Hindistan'da faaliyet gösteren kuruluşlar, aktif olarak istismar edilen internet üzerindeki güvenlik açıklarını 12 saat içinde yamamaya çağrıldı. Bu yeni kılavuz, yapay zekanın siber saldırılara getirdiği hıza yanıt olarak hazırlandı. Hindistan Bilgisayar Olaylarına Müdahale Ekibi (CERT-In) tarafından yayınlanan belgeye göre, saldırganlar yapay zeka kullanarak bir güvenlik açığını keşfetme ve istismar etme arasındaki süreyi kısaltıyor, böylece savunmacıların tepki süresini daraltıyor. 25 Mayıs'ta yayınlanan belge, üretken yapay zeka, büyük dil modelleri (LLM'ler) ve otonom ajanların keşif, güvenlik açığı bulma, kimlik avı ve kötü amaçlı yazılım geliştirmeyi nasıl hızlandırdığını haritalandırıyor.
CERT-In, bilinen istismar edilmiş güvenlik açıkları (KEV'ler) için 'internet üzerindeki ve en değerli sistemler'de 12 saatlik bir yama süresi hedefi belirledi. Diğer kademeler risk temelli bir program izliyor: kritik dışa dönük açıklar için bir gün, yüksek değerli sistemlerdeki kritik iç açıklar için üç gün ve yüksek önem dereceli sorunlar için beş gün. Yamaların bulunmadığı durumlarda, ajans düzeltme gelene kadar izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi geçici önlemler alınmasını tavsiye etti. Önceliklendirme için CERT-In, kuruluşları yalnızca şiddet puanlarına değil, KEV kataloğu ve Exploit Tahmin Puanlama Sistemi'ne (EPSS) yönlendirdi.
Yama yapmanın ötesinde, kılavuz yönetişim, sıfır güven mimarisi, yapay zeka bilincine sahip güvenlik operasyonları ve yazılım ile yapay zeka malzeme listeleri (BOM'lar) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve sunuyor. Özellikle kuruluşların kendi yapay zeka dağıtımlarının güvenliğine odaklanan belge, prompt enjeksiyonu, model hırsızlığı, eğitim verisi zehirlenmesi ve sınırlı insan denetimiyle hareket eden otonom ajanların yönetişimini ele alıyor. Kılavuz ayrıca, 2022'den beri yürürlükte olan kuralı yineleyerek, kuruluşların siber olayları tespit ettikten sonra altı saat içinde CERT-In'e bildirmesini zorunlu kılıyor.
Kuruluşların önerileri üç aşamada uygulamaları teşvik ediliyor. İlk aşama (0-7 gün) yönetişim, maruziyet azaltma ve çok faktörlü kimlik doğrulama (MFA) üzerine odaklanıyor. Ardından operasyonel güçlendirme ve son olarak kırmızı takım çalışmaları ve rakip yapay zeka testlerine geçilmesi öngörülüyor. CERT-In, zaman çizelgelerini bağlayıcı olarak değil, operasyonel kritiklik ve tehdit maruziyetine göre uygulanması gereken gösterge niteliğinde beklentiler olarak tanımladı.