Agenția pentru Securitate Cibernetică și Infrastructură (CISA) din Statele Unite a emis o nouă directivă care obligă agențiile guvernamentale civile federale să remedieze vulnerabilitățile software critice într-un interval de timp drastic redus, respectiv 3 zile. Această măsură survine ca răspuns la progresele înregistrate de modelele de inteligență artificială (AI), care accelerează atât descoperirea breșelor de securitate, cât și exploatarea acestora de către atacatorii cibernetici.
„Apărătorii nu își permit să aștepte săptămâni pentru a aplica patch-uri”, a avertizat un oficial CISA. Cu noile generații de modele AI capabile să identifice și să exploateze vulnerabilități într-un ritm fără precedent, CISA a introdus o „directivă operațională obligatorie” (BOD) care stabilește criterii stricte pentru remedierea rapidă a erorilor de securitate. În cazurile cele mai critice, timpul de răspuns necesar este de numai trei zile.
Chris Butera, director adjunct executiv interimar pentru securitate cibernetică la CISA, a explicat reporterilor că scopul directivei este de a ajuta agențiile să prioritizeze eforturile, concentrându-se inițial pe vulnerabilitățile cele mai problematice, în timp ce remediarea celor cu risc mai mic poate dura mai mult.
Această decizie vine într-un context în care companiile private și guvernele se luptă să evalueze amploarea potențialelor daune cibernetice cauzate de capacitățile AI în dezvoltarea de vulnerabilități și exploit-uri. „Prioritizarea atenției operațiunilor IT și de securitate pe cele mai expuse riscurilor active este deosebit de importantă acum, având în vedere progresele în inteligența artificială, care permit actorilor amenințărilor să identifice și să exploateze vulnerabilități în activele federale”, a subliniat Butera. „Apărătorii nu își permit să aștepte săptămâni pentru a aplica patch-uri sistemelor care pot fi exploatate autonom în masă.”
Criteriile CISA pentru evaluarea urgenței unui patch includ: dacă vulnerabilitatea se află într-un sistem expus publicului, dacă breșa este listată în Catalogul Vulnerabilităților Exploatate Cunoscut (KEV), dacă un atacator poate automatiza toți pașii necesari pentru exploatare și cât de mult acces ar obține un atacator asupra țintei în cazul exploatării.
O vulnerabilitate care îndeplinește toate aceste patru criterii trebuie remediată în termen de trei zile, conform noii directive. De asemenea, agenția trebuie să efectueze un proces de „triaj forensic” pentru a determina dacă sistemele au fost deja compromise.
Directiva înlocuiește două ordine anterioare CISA referitoare la termenele de remediere a vulnerabilităților urgente – unul din 2019 și unul din 2021. Acestea stabiliseră un cadru în care cele mai critice breșe trebuiau patch-uite în 15 zile de la detectare, iar alte vulnerabilități de înaltă urgență în 30 de zile, încurajând totodată patch-uri mai rapide pentru defectele grave acolo unde era posibil.
Chiar și înainte de era AI, în 2021, CISA a avertizat că „actorii amenințărilor sunt extrem de rapizi în exploatarea vulnerabilităților alese: din cele 4% de vulnerabilități cunoscute și exploatate, 42% sunt utilizate în ziua 0 a publicării; 50% în 2 zile; și 75% în 28 de zile”.
Securitatea cibernetică federală din SUA s-a îmbunătățit semnificativ în ultimul deceniu, dar încă rămâne adesea în urma altor țări, din cauza deficitului de finanțare și a priorităților concurente. Butera a menționat că CISA a dezvoltat noua grilă de evaluare și directiva, în general, ținând cont de aceste limitări, explicând că termenul de trei zile pentru cele mai urgente vulnerabilități a fost ales pentru a fi fezabil pentru majoritatea agențiilor.
Noile capabilități AI schimbă deja peisajul detectării vulnerabilităților și al căutării erorilor. Pe măsură ce acest lucru generează o nouă urgență în aplicarea patch-urilor, mulți cercetători încep să concluzioneze că niciun efort de patching nu va fi suficient și că comunitatea globală de dezvoltare software trebuie să lucreze la adoptarea unor abordări arhitecturale sau sistemice noi pentru a invalida clase întregi de vulnerabilități.
„Directiva CISA are intenții bune, dar abordează doar jumătate din provocare”, spune Emily Long, CEO al firmei de securitate cloud Edera. „Dacă arhitectura ta nu limitează ceea ce un atacator poate accesa după o breșă, alergi doar mai repede pe același mecanism de bandă. Aplicarea patch-urilor va rămâne întotdeauna importantă, dar ar trebui să discutăm mai mult despre izolare prin proiectare (containment by design).”
Butera de la CISA pare să fi recunoscut această evoluție, afirmând că noua directivă „este un pas inițial pentru a contracara capacitățile crescute ale modelelor emergente de AI”, adăugând totuși că „mai este încă mult de lucru”.