CISA, AI Destekli Tehdit Artışı Karşısında ABD Kurumları İçin Hızlandırılmış Güvenlik Açığı Düzeltme Zorunluluğu Getirdi
Cybersecurity and Infrastructure Security Agency (CISA), yapay zeka tarafından desteklenen siber tehditlerin hızının artmasına yanıt olarak federal kurumların güvenlik açıklarını gidermesi için gereken süreyi önemli ölçüde kısaltan yeni yönergeler yayımladı.
Yeni direktif kapsamında, kurumların kritik güvenlik açıklarını artık 72 saat içinde gidermeleri gerekiyor — bu, önceki sürelerin keskin bir düşüşü anlamına geliyor. Ajans, yapay zeka destekli saldırı araçlarının ortaya çıkışının tehdit ortamını temelden değiştirdiğini ve haftalarca süren yama döngülerini sürdürülemez hale getirdiğini uyarıyor.
"Savunmacılar haftalarca yama yapmak lüksüne sahip olamaz," diye belirtti bir CISA yetkisi duyuru sırasında. Direktif, kötü niyetli aktörlerin yapay zekayı giderek daha fazla kullanarak güvenlik açıklarını benzeri görülmemiş hızlarda tespit ettiğini ve istismar ettiğini yansıtıyor; bu da bir zamanlar aylarca süren fırsat pencerelerini günlere hatta saatlere düşürüyor.
Direktif, tüm federal sivil yürütme organı kurumları için geçerlidir ve güvenlik açığı ciddiyetine dayalı bir kademeli sistem oluşturur. Kritik kusurların üç gün içinde, yüksek önem derecesindeki sorunların 30 gün içinde ve orta önem derecesindeki güvenlik açıklarının ise 90 gün içinde giderilmesi gerekiyor.
Güvenlik uzmanları bu hamleyi geniş çaplı olarak memnuniyetle karşıladı, ancak bazıları kaynak kısıtlamalarının küçük kurumların hızlandırılmış zaman çizelgelerini karşılamasını zorlaştırabileceğini belirtti. CISA, kurumların yeni gereksinimleri karşılamasına yardımcı olmak için destek ve rehberlik sağlayacağını belirtti.