cada ativo digital. E com a rápida adoção da IA em todas as empresas do mundo, é essencial ter visibilidade de todo o seu inventário de IA, shadow e sancionada.
Ao contrário da natureza probabilística da IA de fronteira, que pode ser inconsistente, sua descoberta deve ser determinística. É necessário um registro auditável do que está na sua rede para fornecer a "verdade básica" necessária para relatórios de conformidade e risco.
2. Vá além da priorização do legado para uma filtragem implacável de riscos
Com a descoberta orientada pelo Mythos, espera-se que o volume de divulgações de vulnerabilidades cresça em ordens de magnitude no curto prazo. Ferramentas padrão como CVSS ou EPSS, que medem apenas a severidade ou a probabilidade teórica, farão com que sua equipe se afogue no ruído.
Um programa pronto para o Mythos usa machine learning para reduzir a inundação de "60% de criticidade" para os 1,6% de vulnerabilidades que criam risco real. Ao fazer referência cruzada das falhas descobertas pela IA com as vias de ataque e a criticidade dos negócios, você garante que sua equipe esteja corrigindo as falhas que realmente levam às joias da coroa, incluindo os próprios modelos de IA.
3. Neutralize as combinações tóxicas por meio da análise da via de ataque
Os invasores não analisam as vulnerabilidades isoladamente. Eles procuram um caminho. Eles encadeiam uma pequena falha de software, um bucket de nuvem com configuração incorreta e uma permissão de identidade excessiva para atingir seu alvo. Na era da IA, o gerenciamento de exposição consiste em identificar essas "combinações tóxicas" antes que um adversário o faça.
O rápido crescimento da infraestrutura de IA significa que novas vias de ataque se formam todos os dias. E a interseção entre a infraestrutura de IA mal configurada e a infraestrutura de TI tradicional cria fraquezas poderosas que podem ser exploradas.
Use a análise da via de ataque para visualizar como um invasor pode usar uma exploração acelerada por IA para violar seu perímetro e se mover lateralmente em direção aos seus dados de treinamento de IA ou mecanismos de inferência. Se você fechar o caminho, a vulnerabilidade se tornará irrelevante.
4. Implementar a validação de exposição contraditória (AEV)
Quando a janela "prompt-to-exploit" diminui de semanas para minutos, a segurança teórica está morta. Você deve implementar a AEV ( Adversarial Exposure Validation ), um loop contínuo de equipe vermelha automatizada.
Ao desafiar regularmente seu ambiente em relação à estrutura MITRE ATT&CK, você obtém evidências de como suas defesas se sustentam contra explorações com velocidade de IA. Essa é a única maneira de garantir que seu plano de resposta a incidentes não seja apenas um documento, mas um escudo comprovado contra a realidade de uma violação causada pela Mythos.
5. Governança da exposição à IA com correção agêntica
A superfície de risco que mais cresce no mundo é a própria infraestrutura de IA: modelos, pipelines de treinamento e agentes autônomos com acesso de alto nível. Esses são agora alvos de alto valor que exigem monitoramento rigoroso.
Para acompanhar a velocidade da ameaça, você deve implementar mecanismos de IA agêntica (como o Tenable Hexa AI) para automatizar a triagem e a correção dessas exposições. Isso permite a "defesa na velocidade da máquina", usando a IA para descobrir, marcar e patchar sua infraestrutura na mesma velocidade em que a Mythos está descobrindo suas falhas.
Conclusão
A janela para agir é estreita. Em nossas conversas ativas com o Office of the National Cyber Director, a Cloud Security Alliance e a Anthropic, ficou claro o consenso de que a abordagem do menor denominador comum para a segurança não será mais suficiente. Isso reforça a criticidade das práticas tradicionais de higiene cibernética, ao mesmo tempo em que enfatiza a necessidade de criar automação e sistemas eficientes em seu programa. Hope is not a strategy.
Devemos usar os mesmos princípios de gerenciamento de exposição para lidar com o volume que esse aumento de descobertas cria. Veja tudo, priorize sem piedade e corrija na velocidade da máquina. Isso é o que significa estar pronto para o Mythos.
Para saber mais sobre como a Tenable pode ajudar, leia também a recente postagem do CTO da Tenable, Vlad Korsunsky, "Claude Mythos: Prepare-se para as perguntas de segurança cibernética de sua diretoria sobre o mais recente modelo de IA da Anthropic."
Steve Vintz
Copresidente executivo
Steve Vintz is an accomplished executive with more than 25 years of financial, operational and strategic planning experience working with growth companies in the technology industry. Como codiretor executivo (CEO) da Tenable, ele supervisiona produtos, segurança cibernética, desenvolvimento corporativo e todas as funções gerais e administrativas, bem como finanças, impostos, tesouraria, TI e jurídico em todo o mundo. Em 2015, Steve conduziu a Tenable em sua rodada de financiamento da Série B, que era o maior aumento de capital para uma empresa privada de segurança cibernética na época. Então, em 2018, ele conduziu a abertura do capital da empresa, o que gerou uma das maiores altas para uma empresa de segurança listada nos EUA. Anteriormente, de 2001 até a venda, em junho de 2014, Steve atuou como vice-presidente executivo e CFO na Vocus. Durante esse período, a empresa teve aumento de faturamento e rápida expansão por 40 trimestres consecutivos, incluindo uma oferta pública inicial, uma oferta subsequente e várias aquisições. Antes da Vocus, Steve foi vice-presidente de Planejamento Estratégico e Análise da Snyder Communications, onde teve um papel importante em mais de 45 aquisições e supervisionou o crescimento da empresa de US$ 86 milhões para quase US$ 1 bilhão em faturamento. Ele também trabalhou no grupo mercado de médias empresas/serviços de empreendedorismo da Ernst & Young em Washington, D. C. e Baltimore. Steve recebeu vários prêmios e honrarias durante a sua carreira, incluindo CFO do Ano na empresa de capital aberto Northern Virginia Technology Council. Ele é contador público certificado e bacharel em Administração de Empresas pela Loyola University Sellinger, School of Business.
Artigos relacionados
Claude Mythos: Prepare for your board’s cybersecurity questions about the latest AI model from Anthropic
With the Federal Reserve Chairman meeting with bank CEOs to discuss the security implications of Claude Mythos, you can bet that your board of directors will ask you about the impact of the AI model on your cybersecurity strategy. Here’s how to prepare.
Supply chain attack on Axios npm package: Scope, impact, and remediations
The Axios npm package has been compromised in a supply chain attack that uploaded new versions of the package containing malicious code. Any environment that downloaded these compromised Axios versions is at risk of severe data theft. Scan your environment now.
What’s new in Tenable Cloud Security: Custom policies, AWS ABAC, and research-driven protection
Stop the noise and scale your cloud security. Our latest updates introduce custom policy automation via Explorer, AWS ABAC support for true least privilege, and research-backed protection against critical vulnerabilities, all designed to slash MTTR without disrupting your DevOps workflows.
- Cloud
- Exposure Management