インドの国家サイバーセキュリティ機関CERT-Inは、AI駆動の攻撃者が悪用までのタイムラインを短縮している中で、組織が発見後12時間以内にインターネット向けおよび「重要資産」システムの重大な脆弱性を修正するよう指示する新しいブループリントを発表しました。
このガイダンスは、インドが公開インフラストラクチャのパッチ速度に対して発表した最も積極的な期待の1つです。
CERT-Inの38ページドキュメント「デジタルインフラストラクチャにおけるAI支援脆弱性悪用に対する露出削減と防御のためのブループリント」は、生成型AI、大規模言語モデル、自律型エージェントが攻撃者がバグを発見し武装化する速度を根本的に変えていることを警告しています。
敵は既にAIを使用して、偵察を自動化し、攻撃面をマッピングし、悪用コードを生成し、説得力のあるフィッシング誘い文句を作成し、検出を回避するためにマルウェアを適応させています。
その結果、公開向けシステムの脆弱性、弱い認証、安全でないAPI、および設定の誤りは、従来のセキュリティプログラムが予想するよりもはるかに迅速に発見され、悪用される可能性があります。
ブループリントは、AI駆動の脅威環境では「悪用までのタイムラインが大幅に短縮され」ており、遅く定期的なパッチサイクルがインド組織にとって大きなシステムリスクになることを強調しています。
CERT-Inによると、政府、金融、電信、デジタル公共インフラストラクチャ、医療、エネルギーなどの重要セクターへの危険があり、悪用が成功すると運用上の混乱と国家セキュリティレベルの結果をもたらす可能性があります。
CERT-Inが12時間パッチを強制
この加速に対抗するため、CERT-Inは脆弱性がどのくらい開いたままになるかを大幅に短縮するリスクベースの修復タイムラインを発表しました。特に公開エッジでは。
インターネット向けおよび「重要資産」システムに影響を与える「既知の悪用脆弱性」について、組織は問題を即座に封じ込め、その後「実行可能な場合は12時間以内に」露出をパッチ、軽減、または削除するよう指示されています。
重大な外部公開脆弱性は1日以内に対処すべきであり、内部システム上の既知の悪用バグも、強力な補償制御が機能していない限り1日の期限を適用します。
ブループリントはさらに、高値のシステム上の重大な内部脆弱性をリスク優先度に基づいて3日以内に修復し、その他の高深刻度の問題を5日以内に修復することを推奨しています。
ベンダーパッチが存在しない場合、組織は影響を受けたサービスを分離し、アクセス制御を厳しくし、WAFまたはAPI保護を展開し、修正が利用可能になるまで監視を強化することが期待されます。
CERT-InのガイダンスはパッチSLAを超えており、クラウド、API、AIシステム、およびサードパーティの依存関係全体にわたって継続的な露出管理を求めています。重要な防御原則にはゼロトラスト、侵害を想定した設計、多層防御、強力なアイデンティティガバナンス、および赤いチーミングと敵対的テストを使用したセキュリティ制御の継続的な検証が含まれます。
組織は、動作ベースの分析、脅威ハンティング、およびAI支援防御ツールを備えたセキュリティ運用センターを最新化する一方で、影響度が高いアクションに対して人間の監督を維持するよう促されています。
このドキュメントは、最初の0~7日間における即座なリスク削減(ガバナンス、インターネット向けアセット、迅速なパッチに焦点)、8~30日間の運用強化(監視、AIガバナンス、サプライチェーン保証を改善)、および31~60日間の高度な復元力(自動化支援防御と継続的な制御検証を強調)という3段階ロードマップを導入しています。
組織は、既存指示の下で6時間以内にCERT-Inにサイバーインシデントを報告し、国家サイバー演習およびAI重視の演習に参加して準備態勢をテストすることを想起されます。
翻訳元: https://gbhackers.com/cert-in-mandates-12-hour-patch/
