مع الأجيال الجديدة من نماذج الذكاء الاصطناعي التي تغذي الاكتشاف السريع لثغرات البرمجيات وإمكانية استغلال المتسللين الخبيثين بشكل أسرع، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تقريرًا التوجيه الجديد يوم الأربعاء يتطلب ذلك تصحيحًا برمجيًا أكثر سرعة وكفاءة من قبل الوكالات المدنية الفيدرالية. يحدد “التوجيه التشغيلي الملزم” (BOD) نموذجًا لمدى السرعة التي يجب بها إصلاح الأخطاء استنادًا إلى أربعة تقييمات للإلحاح، مع فترة زمنية للاستجابة في الحالات الحرجة مدتها ثلاثة أيام فقط.
صرح كريس بوتيرا، القائم بأعمال المدير التنفيذي المساعد للأمن السيبراني في CISA، للصحفيين يوم الأربعاء أن الهدف من التوجيه هو مساعدة الوكالات على تحديد الأولويات، حتى يتمكنوا من معالجة نقاط الضعف الأكثر إشكالية أولاً مع أخذ المزيد من الوقت لمعالجة الأخطاء التي تشكل خطرًا أقل إلحاحًا. ويأتي هذا التوجيه في الوقت الذي تسعى فيه الشركات الخاصة والحكومات جاهدة لتقييم مدى تقديرات الأمن السيبراني التي يمكن أن تطلق العنان لثغرات الذكاء الاصطناعي واستغلال قدرات التطوير.
“إن إعطاء الأولوية لاهتمام تكنولوجيا المعلومات والعمليات الأمنية بالأصول الأكثر تعرضًا للخطر يعد أمرًا مهمًا بشكل خاص الآن نظرًا للتقدم في الذكاء الاصطناعي، والذي يسمح للجهات الفاعلة في مجال التهديد بالعثور على نقاط الضعف واستغلالها في [federal] قال بوتيرا يوم الأربعاء: “لا يمكن للمدافعين أن يتحملوا قضاء أسابيع لتصحيح الأنظمة التي يمكن استغلالها بشكل مستقل بشكل جماعي”.
تتضمن معايير توجيه CISA لتقييم مدى إلحاح التصحيح النظر في ما إذا كانت الثغرة الأمنية موجودة في نظام مكشوف علنًا، وما إذا كان الخطأ مدرجًا في دليل CISA كتالوج الثغرات الأمنية المستغلة المعروفةوما إذا كان بإمكان المهاجم أتمتة كافة الخطوات لاستغلال الثغرة الأمنية، ومدى الوصول الذي يمكن أن يصل إليه المهاجم إلى الهدف إذا تم استغلال الثغرة. يجب إصلاح الثغرة الأمنية التي تنطبق عليها النقاط الأربع خلال ثلاثة أيام، وفقًا للتوجيه الجديد، ويجب على الوكالة أيضًا تنفيذ “فرز الطب الشرعيعملية لتحديد ما إذا كانت الأنظمة قد تم اختراقها بالفعل.
يحل هذا التوجيه محل أمرين سابقين من CISA يتعلقان بتصحيح الجداول الزمنية لنقاط الضعف العاجلة – أحدهما من 2019 وواحد من 2021. أنشأ هؤلاء إطارًا يجب من خلاله تصحيح الأخطاء الأكثر أهمية في غضون 15 يومًا من اكتشافها، ويجب معالجة فئة أخرى من الثغرات الأمنية شديدة الإلحاح في غضون 30 يومًا. وكلاهما شجعا على الترقيع السريع للعيوب الشديدة عندما يكون ذلك ممكنًا. حتى قبل عصر الذكاء الاصطناعي، في عام 2021، CISA كتب أن “الجهات التهديدية سريعة للغاية في استغلال نقاط الضعف التي تختارها: من بين هؤلاء الذين تم استغلالهم بنسبة 4% [vulnerabilities]، يتم استخدام 42% في اليوم 0 من الكشف؛ 50% خلال يومين؛ و75% خلال 28 يومًا».
لقد تحسن الأمن السيبراني الفيدرالي في الولايات المتحدة بشكل كبير على مدى العقد الماضي، لكنه لا يزال متخلفا في كثير من الأحيان، وذلك بفضل نقص التمويل والأولويات المتنافسة. وقال بوتيرا من CISA إن الوكالة طورت نموذج التقييم الجديد والتوجيه على نطاق أوسع مع أخذ هذه القيود في الاعتبار. وأشار، على سبيل المثال، إلى أن الموعد النهائي المحدد بثلاثة أيام لنقاط الضعف الأكثر إلحاحًا ليس، على سبيل المثال، 24 ساعة، لأن مثل هذا الإطار الزمني القصير لن يكون ممكنًا بالنسبة لمعظم الوكالات.
تعمل قدرات الذكاء الاصطناعي الجديدة بالفعل على تغيير مشهد اكتشاف الثغرات الأمنية وصيد الأخطاء. وبما أن هذا يحفز إلحاحًا جديدًا على التصحيح، فقد بدأ العديد من الباحثين في الاستنتاج، بشكل أساسي، أنه لن يكون أي قدر من التصحيح كافيًا – وأن مجتمع تطوير البرمجيات على مستوى العالم يجب أن يعمل على اعتماد أساليب معمارية أو نظامية جديدة لإبطال فئات كاملة من نقاط الضعف في وقت واحد.
تقول إميلي لونج، الرئيس التنفيذي لشركة Edera للأمن السحابي: “إن توجيهات CISA لها جوهرها في المكان الصحيح، ولكنها لا تعالج سوى نصف التحدي”. “إذا كانت بنيتك لا تحد مما يمكن للمهاجم الوصول إليه بعد الاختراق، فأنت تعمل بشكل أسرع على نفس جهاز المشي. سيكون التصحيح مهمًا دائمًا، ولكن يجب أن نتحدث أكثر عن الاحتواء حسب التصميم.”
ويبدو أن بوتيرا من CISA قد اعترف بهذا التطور يوم الأربعاء. ويقول إن التوجيه الجديد “يعد خطوة أولية لمواجهة القدرات المتزايدة لنماذج الذكاء الاصطناعي الناشئة”. “ومع ذلك، لا يزال هناك المزيد من العمل الذي يتعين القيام به.”
