Dengan generasi baru dari model AI memicu keduanya penemuan kerentanan perangkat lunak yang cepat dan potensi untuk eksploitasi lebih cepat oleh peretas jahat, Badan Keamanan Siber dan Infrastruktur Amerika Serikat merilis a arahan baru pada hari Rabu yang memerlukan perbaikan perangkat lunak yang lebih cepat dan efisien oleh lembaga sipil federal. “Petunjuk operasional yang mengikat” (BOD) menjabarkan rubrik mengenai seberapa cepat bug harus diperbaiki berdasarkan empat penilaian urgensi, dengan waktu penyelesaian dalam kasus-kasus kritis hanya tiga hari.
Chris Butera, penjabat asisten direktur eksekutif keamanan siber CISA, mengatakan kepada wartawan pada hari Rabu bahwa tujuan dari arahan ini adalah untuk membantu lembaga-lembaga tersebut membuat prioritas, sehingga mereka dapat mengatasi kerentanan yang paling bermasalah terlebih dahulu sambil meluangkan lebih banyak waktu untuk memperbaiki bug yang menimbulkan risiko yang tidak terlalu mendesak. Arahan ini muncul ketika perusahaan swasta dan pemerintah berupaya menilai sejauh mana keamanan siber dengan mempertimbangkan kerentanan AI dan kemampuan eksploitasi pengembangan.
“Memprioritaskan perhatian TI dan operasi keamanan pada aset yang paling berisiko sangatlah penting saat ini mengingat kemajuan dalam kecerdasan buatan, yang memungkinkan pelaku ancaman menemukan dan mengeksploitasi kerentanan di dalam sistem. [federal] aset,” kata Butera pada hari Rabu. “Para pembela HAM tidak dapat menghabiskan waktu berminggu-minggu untuk memperbaiki sistem yang dapat dieksploitasi secara massal secara mandiri.”
Kriteria arahan CISA untuk mengevaluasi urgensi patch mencakup melihat apakah kerentanan ada dalam sistem yang terekspos secara publik, apakah bug tersebut tercantum dalam daftar CISA. Katalog Kerentanan yang Dieksploitasi yang Diketahuiapakah penyerang dapat mengotomatiskan semua langkah untuk mengeksploitasi kerentanan, dan seberapa besar akses yang akan diperoleh penyerang ke target jika bug dieksploitasi. Kerentanan yang menerapkan keempat poin tersebut harus diperbaiki dalam waktu tiga hari, sesuai dengan arahan baru, dan lembaga tersebut juga harus melaksanakan “triase forensik” proses untuk menentukan apakah sistem telah disusupi.
Arahan ini menggantikan dua perintah CISA sebelumnya terkait dengan jadwal patching untuk kerentanan yang mendesak—satu dari 2019 dan satu dari 2021. Mereka menetapkan kerangka kerja di mana bug yang paling kritis harus ditambal dalam waktu 15 hari setelah terdeteksi dan kelas kerentanan lain yang sangat mendesak harus diperbaiki dalam waktu 30 hari. Dan keduanya mendorong perbaikan yang lebih cepat untuk kelemahan yang parah jika memungkinkan. Bahkan sebelum era AI, pada tahun 2021, CISA menulis bahwa “aktor ancaman sangat cepat mengeksploitasi kerentanan yang mereka pilih: dari 4% kerentanan yang diketahui telah dieksploitasi [vulnerabilities]42% digunakan pada hari ke 0 pengungkapan; 50% dalam 2 hari; dan 75% dalam 28 hari.”
Keamanan siber federal AS telah meningkat secara signifikan selama dekade terakhir, namun masih sering tertinggal karena kurangnya pendanaan dan persaingan prioritas. Butera dari CISA mengatakan bahwa badan tersebut mengembangkan rubrik penilaian baru dan arahannya secara lebih luas dengan mempertimbangkan keterbatasan ini. Ia mencatat, misalnya, bahwa tenggat waktu tiga hari untuk mengatasi kerentanan yang paling mendesak bukanlah, katakanlah, 24 jam, karena jangka waktu sesingkat itu tidak mungkin dilakukan oleh sebagian besar lembaga.
Kemampuan AI baru sudah ada mengubah lanskap deteksi kerentanan dan perburuan bug. Dan karena hal ini memicu urgensi baru dalam melakukan patching, banyak peneliti mulai menyimpulkan, pada dasarnya, jumlah patching saja tidak akan cukup—dan bahwa komunitas pengembangan perangkat lunak secara global harus berupaya mengadopsi pendekatan baru, arsitektural, atau sistemis untuk membatalkan validasi seluruh kelompok kerentanan sekaligus.
“Petunjuk CISA memang tepat sasaran, namun hanya mampu mengatasi separuh tantangan yang ada,” kata Emily Long, CEO perusahaan keamanan cloud Edera. “Jika arsitektur Anda tidak membatasi apa yang dapat dijangkau oleh penyerang setelah pelanggaran terjadi, Anda hanya akan berlari lebih cepat di treadmill yang sama. Patching akan selalu menjadi hal yang penting, namun kita harus berbicara lebih banyak tentang pengendalian yang dirancang secara khusus.”
Butera dari CISA tampaknya mengakui evolusi ini pada hari Rabu. Arahan baru ini “merupakan langkah awal untuk melawan peningkatan kemampuan model AI yang sedang berkembang,” katanya. “Namun masih banyak pekerjaan yang harus dilakukan.”
