Индийское агентство по кибербезопасности CERT-In настоятельно рекомендовало организациям устранить, смягчить или изолировать известные уязвимости, которые уже эксплуатируются и затрагивают критически важные системы, доступные из интернета, в течение 12 часов, если это возможно, предупреждая, что атаки с использованием ИИ резко сокращают время между обнаружением уязвимости и ее эксплуатацией.
Эта рекомендация, являющаяся частью нового всеобъемлющего плана CERT-In по защите от киберэксплуатации с помощью ИИ, сигнализирует о значительном ужесточении требований к управлению уязвимостями предприятий, снижению подверженности угрозам и операционной устойчивости.
В 38-страничном документе также рекомендуется устранять критические уязвимости, подверженные внешнему воздействию, в течение одного дня, критические внутренние уязвимости, затрагивающие системы высокой ценности, — в течение трех дней, а недостатки высокой степени серьезности — в течение пяти дней, исходя из приоритезации рисков.
CERT-In заявило, что злоумышленники все чаще используют ИИ для ускорения разведки, обнаружения уязвимостей, фишинга, генерации вредоносного ПО и автоматизации рабочих процессов эксплуатации.
«Временные рамки эксплуатации значительно сокращаются», — предупредило агентство в консультативном письме, добавив, что ожидается, что атаки станут «все более автономными».
Операционно деструктивная цель
Аналитики по безопасности отметили, что заявленное требование в 12 часов, вероятно, вынудит предприятия пересмотреть традиционные еженедельные или ежемесячные циклы установки исправлений, но предостерегли, что это руководство более нюансировано, чем простое требование об установке исправлений для всех.
«12-часовое окно — это исключение, реалистичное только как цель сдерживания для узкого набора подверженных воздействию активов, но никогда как цель полного устранения уязвимостей в обширных системах, обремененных фрагментированной инфраструктурой, многоуровневыми согласованиями, аутсорсингом операций и зависимостью от устаревших систем», — сказал Санчит Вир Гогиа, главный аналитик Greyhound Research.
Гогиа отметил, что многоуровневый подход, изложенный в документе, более важен, чем само заявленное время устранения, поскольку он привязывает сроки реагирования к подверженности угрозам и операционной критичности, а не применяет единое требование об установке исправлений ко всем системам.
«Пятидневное окно для высокой степени серьезности комфортно для большинства предприятий. Давление действительно ощущается в трехдневном окне для критических внутренних уязвимостей», — сказал он, особенно в таких секторах, как финансы, телекоммуникации, здравоохранение и среды операционных технологий, где забота о времени бесперебойной работы усложняет быстрое управление изменениями.
Апекша Каушик, старший ведущий аналитик Gartner, заявила, что самой большой проблемой для многих организаций будет не обязательно установка исправлений, а достижение операционной зрелости, необходимой для быстрого управления подверженностью угрозам.
«Основные барьеры не только технические, но и операционные. Большинству организаций не хватает видимости активов в реальном времени, автоматизированной приоритизации уязвимостей и межфункциональных планов реагирования на инциденты», — сказала Каушик.
«Наиболее острые трудности возникнут в обнаружении активов, приоритизации на основе риска и быстрой координации реагирования между разрозненными подразделениями», — добавила она.
От управления уязвимостями к управлению подверженностью угрозам
В документе неоднократно подчеркивается, что традиционных периодических оценок безопасности становится недостаточно для противодействия атакам с использованием ИИ, способным быстро превращать недавно обнаруженные уязвимости в оружие.
Вместо этого CERT-In призывает организации к непрерывному управлению подверженностью угрозам, защите на основе информации об угрозах, постоянному мониторингу и тестированию на предмет противодействия.
Примечательно, что в рамках этого плана делается большой упор на временные меры смягчения последствий, включая изоляцию, ограничение доступа, защиту с помощью WAF/API, усиленный мониторинг и компенсирующие меры контроля, когда немедленное исправление невозможно.
Аналитики отметили, что такой подход делает сроки более достижимыми с операционной точки зрения, но также перекладывает бремя на видимость активов и информацию о подверженности угрозам.
«Компенсирующие меры контроля действительно делают сроки более выполнимыми. Они также устраняют любые оправдания», — сказал Гогиа. «Если вы не можете быстро изолировать, ограничить или контролировать, проблема никогда не заключалась в темпах установки исправлений. Проблема в том, что вы не знаете о своей собственной подверженности угрозам».
Каушик аналогичным образом заявила, что руководство фактически подталкивает организации к более зрелым возможностям управления подверженностью угрозам.
«Организации должны иметь возможность быстро идентифицировать затронутые активы, оценивать риски и применять эффективные промежуточные меры контроля», — сказала она, добавив, что предприятия, которым не хватает зрелых инвентаризационных списков активов, сегментации и возможностей мониторинга, будут испытывать трудности с масштабированием этого руководства на практике.
В документе также содержится призыв к постоянной оценке уязвимостей, тестированию безопасности с помощью ИИ, проведению состязательных симуляций, тестированию на проникновение и упражнениям по red teaming.
Предварительный просмотр будущих мировых стандартов?
Аналитики считают, что требования CERT-In по устранению уязвимостей являются одними из самых агрессивных, когда-либо выдвигавшихся национальным агентством по кибербезопасности, и могут повлиять на более широкие международные практики управления уязвимостями по мере того, как ИИ сжимает сроки для злоумышленников во всем мире.
«CERT-In сделало то, чего Запад в значительной степени избегал: оно установило постоянные временные рамки по категориям активов, а не сроки по отдельным уязвимостям», — сказал Гогиа.
Он противопоставил этот план программе CISA по известным эксплуатируемым уязвимостям (KEV), которая обычно использует сроки устранения, специфичные для уязвимостей, а не постоянные сроки устранения для всего предприятия.
«Модель фиксированных часов выглядит агрессивной сегодня, потому что остальной мир еще не догнал, а не потому, что она неверно считывает угрозу», — сказал Гогиа.
Каушик отметила, что этот план может создать операционные проблемы для транснациональных корпораций, чьи глобальные соглашения об уровне обслуживания (SLA) менее строгие, чем ожидания Индии. «Для провайдеров это может создать пробел в соблюдении нормативных требований, когда внутренние SLA менее строгие, чем требования Индии, что потребует переоценки глобальных процессов установки исправлений и смягчения последствий», — сказала она.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
