مع الأجيال الجديدة من نماذج الذكاء الاصطناعي التي تغذي الاكتشاف السريع لثغرات البرمجيات وإمكانية استغلال المتسللين الخبيثين بشكل أسرع، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية توجيهًا جديدًا يوم الأربعاء يتطلب تصحيحًا أكثر سرعة وكفاءة للبرامج من قبل الوكالات المدنية الفيدرالية. يحدد “التوجيه التشغيلي الملزم” (BOD) نموذجًا لمدى السرعة التي يجب بها إصلاح الأخطاء استنادًا إلى أربعة تقييمات للإلحاح، مع فترة زمنية للاستجابة في الحالات الحرجة مدتها ثلاثة أيام فقط.
صرح كريس بوتيرا، القائم بأعمال المدير التنفيذي المساعد للأمن السيبراني في CISA، للصحفيين يوم الأربعاء أن الهدف من التوجيه هو مساعدة الوكالات على تحديد الأولويات، حتى يتمكنوا من معالجة نقاط الضعف الأكثر إشكالية أولاً مع أخذ المزيد من الوقت لمعالجة الأخطاء التي تشكل خطرًا أقل إلحاحًا. ويأتي هذا التوجيه في الوقت الذي تسعى فيه الشركات الخاصة والحكومات جاهدة لتقييم مدى تقديرات الأمن السيبراني التي يمكن أن تطلق العنان لثغرات الذكاء الاصطناعي واستغلال قدرات التطوير.
وقال بوتيرا يوم الأربعاء: “إن إعطاء الأولوية لاهتمام تكنولوجيا المعلومات والعمليات الأمنية بالأصول الأكثر تعرضًا للخطر يعد أمرًا مهمًا بشكل خاص الآن نظرًا للتقدم في الذكاء الاصطناعي، والذي يسمح للجهات الفاعلة في مجال التهديد بالعثور على نقاط الضعف في الأصول (الفدرالية) واستغلالها”. “لا يمكن للمدافعين أن يستغرقوا أسابيع لتصحيح الأنظمة التي يمكن استغلالها بشكل مستقل بشكل جماعي.”
تتضمن معايير توجيه CISA لتقييم الحاجة الملحة للتصحيح النظر في ما إذا كانت الثغرة الأمنية موجودة في نظام تم الكشف عنه علنًا، وما إذا كان الخطأ مدرجًا في كتالوج الثغرات الأمنية المستغلة المعروفة التابع لـ CISA، وما إذا كان بإمكان المهاجم أتمتة جميع الخطوات لاستغلال الثغرة الأمنية، ومدى وصول المهاجم إلى الهدف إذا تم استغلال الخطأ. يجب إصلاح الثغرة الأمنية التي تنطبق عليها النقاط الأربع في غضون ثلاثة أيام، وفقًا للتوجيه الجديد، ويجب على الوكالة أيضًا تنفيذ عملية “فرز الطب الشرعي” لتحديد ما إذا كانت الأنظمة قد تم اختراقها بالفعل.
يحل هذا التوجيه محل أمرين سابقين من CISA يتعلقان بالجداول الزمنية لتصحيح الثغرات الأمنية العاجلة – أحدهما من عام 2019 والآخر من عام 2021. وقد أنشأ هذان الأمران إطارًا يجب من خلاله تصحيح الأخطاء الأكثر أهمية في غضون 15 يومًا من الاكتشاف ويجب معالجة فئة أخرى من الثغرات الأمنية شديدة الإلحاح في غضون 30 يومًا. وكلاهما شجعا على الترقيع السريع للعيوب الشديدة عندما يكون ذلك ممكنًا. حتى قبل عصر الذكاء الاصطناعي، في عام 2021، كتبت CISA أن “الجهات الفاعلة في مجال التهديد سريعة للغاية في استغلال نقاط الضعف التي تختارها: من بين 4% من (نقاط الضعف المعروفة) المستغلة، يتم استخدام 42% في اليوم صفر من الكشف؛ و50% في غضون يومين؛ و75% في غضون 28 يومًا”.
لقد تحسن الأمن السيبراني الفيدرالي في الولايات المتحدة بشكل كبير على مدى العقد الماضي، لكنه لا يزال متخلفا في كثير من الأحيان، وذلك بفضل نقص التمويل والأولويات المتنافسة. وقال بوتيرا من CISA إن الوكالة طورت نموذج التقييم الجديد والتوجيه على نطاق أوسع مع أخذ هذه القيود في الاعتبار. وأشار، على سبيل المثال، إلى أن الموعد النهائي المحدد بثلاثة أيام لنقاط الضعف الأكثر إلحاحًا ليس، على سبيل المثال، 24 ساعة، لأن مثل هذا الإطار الزمني القصير لن يكون ممكنًا بالنسبة لمعظم الوكالات.
تعمل قدرات الذكاء الاصطناعي الجديدة بالفعل على تغيير مشهد اكتشاف الثغرات الأمنية وصيد الأخطاء. وبما أن هذا يحفز إلحاحًا جديدًا على التصحيح، فقد بدأ العديد من الباحثين في الاستنتاج، بشكل أساسي، أنه لن يكون أي قدر من التصحيح كافيًا – وأن مجتمع تطوير البرمجيات على مستوى العالم يجب أن يعمل على اعتماد أساليب معمارية أو نظامية جديدة لإبطال فئات كاملة من نقاط الضعف في وقت واحد.
تقول إميلي لونج، الرئيس التنفيذي لشركة Edera للأمن السحابي: “إن توجيهات CISA لها جوهرها في المكان الصحيح، ولكنها لا تعالج سوى نصف التحدي”. “إذا كانت بنيتك لا تحد مما يمكن للمهاجم الوصول إليه بعد الاختراق، فأنت تعمل بشكل أسرع على نفس جهاز المشي. سيكون التصحيح مهمًا دائمًا، ولكن يجب أن نتحدث أكثر عن الاحتواء حسب التصميم.”
ويبدو أن بوتيرا من CISA قد اعترف بهذا التطور يوم الأربعاء. ويقول إن التوجيه الجديد “يعد خطوة أولية لمواجهة القدرات المتزايدة لنماذج الذكاء الاصطناعي الناشئة”. “ومع ذلك، لا يزال هناك المزيد من العمل الذي يتعين القيام به.”
