सीईआरटी-इन ने एआई साइबर खतरों की चेतावनी दी, 12 घंटे की पैच विंडो की मांग की

हालाँकि, CERT-In ने संगठनों को सलाह दी है कि वे दुर्भावनापूर्ण हमलों से बचाने के लिए जहां संभव हो, चिह्नित किए जाने के 12 घंटे के भीतर इंटरनेट-फेसिंग और ‘क्राउन-ज्वेल’ सिस्टम को प्रभावित करने वाली ज्ञात कमजोरियों को ठीक करें।

एजेंसी ने आंतरिक प्रणालियों को प्रभावित करने वाली कमजोरियों के साथ-साथ बाहरी रूप से उजागर होने वाली गंभीर कमजोरियों को एक दिन के भीतर ठीक करने या कम करने की भी सिफारिश की है, बशर्ते अन्य नियंत्रण पहले से ही मौजूद हों। ब्लूप्रिंट के अनुसार, उच्च-गंभीरता वाली कमजोरियों के मामले में, संगठनों को पांच दिन तक का समय लग सकता है, जबकि उच्च-मूल्य प्रणालियों में कमजोरियों को तीन दिनों के भीतर हल किया जाना चाहिए।

सीईआरटी-इन का खाका तब सामने आया है जब दुनिया भर की सरकारें और संगठन इस बात की तैयारी में लगे हैं कि हमलावर अंततः साइबर हमलों को अंजाम देने के लिए एआई का उपयोग कैसे कर सकते हैं। पिछले महीने, वित्त मंत्री निर्मला सीतारमण ने इस चिंता पर एक उच्च स्तरीय बैठक की अध्यक्षता की कि माइथोस भारत के बैंकिंग क्षेत्र के लिए महत्वपूर्ण जोखिम पैदा कर सकता है। इंडियन एक्सप्रेस ने पहले बताया था कि भारत सरकार इस मुद्दे पर अमेरिका में एंथ्रोपिक के वरिष्ठ नेतृत्व के साथ भी बातचीत कर रही है।

सीईआरटी-इन ने ब्लूप्रिंट में कहा, “जनरेटिव एआई, बड़े भाषा मॉडल (एलएलएम), स्वायत्त एजेंट और एआई-सक्षम ऑटोमेशन प्लेटफॉर्म सहित कृत्रिम बुद्धिमत्ता (एआई) की तेजी से प्रगति और पहुंच साइबर सुरक्षा परिदृश्य को महत्वपूर्ण रूप से बदल रही है।”

इसमें कहा गया है, “खतरे वाले अभिनेता टोही में तेजी लाने, भेद्यता की खोज को स्वचालित करने, अत्यधिक लक्षित फ़िशिंग अभियान उत्पन्न करने, अनुकूली मैलवेयर विकसित करने और साइबर हमलों के पैमाने और गति को बढ़ाने के लिए एआई क्षमताओं का तेजी से लाभ उठा रहे हैं।”

एजेंसी ने संस्थाओं के लिए छह घंटे के भीतर साइबर घटनाओं की रिपोर्ट करने की आवश्यकता को भी दोहराया। हालाँकि, शेष ब्लूप्रिंट संस्थाओं पर कोई कानूनी दायित्व नहीं थोपता है, और केवल संगठनों को एआई-सक्षम साइबर खतरों के खिलाफ अपने लचीलेपन को मजबूत करने में मदद करने के लिए सिफारिशें प्रदान करता है।

यहां प्रमुख चिंताएं, प्रमुख खतरे वाले क्षेत्र और घटना से पहले और घटना के बाद के अनुशंसित उपाय दिए गए हैं।

प्रमुख चिंताएँ, खतरे वाले क्षेत्र

एआई-सहायता प्राप्त साइबर खतरों के उभरते परिदृश्य को देखते हुए, सीईआरटी-इन ने कहा कि संगठनों को इस बात पर ध्यान देना चाहिए कि उन्नत एआई मॉडल और टूल के कारण कमजोरियों का फायदा उठाने की समयसीमा काफी कम हो गई है, इस हद तक कि समय-समय पर ऑडिट और प्रतिक्रियाशील प्रतिक्रियाएं भी अब पर्याप्त नहीं हो सकती हैं।

CERT-In ने भी इस पर जोर दिया पारंपरिक स्थैतिक सुरक्षा दृष्टिकोण अपर्याप्त हो गए हैंऔर संगठनों को स्थिर साइबर रक्षा मॉडल से दूर जाने की जरूरत है। इसके अतिरिक्त, स्वायत्त एआई एजेंटों के उदय से “अर्ध-स्वायत्त या पूरी तरह से स्वचालित साइबर संचालन का खतरा पैदा हो गया है, जो टोही, शोषण, विशेषाधिकार वृद्धि, पार्श्व आंदोलन और डेटा घुसपैठ सहित साइबर किल श्रृंखला के कई चरणों को तेज करने में सक्षम है।”

सीईआरटी-इन के अनुसार, चूंकि संगठन तेजी से क्लाउड-नेटिव इंफ्रास्ट्रक्चर, एपीआई, इंटरकनेक्टेड डिजिटल सेवाओं, सॉफ्टवेयर सप्लाई चेन, ऑपरेशनल टेक्नोलॉजीज और एआई-सक्षम प्लेटफार्मों पर निर्भर हो रहे हैं, जिससे संगठनात्मक हमले की सतह का विस्तार हुआ है। एआई-सहायता प्राप्त साइबर हमले आम तौर पर निम्न रूप लेते हैं:

-तेजी से टोही और हमले की सतह का मानचित्रण।

-स्वचालित भेद्यता खोज और शोषण विकास।

-अत्यधिक वैयक्तिकृत फ़िशिंग और सोशल इंजीनियरिंग अभियान: इसमें स्पीयर फ़िशिंग अभियान, कार्यकारी प्रतिरूपण, डीपफेक आवाज़ और वीडियो धोखाधड़ी, व्यावसायिक ईमेल समझौता, क्रेडेंशियल चोरी अभियान, बड़े पैमाने पर एआई-जनित सोशल इंजीनियरिंग शामिल हैं।

-एआई-जनित मैलवेयर और दुर्भावनापूर्ण स्क्रिप्टिंग: एआई-सहायता प्राप्त आक्रामक टूलिंग का उपयोग एंड-टू-एंड साइबर किल चेन (सीकेसी) निष्पादन, मैलवेयर संशोधन और अस्पष्टता, अनुकूली पेलोड पीढ़ी, स्वचालित स्क्रिप्टिंग, स्थैतिक पहचान नियंत्रणों की चोरी, अर्ध-स्वायत्त हमले निष्पादन, तकनीकी प्रवेश बाधाओं को कम करने, अप्रशिक्षित खतरे वाले अभिनेताओं को भी बड़े पैमाने पर परिष्कृत साइबर हमले शुरू करने में सक्षम बनाने के लिए किया जा सकता है।

-डीपफेक-सक्षम प्रतिरूपण और धोखाधड़ी।
-स्वचालित हमला ऑर्केस्ट्रेशन।
-अनुकूली चोरी तकनीक.

सीईआरटी-इन ने त्वरित इंजेक्शन हमलों, मॉडल हेरफेर, प्रशिक्षण डेटा विषाक्तता, असुरक्षित एआई एकीकरण और एआई मॉडल चोरी को संभावित जोखिमों के रूप में उजागर करते हुए कहा, “एआई-सक्षम सिस्टम तैनात करने वाले संगठन स्वयं एआई मॉडल, अनुमान प्रणाली, पुनर्प्राप्ति तंत्र और एआई-एकीकृत वर्कफ़्लो के खिलाफ प्रतिकूल हमलों का लक्ष्य बन सकते हैं।”

इसने सार्वजनिक एआई प्लेटफार्मों के अप्रतिबंधित उपयोग के प्रति आगाह किया।

संगठनों के लिए प्रमुख सुरक्षा सिफ़ारिशें

CERT-In ने संगठनों से AI-सक्षम अनुकूली प्रथाओं को अपनाने का आग्रह किया है, जिससे AI-संचालित खतरों का मुकाबला करने के लिए AI उपकरणों के उपयोग को प्रभावी ढंग से प्रोत्साहित किया जा सके। इसने यह भी बताया कि परिधि-केंद्रित और आवधिक अनुपालन-संचालित सुरक्षा दृष्टिकोण, जबकि आवश्यक हैं, दुर्भावनापूर्ण, एआई-सक्षम हमलों के खिलाफ पर्याप्त नहीं हैं।

एहतियाती उपायों के रूप में, सीईआरटी-इन ने कहा कि संगठनों को समझौता परिदृश्यों से तेजी से पता लगाने, रोकथाम और पुनर्प्राप्ति के लिए तैयारी करने के लिए उल्लंघन को मानना ​​चाहिए। इसने शून्य विश्वास सुरक्षा के सिद्धांत को अपनाने और बहु-कारक प्रमाणीकरण (एमएफए), विशेषाधिकार प्राप्त पहुंच प्रबंधन (पीएएम), सूक्ष्म विभाजन, सशर्त पहुंच और सत्र निगरानी स्थापित करने की भी सिफारिश की।

सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों से बचाने के लिए, CERT-In ने पारदर्शिता, घटक दृश्यता, निर्भरता ट्रैकिंग, उद्गम सत्यापन, भेद्यता, प्रभाव मूल्यांकन, तेजी से जोखिम पहचान और समन्वित उपचार में सुधार करने में मदद के लिए सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM), AI बिल ऑफ़ मैटेरियल्स (AIBOM), क्वांटम बिल ऑफ़ मैटेरियल्स (QBOM), क्रिप्टोग्राफ़िक बिल ऑफ़ मैटेरियल्स (CBOM), और संबंधित xBOM तंत्र को अपनाने की सिफारिश की। इंटरकनेक्टेड सॉफ्टवेयर, क्लाउड, एआई और थर्ड-पार्टी इकोसिस्टम में।

सीईआरटी-इन ने आगे प्रस्तावित किया कि संगठन एजेंसी के पैनलबद्ध लेखा परीक्षकों द्वारा निरंतर ऑडिट करते हैं। इसमें कहा गया है, “संगठनों को कार्यान्वित नियंत्रणों और परिचालन तैयारियों की प्रभावशीलता का आकलन करने के लिए रेड टीमिंग और साइबर सुरक्षा ऑडिट, सुरक्षा मूल्यांकन, प्रतिकूल सिमुलेशन और लचीलापन सत्यापन अभ्यास करना चाहिए।”

दस्तावेज़ में कहा गया है, “जहां लागू हो, ऐसे आकलन व्यापक साइबर सुरक्षा ऑडिट नीति दिशानिर्देशों और सीईआरटी-इन द्वारा समय-समय पर जारी किए गए अन्य प्रासंगिक दिशानिर्देशों के अनुरूप सीईआरटी-इन पैनल में शामिल सूचना सुरक्षा ऑडिटिंग संगठनों के माध्यम से किए जा सकते हैं।”