Hindistan'ın CERT-In'i Açık Zafiyetler İçin 12 Saatlik Yama Süresi Belirledi Siber Güvenlik

Hindistan'ın CERT-In'i Açık Zafiyetler İçin 12 Saatlik Yama Süresi Belirledi

Hindistan CERT-In, yapay zeka destekli siber saldırıların hızına karşı internet erişimli zafiyetlerin 12 saat içinde yamalanmasını öngören yeni bir kı

Hindistan'da faaliyet gösteren kuruluşlar, aktif olarak istismar edilen internet erişimli zafiyetleri 12 saat içinde yamamaya çağrıldı. Bu yeni kılavuz, yapay zekanın siber saldırılara kazandırdığı hıza yanıt olarak hazırlandı. Hindistan Bilgisayar Olay Müdahale Ekibi (CERT-In) tarafından yayımlanan belgeye göre, saldırganlar yapay zekayı kullanarak bir zafiyeti keşfetme ve istismar etme arasındaki süreyi kısaltıyor, böylece savunmacıların yanıt verme penceresini daraltıyor.

25 Mayıs'ta yayımlanan belge, üretken yapay zeka, büyük dil modelleri (LLM'ler) ve otonom ajanların keşif, zafiyet bulma, kimlik avı ve kötü amaçlı yazılım geliştirme süreçlerini nasıl hızlandırdığını haritalandırıyor. CERT-In, bilinen istismar edilmiş zafiyetler (KEV) için 'internet erişimli ve taç mücevher sistemlerinde' 12 saatlik bir yama süresi öngörüyor. Diğer seviyeler için risk temelli bir takvim belirlendi: kritik dışa açık zafiyetler için bir gün, yüksek değerli sistemlerdeki kritik iç zafiyetler için üç gün ve yüksek önem dereceli sorunlar için beş gün.

Yamanın bulunmadığı durumlarda, CERT-In geçici önlemler olarak izolasyon, erişim kısıtlama veya web uygulaması güvenlik duvarı koruması gibi tedbirler önerdi. Önceliklendirme için kuruluşlar, yalnızca şiddet puanları yerine KEV kataloğu ve İstismar Tahmin Puanlama Sistemi'ne (EPSS) yönlendirildi. CERT-In, zaman çizelgelerini bağlayıcı olarak değil, operasyonel kritiklik ve tehdit maruziyetine göre uygulanacak gösterge niteliğinde beklentiler olarak tanımladı.

Yama yönetiminin ötesinde, kılavuz yönetişim, sıfır güven mimarisi, AI bilincine sahip güvenlik operasyonları ve yazılım ile AI malzeme listeleri (BOM) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve sunuyor. Özellikle kuruluşların kendi AI dağıtımlarının güvenliğine odaklanan belge, prompt enjeksiyonu, model hırsızlığı, eğitim verisi zehirlenmesi ve sınırlı insan gözetimiyle hareket eden otonom ajanların yönetişimini ele alıyor. Ayrıca, kuruluşların siber olayları tespit ettikten sonra altı saat içinde CERT-In'e bildirmesi gerektiği yineleniyor.

Paylaş: