Hindistan'ın ulusal siber güvenlik kurumu CERT-In, yapay zeka teknolojilerinin siber saldırılara kazandırdığı hıza yanıt olarak yeni bir rehber yayımladı. Rehberde, kuruluşların aktif olarak istismar edilen ve internet üzerinden erişilebilen güvenlik açıklarını 12 saat içinde yamamaları gerektiği vurgulanıyor. Yapay zeka, saldırganların zafiyet bulma ve istismar etme arasındaki süreyi kısaltarak savunmacıların tepki süresini daraltıyor. 25 Mayıs'ta yayımlanan belge, üretken yapay zeka, büyük dil modelleri ve otonom ajanların keşif, zafiyet tespiti, kimlik avı ve kötü amaçlı yazılım geliştirme süreçlerini nasıl hızlandırdığını detaylandırıyor.
CERT-In, 'internet üzerinden erişilebilen ve kurumsal taç mücevheri sistemlerinde' bilinen istismar edilmiş zafiyetlerin (KEV) giderilmesi için gösterge niteliğinde 12 saatlik bir süre belirledi. Diğer kategorilerde ise risk tabanlı bir program izleniyor: kritik dışa açık zafiyetler için 1 gün, yüksek değerli sistemlerdeki kritik iç zafiyetler için 3 gün ve yüksek önem dereceli sorunlar için 5 gün. Yamanın bulunmadığı durumlarda kurum, geçici önlemler olarak izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi tedbirleri öneriyor. Önceliklendirme için ise yalnızca ciddiyet puanları yerine KEV kataloğu ve Exploit Prediction Scoring System (EPSS) kullanılması tavsiye ediliyor.
Rehber, yama yönetiminin ötesinde, yapay zeka dağıtımlarının güvenliğine ve siber olay bildirimine de odaklanıyor. Yönetişim, sıfır güven mimarisi, yapay zeka bilincine sahip güvenlik operasyonları ve yazılım ile yapay zeka malzeme listeleri (BOM) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve sunuyor. Özellikle kuruluşların kendi yapay zeka dağıtımlarının güvenliğine vurgu yapılarak, prompt injection, model hırsızlığı, eğitim verisi zehirlenmesi ve sınırlı insan gözetimiyle hareket eden otonom ajanların yönetişimi ele alınıyor. Ayrıca, 2022'den beri yürürlükte olan siber olayların tespit edildikten sonra 6 saat içinde CERT-In'e bildirilmesi zorunluluğu da yinelendi.
Önemli Gelişmeler
Kuruluşların önerileri üç aşamada uygulamaları teşvik ediliyor: İlk 0-7 günlük aşamada yönetişim, maruziyet azaltma ve çok faktörlü kimlik doğrulama (MFA) gibi temel önlemler alınacak; ardından operasyonel güçlendirme ve son olarak da kırmızı takım çalışmaları ve yapay zeka karşıtı testlere geçilecek. CERT-In, süreleri bağlayıcı olarak değil, operasyonel kritiklik ve tehdit maruziyetine göre uygulanması gereken gösterge niteliğindeki beklentiler olarak tanımladı.