Агентство по кибербезопасности и инфраструктуре США (CISA) выпустило новый приказ, обязывающий федеральные органы исполнительной власти сократить срок устранения уязвимостей в программном обеспечении до минимальных сроков. Приказ, введённый в действие 3 дня назад, устанавливает четкие критерии для определения срочности исправлений, включая критические случаи, требующие устранения ошибок в течение трёх дней.
«Особенно важно сейчас сосредоточить внимание на наиболее уязвимых активам, учитывая достижения в области искусственного интеллекта, которые позволяют злоумышленникам находить и эксплуатировать уязвимости в федеральных системах», — заявил вице-директор CISA по кибербезопасности Крис Бутера. Он подчеркнул, что защитникам не по силам тратить недели на исправление систем, которые могут быть массово автоматически атакованы.
Критерии приказа CISA включают оценку следующих факторов: наличие уязвимости в публично доступной системе, её включение в каталог уязвимостей CISA, возможность автоматизации всех шагов эксплуатации и уровень доступа, который может получить злоумышленник. Если все четыре критерия совпадают, уязвимость должна быть устранена в течение трёх дней.
Приказ также требует проведения «форензической триажной» процедуры для оценки рисков, связанных с уязвимостями. Это включает анализ того, насколько широко распространены уязвимости, их потенциальную опасность и эффективность возможных сценариев атак.
Решение CISA отражает растущую обеспокоенность по поводу угроз, связанных с развитием ИИ. С каждым днём улучшается способность алгоритмов автоматически находить уязвимости в программном обеспечении, что делает кибератаки более эффективными и труднодетектируемыми. Приказ направлен на то, чтобы органы власти могли оперативно реагировать на новые угрозы, минимизируя риски для национальной инфраструктуры.