/सीआईएसए ने एआई खतरों के कारण अमेरिकी एजेंसियों को सुरक्षा बगों को कम से कम तीन दिनों में ठीक करने को कहा
सीआईएसए ने एआई खतरों के कारण अमेरिकी एजेंसियों को सुरक्षा बगों को कम से कम तीन दिनों में ठीक करने को कहा

सीआईएसए ने एआई खतरों के कारण अमेरिकी एजेंसियों को सुरक्षा बगों को कम से कम तीन दिनों में ठीक करने को कहा

नई पीढ़ियों के साथ एआई मॉडल तेजी से सॉफ्टवेयर भेद्यता खोज और दुर्भावनापूर्ण हैकर्स द्वारा तेजी से शोषण की संभावना दोनों को बढ़ावा दे रहे हैं, यूनाइटेड स्टेट्स साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने बुधवार को एक नया निर्देश जारी किया जिसके लिए संघीय नागरिक एजेंसियों द्वारा अधिक तेज़ और कुशल सॉफ़्टवेयर पैचिंग की आवश्यकता होती है। “बाइंडिंग ऑपरेशनल डायरेक्टिव” (बीओडी) इस बात के लिए रूब्रिक देता है कि तात्कालिकता के चार आकलनों के आधार पर बग्स को कितनी जल्दी ठीक किया जाना चाहिए, गंभीर मामलों में केवल तीन दिनों के टर्नअराउंड समय के साथ।

साइबर सुरक्षा के लिए सीआईएसए के कार्यवाहक कार्यकारी सहायक निदेशक क्रिस बुटेरा ने बुधवार को संवाददाताओं से कहा कि निर्देश का लक्ष्य एजेंसियों को प्राथमिकता देने में मदद करना है, ताकि वे सबसे अधिक समस्याग्रस्त कमजोरियों को पहले संबोधित कर सकें, जबकि कम दबाव वाले जोखिम पैदा करने वाले बग को ठीक करने में अधिक समय ले सकें। यह निर्देश तब आया है जब निजी कंपनियां और सरकारें साइबर सुरक्षा की सीमा का आकलन करने के लिए संघर्ष कर रही हैं, जिससे एआई भेद्यता और विकास क्षमताओं का शोषण हो सकता है।

बुटेरा ने बुधवार को कहा, “अब कृत्रिम बुद्धिमत्ता में प्रगति को देखते हुए सबसे अधिक जोखिम वाली परिसंपत्तियों पर आईटी और सुरक्षा संचालन पर ध्यान देना विशेष रूप से महत्वपूर्ण है, जो खतरे वाले अभिनेताओं को (संघीय) परिसंपत्तियों में कमजोरियों को खोजने और उनका फायदा उठाने की अनुमति देता है।” “रक्षक सिस्टम को पैच करने में हफ्तों का समय नहीं लगा सकते हैं जिनका स्वायत्त रूप से सामूहिक रूप से शोषण किया जा सकता है।”

पैच तात्कालिकता का मूल्यांकन करने के लिए सीआईएसए निर्देश के मानदंड में यह देखना शामिल है कि क्या कोई भेद्यता उस प्रणाली में है जो सार्वजनिक रूप से उजागर हुई है, क्या बग सीआईएसए की ज्ञात शोषित कमजोरियों की सूची में सूचीबद्ध है, क्या कोई हमलावर भेद्यता का फायदा उठाने के लिए सभी चरणों को स्वचालित कर सकता है, और यदि बग का फायदा उठाया गया तो हमलावर को लक्ष्य तक कितनी पहुंच मिलेगी। नए निर्देश के अनुसार, एक भेद्यता जहां सभी चार बिंदु लागू होते हैं, उसे तीन दिनों के भीतर ठीक किया जाना चाहिए, और एजेंसी को यह निर्धारित करने के लिए “फोरेंसिक ट्राइएज” प्रक्रिया भी निष्पादित करनी होगी कि क्या सिस्टम से पहले ही समझौता किया जा चुका है।

निर्देश तत्काल कमजोरियों के लिए पैचिंग समयसीमा से संबंधित सीआईएसए के दो पिछले आदेशों को हटा देता है – एक 2019 से और एक 2021 से। उन्होंने एक ढांचा स्थापित किया जिसमें सबसे महत्वपूर्ण बग को पता लगाने के 15 दिनों के भीतर पैच करना था और उच्च-तत्काल भेद्यता के एक अन्य वर्ग को 30 दिनों के भीतर ठीक करना था। और दोनों ने जब संभव हो तो गंभीर खामियों के लिए तेजी से पैचिंग को प्रोत्साहित किया। एआई युग से पहले भी, 2021 में, सीआईएसए ने लिखा था कि “खतरे वाले अभिनेता अपनी पसंद की कमजोरियों का फायदा उठाने के लिए बेहद तेज हैं: उन 4% ज्ञात शोषण (कमजोरियों) में से, 42% का उपयोग प्रकटीकरण के दिन 0 पर किया जा रहा है; 2 दिनों के भीतर 50%; और 28 दिनों के भीतर 75% का उपयोग किया जा रहा है।”

पिछले एक दशक में अमेरिकी संघीय साइबर सुरक्षा में काफी सुधार हुआ है, लेकिन फंडिंग की कमी और प्रतिस्पर्धी प्राथमिकताओं के कारण यह अभी भी अक्सर पीछे है। सीआईएसए के बुटेरा ने कहा कि एजेंसी ने इन सीमाओं को ध्यान में रखते हुए नए मूल्यांकन रूब्रिक और निर्देश को अधिक व्यापक रूप से विकसित किया है। उन्होंने कहा, उदाहरण के लिए, सबसे जरूरी कमजोरियों के लिए तीन दिन की समय सीमा, मान लीजिए, 24 घंटे नहीं है, क्योंकि इतनी कम समय सीमा अधिकांश एजेंसियों के लिए संभव नहीं होगी।

नई एआई क्षमताएं पहले से ही भेद्यता का पता लगाने और बग शिकार के परिदृश्य को बदल रही हैं। और जैसे ही यह पैचिंग में नई तात्कालिकता को बढ़ावा देता है, कई शोधकर्ताओं ने अनिवार्य रूप से यह निष्कर्ष निकालना शुरू कर दिया है कि पैचिंग की कोई भी मात्रा पर्याप्त नहीं होगी – और विश्व स्तर पर सॉफ्टवेयर विकास समुदाय को एक समय में कमजोरियों के पूरे वर्गों को अमान्य करने के लिए नए, वास्तुशिल्प या प्रणालीगत दृष्टिकोण अपनाने के लिए काम करना चाहिए।

क्लाउड सुरक्षा फर्म एडेरा के सीईओ एमिली लॉन्ग कहते हैं, “सीआईएसए का निर्देश सही जगह पर है, लेकिन यह केवल आधी चुनौती से निपटता है।” “यदि आपका आर्किटेक्चर यह सीमित नहीं करता है कि उल्लंघन के बाद हमलावर किस तक पहुंच सकता है, तो आप बस उसी ट्रेडमिल पर तेजी से दौड़ रहे हैं। पैचिंग हमेशा महत्वपूर्ण होगी, लेकिन हमें डिज़ाइन द्वारा रोकथाम के बारे में अधिक बात करनी चाहिए।”

सीआईएसए के बुटेरा ने बुधवार को इस विकास को स्वीकार किया। उनका कहना है, “नया निर्देश उभरते एआई मॉडल की बढ़ती क्षमताओं का मुकाबला करने के लिए एक प्रारंभिक कदम है।” “फिर भी अभी और काम करना बाकी है।”