CERT-In'den Siber Güvenlikte Devrim: Açık Zafiyetler İçin 12 Saatlik Yama Süresi Yazılım

CERT-In'den Siber Güvenlikte Devrim: Açık Zafiyetler İçin 12 Saatlik Yama Süresi

Hindistan CERT-In, yapay zekanın hızlandırdığı siber saldırılara karşı internet üzerinden erişilebilen sistemlerdeki açıkların 12 saat içinde kapatılm

Yapay zekanın siber saldırılara kazandırdığı hız, güvenlik ekiplerinin tepki sürelerini dramatik şekilde kısaltıyor. Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), bu yeni gerçekliğe uyum sağlamak için yayımladığı kılavuzda, internet üzerinden erişilebilen sistemlerdeki aktif olarak istismar edilen güvenlik açıklarının (KEV) 12 saat içinde kapatılmasını beklediğini duyurdu. 25 Mayıs'ta yayımlanan belge, yapay zeka araçlarının zafiyet keşfi, kimlik avı ve kötü amaçlı yazılım geliştirme süreçlerini nasıl hızlandırdığını ortaya koyuyor.

Yeni düzenleme, risk tabanlı bir zaman çizelgesi sunuyor. Kritik düzeydeki dışa açık zafiyetler için 1 gün, yüksek değerli sistemlerdeki kritik iç zafiyetler için 3 gün ve yüksek önem dereceli sorunlar için 5 gün içinde yama yapılması öngörülüyor. Yamanın bulunmadığı durumlarda ise izolasyon, erişim kısıtlama veya web uygulama güvenlik duvarı gibi geçici önlemlerin alınması tavsiye ediliyor. CERT-In, önceliklendirme için yalnızca şiddet puanlarına değil, KEV kataloğu ve İstismar Tahmin Puanlama Sistemi (EPSS) gibi dinamik araçlara yönelinmesini öneriyor.

Kılavuz, yama sürelerini bağlayıcı olmaktan ziyade yol gösterici olarak tanımlıyor. Ancak bu beklentiler, operasyonel kritiklik ve tehdit maruziyetine göre uygulanacak. CERT-In, yapay zeka destekli saldırıların, zafiyet keşfi ile istismar arasındaki süreyi sıkıştırdığına dikkat çekiyor. Üretken yapay zeka, büyük dil modelleri (LLM'ler) ve otonom ajanların keşif, zafiyet bulma, kimlik avı ve kötü amaçlı yazılım geliştirme aşamalarını nasıl hızlandırdığı belgede ayrıntılı olarak ele alınıyor.

Yalnızca yama yönetimiyle sınırlı kalmayan kılavuz, kuruluşların kendi yapay zeka dağıtımlarını güvence altına almasına da odaklanıyor. Prompt injection, model hırsızlığı, eğitim verisi zehirlenmesi ve insan gözetimi olmadan hareket eden otonom ajanların yönetişimi gibi konular ele alınıyor. Ayrıca, sıfır güven mimarisi, yapay zeka odaklı güvenlik operasyonları ve yazılım/yapay zeka malzeme listeleri (BOM'lar) aracılığıyla tedarik zinciri güvencesi gibi başlıklar da kılavuzda yer alıyor.

CERT-In, 2022'den beri yürürlükte olan siber olay bildirim zorunluluğunu da hatırlatıyor. Buna göre kuruluşlar, siber olayları tespit ettikten sonra 6 saat içinde CERT-In'e bildirmekle yükümlü. Yeni kılavuz, bu raporlama süresini değiştirmiyor ancak yapay zeka tehditlerine karşı daha hızlı hareket edilmesi gerektiğini vurguluyor.

Kuruluşların önerileri üç aşamada uygulaması bekleniyor: 0-7 gün içinde yönetişim, maruziyet azaltma ve çok faktörlü kimlik doğrulama (MFA) gibi acil önlemler; ardından operasyonel güçlendirme; son olarak da kırmızı takım ve yapay zeka saldırı testleri. Bu adımlar, kuruluşların yapay zeka çağında siber güvenlik duruşlarını sürekli iyileştirmelerine yardımcı olmayı amaçlıyor.

Kaynak: infosecurity-magazine.com

Paylaş: