インドの組織は、AIがもたらすサイバー攻撃の速度に対応する新しいガイダンスの下で、積極的に悪用されているインターネット向けの脆弱性を12時間以内にパッチすることを促されています。
インドコンピュータ緊急対応チーム(CERT-In)からの新しいガイダンスによると、攻撃者は脆弱性の発見から悪用までの時間を短縮するためにAIを使用しており、防御者が対応する時間を短くしています。
5月25日に公開されたこのドキュメントは、生成AI、大規模言語モデル(LLM)、自律エージェントがいかにして偵察、脆弱性発見、フィッシング、マルウェア開発を加速させているかを示しています。
AI脅威を中心に構築されたブループリント
CERT-Inは、「インターネット向けおよび重要な価値のあるシステム」上の既知の悪用された脆弱性(KEV)の封じ込めまたは修復のために、指標的な12時間の期限を設定しました。
その他のカテゴリーはリスク基準のスケジュールに従います:重大な外部公開脆弱性については1日、高価値システム上の重大な内部脆弱性については3日、高度の重大度の問題については5日です。パッチが存在しない場合、機関は修正が完了するまで、隔離、アクセス制限、またはWebアプリケーションファイアウォール保護などの暫定措置を推奨しました。
優先順位付けのために、CERT-Inは組織に対して、重度スコアだけでなく、KEVカタログと脆弱性予測スコアリングシステム(EPSS)を参照するよう指示しました。
CERT-Inはこれらのタイムラインを拘束力のあるものとして位置付けることは控え、運用上の重大性と脅威への露出に応じて適用される指標的な期待として説明しました。
国家サイバーセキュリティ指令の詳細:連邦サイバーレビュー後にCISAが10の緊急指令を廃止
AIデプロイメントの保護とインシデント報告
パッチ適用を超えて、ブループリントはガバナンス、ゼロトラストアーキテクチャ、AI対応セキュリティ運用、およびソフトウェアとAI材料構成表(BOM)を通じたサプライチェーン保証にまたがるフレームワークを概説しています。
プロンプトインジェクション、モデル盗難、トレーニングデータの毒性、および限定的な人間による監督で行動する自律エージェントのガバナンスをカバーする、組織独自のAIデプロイメントの保護に特に注意を払っています。
このガイダンスはまた、2022年以来施行されているルールである、検出から6時間以内にサイバーインシデントをCERT-Inに報告するというエンティティの既存の要件を改めて述べています。
組織は、ガバナンス、露出削減、多要素認証(MFA)に関する0~7日間の初期段階で開始し、その後運用強化を経て、レッドチーミングと対立的なAIテストへと進む、3段階で推奨事項を展開することをお勧めします。
翻訳元: https://www.infosecurity-magazine.com/news/cert-in-12-hour-patch-deadline-ai/
