Áp lực từ AI: Ấn Độ yêu cầu vá lỗi lỗ hổng bị khai thác trong vòng 12 giờ

Đội phản ứng khẩn cấp máy tính Ấn Độ (CERT-In) vừa đưa ra khuyến cáo mới, yêu cầu các đơn vị bảo mật nên nỗ lực vá lỗi hoặc giảm thiểu rủi ro từ các lỗ hổng đang bị khai thác (n-day) trong vòng 12 giờ. Quy định khắt khe này được đưa ra trong bối cảnh tội phạm mạng ngày càng phụ thuộc vào trí tuệ nhân tạo (AI) để tăng tốc độ tấn công.

Theo hướng dẫn mới, cửa sổ 12 giờ chỉ áp dụng cho các lỗ hổng ảnh hưởng đến các hệ thống tiếp xúc trực tiếp với internet hoặc các hệ thống "cốt lõi" (crown jewel) và đã có bằng chứng bị khai thác. Trong những trường hợp này, CERT-In yêu cầu các đội bảo mật phải "vá lỗi, giảm thiểu hoặc loại bỏ điểm tiếp xúc trong vòng 12 giờ nếu khả thi".

Đối với các lỗi khác, chẳng hạn như lỗ hổng có mức độ nghiêm trọng cao (CVSS 9.0 trở lên) ảnh hưởng đến hệ thống nội bộ, hoặc lỗi đang bị khai thác trong hệ thống nội bộ, các đơn vị bảo mật có thời gian dài hơn một chút là 24 giờ để xử lý.

Tác động của AI đối với an ninh mạng

Hướng dẫn này được CERT-In công bố như một phần của tài liệu mới nhằm giúp các chuyên gia an ninh thông tin bảo vệ tốt hơn trước các cuộc tấn công mạng được hỗ trợ bởi AI. Báo cáo chỉ rõ rằng: "Khai thác lỗ hổng mạng được hỗ trợ bởi AI làm giảm thời gian cần thiết cho kẻ đối phương để xác định, vũ khí hóa và khai thác các lỗ hổng, dịch vụ bị lộ, danh tính yếu, API không an toàn và hệ thống cấu hình sai."

Khi các tổ chức ngày càng phụ thuộc vào cơ sở hạ tầng kỹ thuật số liên kết, hệ sinh thái đám mây, chuỗi cung ứng phần mềm và công nghệ vận hành, tác động tiềm tàng của các mối đe dọa mạng dựa trên AI tiếp tục gia tăng trên mọi lĩnh vực.

Đặc biệt, sự trưởng thành nhanh chóng của lĩnh vực AI tác nhân (agentic AI) trong năm qua là một mối lo ngại lớn. Các công cụ cấp người dùng như OpenClaw đã giúp người không có chuyên môn kỹ thuật dễ dàng thử nghiệm với công nghệ tự chủ. Các tác nhân AI này được trang bị các quyền hạn cần thiết để thực hiện những thay đổi hệ thống lớn, nhưng hành vi của chúng đôi khi khó lường và dễ bị lợi dụng cho mục đích xấu.

Bên cạnh đó, sự ra mắt của các mô hình tiên phong như Anthropic's Mythos và OpenAI's GPT-5.5 — những công cụ được chứng nhận là "ngựa thồ" trong lĩnh vực an ninh mạng — đang đe dọa trao quyền cho kẻ tấn công với khả năng phát hiện và khai thác các lỗ hổng nghiêm trọng với tốc độ chóng mặt.

Thời hạn 12 giờ: Có khả thi không?

Bất kỳ chuyên gia an ninh mạng nào cũng sẽ chứng nhận sự phức tạp của quá trình vá lỗi. Việc này không đơn giản như nhấn nút "Cập nhật", đó là lý do tại sao thời hạn vá lỗi 12 giờ ban đầu có vẻ không thực tế với nhiều người.

Các cảnh báo khẩn cấp và yêu cầu vá lỗi ngay lập tức thường đi kèm với việc công bố lỗ hổng nghiêm trọng, nhưng chúng thường không tính đến thời gian ngừng hoạt động cần thiết để áp dụng bản vá, hoặc thời gian kiểm tra cần thiết để đảm bảo việc vá lỗi không làm hỏng các hệ thống khác.

Tuy nhiên, các chuyên gia an ninh mạng cho rằng khuyến cáo của CERT-In có điểm hợp lý. Dray Agha, quản lý cấp cao về hoạt động bảo mật tại Huntress, nhận định rằng lời khuyên của CERT-In về việc "vá lỗi, giảm thiểu hoặc loại bỏ điểm tiếp xúc trong vòng 12 giờ nếu khả thi" là lời khuyên vững chắc, chủ yếu nhờ vào điều khoản ngoại lệ rằng nó không bắt buộc phải vá hoàn toàn trong thời gian đó.

"Bằng cách khuyến khích rõ ràng các biện pháp giảm thiểu tạm thời, chẳng hạn như cô lập, hạn chế quyền truy cập hoặc vô hiệu hóa cho đến khi bản vá sẵn sàng, điều này biến thời hạn vá lỗi thành một chiến lược cô lập khả thi và cần thiết," Agha chia sẻ.

Ông nhấn mạnh rằng các cuộc tấn công mạng được hỗ trợ bởi AI đang diễn ra hàng ngày, nén thời gian khai thác lỗ hổng lại, buộc người phòng thủ phải thích ứng với thực tế mới. Trong thời kỳ tiền AI, cửa sổ 12 giờ để giảm thiểu hoặc vá lỗi bị coi là quá chật hẹp, nhưng sự sẵn có của các công cụ nâng cao và tự động hóa đang định hình lại các yêu cầu của quản lý lỗ hổng.

Theo Agha, hướng dẫn 12 giờ ít liên quan đến một đồng hồ bấm giờ tùy ý, mà nhiều hơn là việc "buộc phải điều chỉnh lại cách thức các tổ chức thúc đẩy các phương pháp tiếp cận bảo mật của họ để vượt ra ngoài sự tuân thủ và chuyển sang tư thế phòng thủ liên tục."

Điều này sẽ đòi hỏi các chức năng doanh nghiệp phải là một phần của tư thế bảo mật — không chỉ là bộ phận IT — bởi vì hậu quả của việc khai thác driven bởi AI có nghĩa là những tác động tiêu cực lan truyền nhanh hơn và nghiêm trọng hơn đối với doanh nghiệp mục tiêu; phòng thủ chủ động luôn tốt hơn là phục hồi thụ động.