Kategori
NEWS
CISA mewajibkan patch 3 hari untuk kerentanan kritis demi mencegah eksploitasi AI. Simak kriteria baru dan dampaknya bagi keamanan siber.

📑 Daftar Isi

Logo CISA dengan latar belakang papan sirkuit dan kode biner

CISA Terbitkan Aturan Patch 3 Hari untuk Cegah Eksploitasi AI

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️3 menit membaca
Bagikan:
  • CISA menerbitkan arahan baru yang mewajibkan patch dalam 3 hari untuk kerentanan paling kritis
  • Empat kriteria evaluasi: eksposur publik, ada di Katalog KEV, bisa dieksploitasi otomatis, dan tingkat akses penyerang
  • Arahan menggantikan kebijakan 2019 dan 2021 yang memberikan tenggat 15-30 hari
  • Langkah ini merespons peningkatan kemampuan AI yang mempercepat eksploitasi kerentanan
  • Kritikus menilai patch saja tidak cukup tanpa pendekatan containment by design
  • CISA mengakui ini baru langkah awal dan masih ada pekerjaan lebih lanjut

Telset.id – Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan arahan baru yang mewajibkan lembaga federal untuk menambal kerentanan paling kritis dalam waktu tiga hari, sebagai respons terhadap meningkatnya kemampuan kecerdasan buatan (AI) yang digunakan aktor ancaman. Langkah ini diambil untuk mengantisipasi gelombang eksploitasi otomatis yang didorong oleh AI.

Chris Butera, penjabat asisten direktur eksekutif CISA untuk keamanan siber, mengatakan pada Rabu lalu bahwa tujuan arahan ini adalah membantu lembaga memprioritaskan kerentanan paling bermasalah terlebih dahulu, sambil memberi waktu lebih lama untuk memperbaiki bug yang risikonya lebih rendah. Arahan ini muncul di saat perusahaan swasta dan pemerintah tengah sibuk menilai dampak dari kemampuan AI dalam menemukan dan mengeksploitasi kerentanan.

“Memprioritaskan perhatian operasi TI dan keamanan pada aset yang paling berisiko sangat penting sekarang, mengingat kemajuan AI yang memungkinkan aktor ancaman menemukan dan mengeksploitasi kerentanan pada aset federal,” ujar Butera. “Pembela tidak bisa lagi menunggu berminggu-minggu untuk menambal sistem yang bisa dieksploitasi secara massal secara otonom.”

Kriteria Baru Evaluasi Kerentanan

Arahan CISA menetapkan empat kriteria untuk mengevaluasi urgensi patch. Pertama, apakah kerentanan berada di sistem yang terekspos publik. Kedua, apakah bug tersebut tercatat dalam Katalog Kerentanan yang Telah Dieksploitasi (KEV) milik CISA. Ketiga, apakah penyerang bisa mengotomatiskan semua langkah untuk mengeksploitasi kerentanan. Keempat, seberapa besar akses yang akan diperoleh penyerang jika bug berhasil dieksploitasi.

Kerentanan yang memenuhi keempat poin tersebut wajib diperbaiki dalam waktu tiga hari. Selain itu, lembaga juga harus menjalankan proses “forensik triase” untuk menentukan apakah sistem sudah terkompromi. Aturan ini menggantikan dua arahan CISA sebelumnya terkait tenggat waktu patch—satu dari 2019 dan satu dari 2021.

Arahan sebelumnya menetapkan kerangka kerja di mana bug paling kritis harus ditambal dalam 15 hari setelah deteksi, dan kelas kerentanan urgensi tinggi lainnya dalam 30 hari. Kedua arahan itu juga mendorong patch lebih cepat untuk celah parah bila memungkinkan.

Bahkan sebelum era AI, pada 2021, CISA menulis bahwa “aktor ancaman sangat cepat mengeksploitasi kerentanan pilihan mereka: dari 4% kerentanan yang diketahui dieksploitasi, 42% digunakan pada hari ke-0 pengungkapan; 50% dalam 2 hari; dan 75% dalam 28 hari.”

Keamanan siber federal AS telah meningkat signifikan selama dekade terakhir, tetapi masih sering tertinggal karena keterbatasan pendanaan dan prioritas yang bersaing. Butera mengatakan bahwa CISA mengembangkan rubrik penilaian baru dan arahan ini dengan mempertimbangkan keterbatasan tersebut. Ia mencontohkan, tenggat waktu tiga hari untuk kerentanan paling mendesak tidak dibuat, misalnya, 24 jam, karena jangka waktu yang terlalu pendek tidak akan layak bagi sebagian besar lembaga.

Baca Juga:

Kemampuan AI baru telah mengubah lanskap deteksi kerentanan dan perburuan bug. Hal ini mendorong urgensi baru dalam proses patch. Banyak peneliti mulai menyimpulkan bahwa tidak ada jumlah patch yang akan cukup, dan komunitas pengembangan perangkat lunak global harus mengadopsi pendekatan arsitektural atau sistemik baru untuk membatalkan seluruh kelas kerentanan sekaligus.

Emily Long, CEO perusahaan keamanan cloud Edera, memberikan pandangan kritis. “Arahan CISA memiliki niat baik, tetapi hanya menangani setengah tantangan,” katanya. “Jika arsitektur Anda tidak membatasi apa yang bisa dijangkau penyerang setelah pelanggaran, Anda hanya berlari lebih cepat di treadmill yang sama. Patch akan selalu penting, tetapi kita harus lebih banyak membicarakan tentang containment by design.”

Butera tampaknya mengakui evolusi ini. Arahan baru tersebut “adalah langkah awal untuk melawan peningkatan kemampuan model AI yang muncul,” ujarnya. “Namun masih ada lebih banyak pekerjaan yang harus dilakukan.”

Dalam konteks yang lebih luas, arahan ini menjadi pengingat bahwa Medusa Ransomware dan ancaman siber lainnya terus mengincar infrastruktur kritis. Kecepatan patch menjadi krusial, tetapi tidak cukup tanpa pendekatan keamanan yang lebih fundamental.

Perubahan kebijakan ini juga relevan dengan pembaruan darurat Apple yang baru-baru ini dirilis untuk mengatasi eksploitasi aktif. Keduanya menunjukkan bahwa era eksploitasi berbantuan AI membutuhkan respons yang lebih cepat dan lebih cerdas dari sebelumnya.

Ditulis oleh

Well, I like technology. But more than that, I like everything related to innovation. And that passion brought me here, to the house of digital media and communication, a company that engaged in Platforms & Content Creation, Publishing, and Public Relations.

Komentar

Belum ada komentar.