Indiens CERT-In fordert Organisationen auf, Sicherheitslücken innerhalb von 12 Stunden zu patchen

Diese verschärfte Direktive ist eine direkte Reaktion darauf, dass KI-gestützte Angriffe die Zeitfenster für die Ausnutzung ücken weiter verkürzen und den Druck auf Organisationen erhöhen, schneller zu reagieren.

Laut dem neuen Leitfaden des CERT-In mit dem Titel „Blueprint for Reducing Exposure and Defending against AI-Assisted Vulnerabilities Exploitation in Digital Infrastructure" setzen Bedrohungsakteure zunehmend auf generative KI, große Sprachmodelle und autonome Agenten.

Diese Technologien werden genutzt, um die Erkundung, die Identifizierung für exponierte Dienste, APIs und Cloud-Ressourcen vollautomatisiert durchzuführen. KI-Werkzeuge ermöglichen Angreifern, Sicherheitslücken zu verknüpfen, bösartigen Code zu generieren und halbautonome Angriffs-Kampagnen zu führen.

Sicherheitslage und Risiko

Dadurch sinkt die Zeitspanne zwischen der öffentlichen Offenlegung einer Schwachstelle und ihrer tatsächlichen Ausnutzung. Das CERT-In warnt, dass diese komprimierte Angriffs-Kette jedes ungepatchte, internetexponierte System zu einem hochrangigen Ziel macht.

Besonders betroffen sind Sektoren wie Regierung, Banken, Telekommunikation, Gesundheitswesen sowie die digitale öffentliche Infrastruktur. Um dieser Beschleunigung der Bedrohungslage zu begegnen, legt der neue Leitfaden risikobasierte Fristen für die Behebung ücken fest.

Während bei allgemeinen Schwachstellen mit hohem Schweregrad bis zu fünf Tage zur Behebung zur Verfügung stehen – sofern eine risikobasierte Priorisierung etabliert ist –, gelten für kritische interne Schwachstellen auf hochwertigen Systemen Fristen. Andere kritische, extern exponierte Schwachstellen müssen innerhalb eines Tages behoben werden.

Sicherheitslage und Risiko

Für den kritischsten Fall, bei dem bekannte und bereits ausgenutzte Schwachstellen internetexponierte oder kritische Assets betreffen, fordert das CERT-In eine Eindämmung der Bedrohung und eine Behebung der Schwachstelle innerhalb von. Das Ziel ist es, das Zeitfenster zu schließen, bevor automatisierte Ausnutzungskampagnen Angriffe massiv skalieren können.

Das CERT-In betont zudem, dass regelmäßige Bewertungen und Compliance-getriebene Audits angesichts der Fähigkeit, das Internet kontinuierlich nach neuen Schwachstellen zu durchsuchen, nicht mehr ausreichen. Stattdessen fordert die Agentur Organisationen auf, ein kontinuierliches Exposure-Management zu implementieren.

Dies umfasst die Entdeckung, die Überwachung der Angriffsfläche sowie wiederkehrende Bewertungen internetexponierter Endpunkte für Web, Cloud und APIs.

Sicherheitslage und Risiko

Diese Aktivitäten sollen in einen zentralen Prozess zur Verwaltung ücken einfließen, der bekannte ausgenutzte Schwachstellenlisten, Exploit-Vorhersage-Scores und die geschäftskritische Bedeutung der Systeme nutzt, um eine priorisierte Behebung voranzutreiben.

Neben der schnellen Patchung fordert das Konzept eine Governance, die sensibel für KI-Risiken ist, sowie Zero-Trust-Prinzipien, um den Ausbreitungsbereich einzudämmen, falls Angreifer doch eindringen.

Zu den empfohlenen Maßnahmen gehören eine stärkere Führungsaufsicht über Cyberrisiken und KI-Risiken sowie die Durchsetzung mehrstufiger Authentifizierung und Zugriffssteuerungen nach dem Prinzip der geringsten Rechte. Organisationen werden ferner empfohlen, eine Mikrosegmentierung zu implementieren, um die laterale Bewegung einzuschränken.

Sicherheitslage und Risiko

Das CERT-In hat zudem aufgefordert, den Betrieb (SOC) durch den Einsatz soll die Korrelation, Verhaltensanalysen und Threat Hunting verbessern. Weiterhin empfiehlt die Agentur Schulungen mit Fokus auf Deepfakes, um Mitarbeitende bei der Abwehr ützten Phishing- und Identitätsdiebstahl-Angriffen zu unterstützen.

Der Leitfaden verknüpft das schnelle Patchen mit umfassenderen Resilienzverpflichtungen. Dazu gehören regelmäßige Tests, Incident-Simulationen und Red-Team-Übungen, um zu validieren, dass Sicherheitskontrollen unter Bedingungen ützten Angriffen tatsächlich wirksam sind.

Organisationen werden daran erinnert, dass sie gemäß bestehenden Anweisungen qualifizierende Cybervorfälle innerhalb CERT-In melden müssen, um eine koordinierte Reaktion und den branchenweiten Austausch öglichen. Insgesamt stellt das CERT-In die 12-Stunden-Patching-Pflicht für ausgenutzte Systeme mit Internetzugriff als Mindestanforderung in der heutigen.

Es fordert zudem indische Organisationen auf, die Verringerung der Exposition als kontinuierliche Sicherheitspraxis und nicht als periodische Compliance-Aufgabe zu betrachten.