CISA yêu cầu các cơ quan chính phủ Mỹ vá lỗi bảo mật trong vòng 3 ngày trước áp lực từ AI
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành chỉ thị mới yêu cầu các cơ quan liên bang rút ngắn thời gian vá lỗi phần mềm xuống mức tối đa chỉ 3 ngày đối với các trường hợp khẩn cấp. Quyết định này nhằm ứng phó với khả năng khai thác lỗ hổng tự động và tốc độ tấn công ngày càng gia tăng nhờ sự hỗ trợ của trí tuệ nhân tạo.
CISA yêu cầu các cơ quan chính phủ Mỹ vá lỗi bảo mật trong vòng 3 ngày trước áp lực từ AI
Vào thứ Tư vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã công bố một "chỉ thị hoạt động bắt buộc" (Binding Operational Directive - BOD) mới, áp dụng cho các cơ quan dân sự liên bang. Quy định này đặt ra các tiêu chuẩn khắt khe hơn về việc khắc phục các lỗ hổng phần mềm, phản ánh thực tế rằng các thế hệ mô hình AI mới đang giúp tin tặc phát hiện và khai thác lỗi với tốc độ chưa từng có.
Theo đó, thời gian khắc phục lỗi sẽ được phân loại dựa trên mức độ khẩn cấp. Đối với các trường hợp nghiêm trọng nhất, các cơ quan chỉ có tối đa 3 ngày để vá lỗi, thay vì khung thời gian 15 ngày như quy định cũ.
Các tiêu chí đánh giá mức độ khẩn cấp
Chris Butera, Giám đốc Trợ lý Điều hành về An ninh mạng của CISA, cho biết mục tiêu của chỉ thị này là giúp các cơ quan ưu tiên xử lý các tài sản rủi ro cao nhất trước khi dành thời gian cho các lỗi ít nguy hiểm hơn. Ông nhấn mạnh rằng sự tiến bộ trong trí tuệ nhân tạo cho phép các tác nhân đe dọa tìm và khai thác lỗ hổng một cách tự động hàng loạt.
"Những người bảo vệ không thể đủ khả năng để mất hàng tuần trời để vá các hệ thống có thể bị khai thác tự động hàng loạt," ông Butera cảnh báo.
CISA đã đưa ra 4 tiêu chí để đánh giá tính cấp thiết của việc vá lỗi:
- Lỗ hổng có nằm trong hệ thống tiếp xúc với công chúng hay không.
- Lỗi đó có nằm trong Danh mục Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities Catalog) của CISA hay không.
- Kẻ tấn công có thể tự động hóa hoàn toàn các bước để khai thác lỗ hổng hay không.
- Mức độ truy cập mà kẻ tấn công có được nếu khai thác thành công lỗ hổng đó là bao nhiêu.
Nếu một lỗ hổng thỏa mãn cả 4 tiêu chí trên, nó phải được vá trong vòng 3 ngày. Đồng thời, cơ quan liên quan cũng phải thực hiện quy trình "phân loại pháp y" để xác định xem hệ thống đã bị xâm nhập hay chưa.
So với quy định cũ
Chỉ thị mới này thay thế hai lệnh trước đây của CISA từ năm 2019 và 2021. Trước đây, các lỗi nghiêm trọng phải được vá trong vòng 15 ngày và một nhóm lỗi có mức độ ưu tiên cao khác phải được khắc phục trong 30 ngày. Tuy nhiên, ngay cả trước kỷ nguyên AI, CISA đã nhận thấy tốc độ khai thác của tin tặc cực nhanh: 42% số lỗ hổng đã biết bị khai thác ngay vào ngày công bố (ngày 0).
Mặc dù an ninh mạng liên bang của Mỹ đã cải thiện đáng kể trong thập kỷ qua, nhưng việc thiếu hụt ngân sách và các ưu tiên cạnh tranh vẫn là rào cản. CISA thừa nhận rằng thời hạn 3 ngày đã được tính toán để cân bằng giữa tính cấp bách và khả năng thực thi của các cơ quan, vì thời hạn 24 giờ sẽ không khả thi với phần lớn các đơn vị hiện nay.
Cần những giải pháp mang tính hệ thống
Nhiều chuyên gia trong ngành cho rằng chỉ việc vá lỗi thôi là chưa đủ để giải quyết triệt để vấn đề trong kỷ nguyên AI. Emily Long, CEO của công ty bảo mật đám mây Edera, nhận định:
"Chỉ thị của CISA có出发点 đúng đắn, nhưng nó chỉ giải quyết được một nửa thách thức. Nếu kiến trúc của bạn không giới hạn những gì kẻ tấn công có thể đạt được sau khi bị xâm nhập, bạn chỉ đang chạy nhanh hơn trên cùng một chiếc máy chạy bộ. Việc vá lỗi luôn quan trọng, nhưng chúng ta nên nói nhiều hơn về việc kiểm soát theo thiết kế (containment by design)."
Ông Butera cũng thừa nhận rằng chỉ thị mới này chỉ là bước đầu tiên để chống lại các khả năng tăng cường của các mô hình AI mới nổi, và vẫn còn nhiều việc phải làm trong tương lai để bảo vệ hạ tầng kỹ thuật số một cách toàn diện hơn.