Hindistan'daki kuruluşlara, yapay zekanın siber saldırılara getirdiği hıza yanıt veren yeni rehberlik kapsamında aktif olarak istismar edilen internete yönelik güvenlik açıklarını 12 saat içinde düzeltmeleri istendi.
Hindistan Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT-In) yeni kılavuzuna göre, saldırganlar yapay zekayı bir zayıflığı bulma ile bu zayıflıktan yararlanma arasındaki süreyi kısaltmak ve savunucuların yanıt vermesi gereken pencereyi daraltmak için kullanıyor.
25 Mayıs'ta yayınlanan belge, üretken yapay zekanın, büyük dil modellerinin (LLM'ler) ve otonom aracıların keşif, güvenlik açığı keşfi, kimlik avı ve kötü amaçlı yazılım geliştirmeyi nasıl hızlandırdığını haritalandırıyor.
Yapay Zeka Tehditleri Etrafında Oluşturulmuş Bir Plan
CERT-In, "internet bağlantılı ve taç mücevher sistemleri" üzerindeki bilinen istismar edilen güvenlik açıklarının (KEV'ler) kontrol altına alınması veya iyileştirilmesi için gösterge niteliğinde 12 saatlik bir beklenti belirledi.
Önemli Gelişmeler
Diğer katmanlar risk bazlı bir program izler: Dışarıdan açığa çıkan kritik kusurlar için bir gün, yüksek değerli sistemlerdeki kritik dahili güvenlik açıkları için üç gün ve yüksek önem derecesine sahip sorunlar için beş gün. Herhangi bir düzeltme ekinin bulunmadığı durumlarda kurum, bir düzeltme sağlanana kadar izolasyon, erişim kısıtlaması veya web uygulaması güvenlik duvarı koruması gibi geçici önlemlerin alınmasını tavsiye etti.
Önceliklendirme için CERT-In, kuruluşları tek başına şiddet puanları yerine KEV kataloğuna ve Exploit Tahmin Puanlama Sistemine (EPSS) yönlendirdi.
Uzmanların Görüşleri
CERT-In, zaman çizelgelerini bağlayıcı olarak çerçeveleme konusunda yetersiz kaldı ve bunları operasyonel kritiklik ve tehdide maruz kalma durumuna göre uygulanacak gösterge niteliğindeki beklentiler olarak tanımladı.
Ulusal siber güvenlik direktifleri hakkında daha fazlasını okuyun: CISA, Federal Siber İncelemelerin Ardından On Acil Durum Direktifini Kapattı
Yapay Zeka Dağıtımlarının Güvenliğini Sağlama ve Olayları Raporlama
Gelecekte Ne Bekleniyor?
Plan, yama uygulamasının ötesinde yönetişimi, sıfır güven mimarisini, yapay zekaya duyarlı güvenlik operasyonlarını ve yazılım ve yapay zeka malzeme listeleri (BOM'lar) aracılığıyla tedarik zinciri güvencesini kapsayan bir çerçeve ortaya koyuyor.
Teknik Analiz
Anında enjeksiyon, model hırsızlığı, eğitim verilerinin zehirlenmesi ve sınırlı insan gözetimiyle hareket eden otonom ajanların yönetimini kapsayan, kuruluşların kendi yapay zeka dağıtımlarını güvence altına almaya özel önem veriyor.
Kılavuz ayrıca, kuruluşların siber olayları tespit edildikten sonraki altı saat içinde CERT-In'e bildirmeleri yönündeki mevcut gerekliliği de yineliyor; bu, 2022'den bu yana yürürlükte olan bir kuraldır.
Detaylar ve Etkileri
Kuruluşların önerileri üç aşamada uygulamaya koymaları teşvik ediliyor; yönetişime yönelik 0-7 günlük bir zorlama, maruz kalmanın azaltılması ve çok faktörlü kimlik doğrulama (MFA) ile başlayıp ardından operasyonel güçlendirme ve kırmızı ekip oluşturma ve çekişmeli yapay zeka testlerine geçiliyor.