Hindistan'dan Kritik Güvenlik Açıklarına 12 Saatlik Yama Süresi: Yapay Zeka Tehditleri Hız Kazandı Yazılım

Hindistan'dan Kritik Güvenlik Açıklarına 12 Saatlik Yama Süresi: Yapay Zeka Tehditleri Hız Kazandı

Hindistan CERT-In, yapay zeka ile hızlanan siber saldırılara karşı internet üzerinden erişilen güvenlik açıklarının 12 saat içinde yamalanmasını öngör

Hindistan'daki kuruluşlar, yapay zekanın siber saldırılara getirdiği hıza yanıt olarak yayımlanan yeni rehber doğrultusunda, aktif olarak istismar edilen internet üzerinden erişilebilir güvenlik açıklarını 12 saat içinde yamamaya çağrıldı. Hindistan Bilgisayar Olay Müdahale Ekibi (CERT-In) tarafından yayımlanan belgeye göre, saldırganlar yapay zekayı kullanarak bir zafiyetin keşfi ile istismarı arasındaki süreyi kısaltıyor ve savunmacıların tepki verme süresini daraltıyor.

25 Mayıs'ta yayımlanan belge, üretken yapay zeka, büyük dil modelleri (LLM'ler) ve otonom ajanların keşif, güvenlik açığı bulma, kimlik avı ve kötü amaçlı yazılım geliştirme süreçlerini nasıl hızlandırdığını haritalandırıyor. CERT-In, 'internet üzerinden erişilebilen ve taç mücevher sistemlerinde' bilinen istismar edilmiş güvenlik açıkları (KEV) için 12 saatlik bir yama süresi belirledi. Diğer kategoriler risk tabanlı bir takvim izliyor: kritik dışa açık zafiyetler için bir gün, yüksek değerli sistemlerdeki kritik iç zafiyetler için üç gün ve yüksek önem dereceli sorunlar için beş gün.

Yamanın bulunmadığı durumlarda CERT-In, yama gelene kadar izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi geçici önlemler alınmasını tavsiye etti. Önceliklendirme için CERT-In, kuruluşları yalnızca önem derecesi puanları yerine KEV kataloğu ve İstismar Tahmin Puanlama Sistemi'ne (EPSS) yönlendirdi. CERT-In, zaman çizelgelerini bağlayıcı olarak tanımlamaktan kaçındı ve bunları operasyonel kritiklik ve tehdit maruziyetine göre uygulanacak gösterge niteliğinde beklentiler olarak nitelendirdi.

Rehber, yama yönetiminin ötesinde, yönetişim, sıfır güven mimarisi, yapay zeka bilincine sahip güvenlik operasyonları ve yazılım ile yapay zeka malzeme listeleri (BOM'lar) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve sunuyor. Ayrıca, kuruluşların kendi yapay zeka dağıtımlarının güvenliğine özel önem veriyor ve prompt enjeksiyonu, model hırsızlığı, eğitim verisi zehirlenmesi ve sınırlı insan gözetimiyle hareket eden otonom ajanların yönetişimi konularını ele alıyor. Rehber, 2022'den beri yürürlükte olan siber olayların altı saat içinde CERT-In'e bildirilmesi zorunluluğunu da yineliyor.

Paylaş: