Hindistan'ın CERT-In'i Açıktaki Kusurlar için 12 Saatlik Yama Son Tarihi Belirledi Siber Güvenlik

Hindistan'ın CERT-In'i Açıktaki Kusurlar için 12 Saatlik Yama Son Tarihi Belirledi

Hindistan'daki kuruluşlara, yapay zekanın siber saldırılara getirdiği hıza yanıt veren yeni rehberlik kapsamında aktif olarak istismar edilen internet...

Hindistan'daki kuruluşlara, yapay zekanın siber saldırılara getirdiği hıza yanıt veren yeni rehberlik kapsamında aktif olarak istismar edilen internete yönelik güvenlik açıklarını 12 saat içinde düzeltmeleri istendi.

Hindistan Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT-In) yeni kılavuzuna göre, saldırganlar yapay zekayı bir zayıflığı bulma ile bu zayıflıktan yararlanma arasındaki süreyi kısaltmak ve savunucuların yanıt vermesi gereken pencereyi daraltmak için kullanıyor.

25 Mayıs'ta yayınlanan belge, üretken yapay zekanın, büyük dil modellerinin (LLM'ler) ve otonom aracıların keşif, güvenlik açığı keşfi, kimlik avı ve kötü amaçlı yazılım geliştirmeyi nasıl hızlandırdığını haritalandırıyor.

Yapay Zeka Tehditleri Etrafında Oluşturulmuş Bir Plan

CERT-In, "internet bağlantılı ve taç mücevher sistemleri" üzerindeki bilinen istismar edilen güvenlik açıklarının (KEV'ler) kontrol altına alınması veya iyileştirilmesi için gösterge niteliğinde 12 saatlik bir beklenti belirledi.

Önemli Gelişmeler

Diğer katmanlar risk bazlı bir program izler: Dışarıdan açığa çıkan kritik kusurlar için bir gün, yüksek değerli sistemlerdeki kritik dahili güvenlik açıkları için üç gün ve yüksek önem derecesine sahip sorunlar için beş gün. Herhangi bir düzeltme ekinin bulunmadığı durumlarda kurum, bir düzeltme sağlanana kadar izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi geçici önlemlerin alınmasını tavsiye etti.

Önceliklendirme için CERT-In, kuruluşları tek başına şiddet puanları yerine KEV kataloğuna ve Exploit Tahmin Puanlama Sistemine (EPSS) yönlendirdi.

Uzmanların Görüşleri

CERT-In, zaman çizelgelerini bağlayıcı olarak çerçeveleme konusunda yetersiz kaldı ve bunları operasyonel kritiklik ve tehdide maruz kalma durumuna göre uygulanacak gösterge niteliğindeki beklentiler olarak tanımladı.

Ulusal siber güvenlik direktifleri hakkında daha fazlasını okuyun: CISA, Federal Siber İncelemelerin Ardından On Acil Durum Direktifini Kapattı

Yapay Zeka Dağıtımlarının Güvenliğini Sağlama ve Olayları Raporlama

Gelecekte Ne Bekleniyor?

Plan, yama uygulamasının ötesinde yönetişimi, sıfır güven mimarisini, yapay zekaya duyarlı güvenlik operasyonlarını ve yazılım ve yapay zeka malzeme listeleri (BOM'lar) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve ortaya koyuyor.

Teknik Analiz

Anında enjeksiyon, model hırsızlığı, eğitim verilerinin zehirlenmesi ve sınırlı insan gözetimiyle hareket eden otonom ajanların yönetimini kapsayan, kuruluşların kendi yapay zeka dağıtımlarını güvence altına almaya özel önem veriyor.

Kılavuz ayrıca, kuruluşların siber olayları tespit edildikten sonraki altı saat içinde CERT-In'e bildirmeleri yönündeki mevcut gerekliliği de yineliyor; bu, 2022'den bu yana yürürlükte olan bir kuraldır.

Detaylar ve Etkileri

Kuruluşların önerileri üç aşamada uygulamaya koymaları teşvik ediliyor; yönetişime yönelik 0-7 günlük bir zorlama, maruz kalmanın azaltılması ve çok faktörlü kimlik doğrulama (MFA) ile başlayıp ardından operasyonel güçlendirme ve kırmızı ekip oluşturma ve çekişmeli yapay zeka testlerine geçiliyor.

Paylaş: