Hindistan'da Yeni Düzenleme: Açıkta Bulunan Güvenlik Açıkları İçin 12 Saatlik Yama Süresi Siber Güvenlik

Hindistan'da Yeni Düzenleme: Açıkta Bulunan Güvenlik Açıkları İçin 12 Saatlik Yama Süresi

Hindistan CERT-In, yapay zeka tehditlerine karşı internet üzerinden erişilebilir güvenlik açıklarının 12 saat içinde kapatılmasını öngören yeni bir re

Hindistan'da faaliyet gösteren kuruluşlar, yapay zeka destekli siber saldırıların hızına karşı yeni bir düzenlemeyle karşı karşıya. Hindistan Bilgisayar Olaylarına Müdahale Ekibi (CERT-In), aktif olarak istismar edilen internet üzerinden erişilebilir güvenlik açıklarının 12 saat içinde yamalanması gerektiğini bildirdi. Rehberde, saldırganların yapay zeka kullanarak bir güvenlik açığını keşfetme ile istismar etme arasındaki süreyi kısalttığı ve savunma ekiplerinin tepki süresini daralttığı vurgulanıyor.

25 Mayıs'ta yayımlanan belge, üretken yapay zeka, büyük dil modelleri (LLM'ler) ve otonom ajanların keşif, güvenlik açığı bulma, kimlik avı ve kötü amaçlı yazılım geliştirme süreçlerini nasıl hızlandırdığını ayrıntılı olarak ele alıyor. CERT-In, 'internet üzerinden erişilebilir ve en kritik sistemler' olarak tanımladığı varlıklardaki bilinen istismar edilmiş güvenlik açıkları (KEV) için 12 saatlik bir düzeltme süresi öngörüyor. Diğer kategorilerde risk bazlı bir program izleniyor: kritik dış açıklar için bir gün, yüksek değerli sistemlerdeki kritik iç açıklar için üç gün ve yüksek önem dereceli sorunlar için beş gün.

Yamanın bulunmadığı durumlarda CERT-In, geçici önlemler olarak izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi ara çözümler öneriyor. Önceliklendirme için kuruluşların yalnızca ciddiyet puanlarına değil, KEV kataloğu ve İstismar Tahmin Puanlama Sistemi'ne (EPSS) başvurmaları tavsiye ediliyor. CERT-In, süreleri bağlayıcı olarak değil, operasyonel kritiklik ve tehdit maruziyetine göre uygulanması gereken gösterge niteliğinde beklentiler olarak tanımlıyor.

Rehber, yama yönetiminin ötesinde yapay zeka dağıtımlarının güvenliğine de odaklanıyor. Prompt injection, model hırsızlığı, eğitim verisi zehirlenmesi ve sınırlı insan denetimiyle çalışan otonom ajanların yönetimi gibi konular ele alınıyor. Ayrıca, 2022'den beri yürürlükte olan siber olayların altı saat içinde bildirilmesi zorunluluğu yineleniyor. Kuruluşlara, tavsiyeleri üç aşamada uygulamaları öneriliyor: ilk 0-7 günde yönetişim, maruziyet azaltma ve çok faktörlü kimlik doğrulama; ardından operasyonel güçlendirme; ve son olarak kırmızı takım ve yapay zeka testleri.

Paylaş: