Su naujomis kartomis AI modelių, skatinančių tiek greitą programinės įrangos pažeidžiamumą, tiek greitesnio piktybinių įsilaužėlių išnaudojimo galimybę, Jungtinių Valstijų kibernetinio saugumo ir infrastruktūros saugumo agentūra trečiadienį paskelbė naują direktyvą, pagal kurią federalinės civilinės agentūros reikalauja greitesnio ir veiksmingesnio programinės įrangos pataisymo. „Įpareigojančioje veiklos direktyvoje“ (BOD) pateikiama rubrika, kaip greitai turi būti ištaisytos klaidos, remiantis keturiais skubos įvertinimais, o kritiniais atvejais – vos trys dienos.
Chrisas Butera, laikinai einantis CISA vykdomojo direktoriaus padėjėjo pareigas kibernetinio saugumo klausimais, trečiadienį žurnalistams sakė, kad direktyvos tikslas yra padėti agentūroms nustatyti prioritetus, kad jos pirmiausia galėtų pašalinti problemiškiausius pažeidžiamumus ir skirti daugiau laiko klaidų, kurios kelia ne tokią didelę riziką, pašalinimui. Ši direktyva priimta privačioms įmonėms ir vyriausybėms stengiantis įvertinti kibernetinio saugumo skaičiavimo mastą, kurį gali atskleisti AI pažeidžiamumas ir išnaudoti plėtros galimybes.
„Dabar, atsižvelgiant į dirbtinio intelekto pažangą, ypač svarbu teikti pirmenybę IT ir saugumo operacijoms didžiausią pavojų keliantiems turtams, kurie leidžia grėsmės subjektams rasti ir išnaudoti (federalinio) turto pažeidžiamumą“, – trečiadienį sakė Butera. „Gynėjai negali sau leisti užtrukti savaites, kad pataisytų sistemas, kurios gali būti masiškai naudojamos savarankiškai.
CISA direktyvos kriterijai vertinant pataisos skubumą apima pažeidžiamumo įvertinimą sistemoje, kuri yra viešai atskleista, ar klaida yra įtraukta į CISA žinomų išnaudotų pažeidžiamumų katalogą, ar užpuolikas galėtų automatizuoti visus veiksmus, kad išnaudotų pažeidžiamumą, ir kiek prieigos prie taikinio gautų užpuolikas, jei būtų išnaudotas. Pagal naują direktyvą pažeidžiamumas, kuriam taikomi visi keturi punktai, turi būti pašalintas per tris dienas, o agentūra taip pat turi atlikti „teismo ekspertizės“ procesą, kad nustatytų, ar sistemos jau buvo pažeistos.
Direktyva pakeičia du ankstesnius CISA įsakymus, susijusius su skubių pažeidžiamumų pataisymo terminais – vieną 2019 m. ir kitą 2021 m. Jais buvo nustatyta sistema, pagal kurią svarbiausios klaidos turėjo būti pataisytos per 15 dienų nuo aptikimo, o kitos klasės itin skubus pažeidžiamumas turėjo būti ištaisytas per 30 dienų. Ir abu skatino greičiau užtaisyti rimtus trūkumus, kai įmanoma. Dar prieš AI erą, 2021 m., CISA rašė, kad „grėsmės veikėjai itin greitai išnaudoja savo pasirinktus pažeidžiamumus: iš tų 4 % žinomų išnaudotų (pažeidžiamumų) 42 % yra naudojami 0 dieną nuo atskleidimo; 50 % per 2 dienas ir 75 % per 28 dienas.
JAV federalinis kibernetinis saugumas per pastarąjį dešimtmetį labai pagerėjo, tačiau dėl finansavimo trūkumo ir konkuruojančių prioritetų jis vis dar dažnai atsilieka. CISA Butera teigė, kad agentūra sukūrė naują vertinimo rubriką ir direktyvą plačiau, atsižvelgdama į šiuos apribojimus. Pavyzdžiui, jis pažymėjo, kad trijų dienų terminas skubiausioms pažeidžiamoms vietoms pašalinti nėra, tarkime, 24 valandos, nes toks trumpas laikotarpis nebūtų įmanomas daugeliui agentūrų.
Naujos AI galimybės jau keičia pažeidžiamumo aptikimo ir klaidų medžioklę. Ir kadangi tai skatina naują skubą pataisyti, daugelis tyrinėtojų iš esmės padarė išvadą, kad nepakaks jokio pataisymo ir kad programinės įrangos kūrimo bendruomenė visame pasaulyje turi dirbti, kad priimtų naujus, architektūrinius ar sisteminius metodus, kaip vienu metu panaikinti visas pažeidžiamumo klases.
„CISA direktyvos širdis yra tinkamoje vietoje, tačiau ji įveikia tik pusę iššūkio“, – sako Emily Long, debesų saugos įmonės „Edera“ generalinė direktorė. „Jei jūsų architektūra neriboja to, ką užpuolikas gali pasiekti po pažeidimo, jūs tiesiog bėgate greičiau ant to paties bėgimo takelio. Pataisymas visada bus svarbus, bet turėtume daugiau kalbėti apie suvaržymą pagal dizainą.
Atrodė, kad CISA Butera trečiadienį pripažino šią raidą. Naujoji direktyva yra „pradinis žingsnis siekiant atremti didėjančias naujų AI modelių galimybes“, – sako jis. „Tačiau dar yra ką nuveikti“.
