As novas diretrizes do **CERT-In** determinam que as organizações corrijam vulnerabilidades críticas de segurança em sistemas expostos à internet em até 12 horas após serem sinalizadas, quando "viável". Esse prazo agressivo visa combater a ameaça crescente representada por ciberataques aprimorados por IA. ### O Cenário de Ameaças Cibernéticas com IA De acordo com o plano de 38 páginas do **CERT-In**, "a exploração cibernética assistida por IA reduz o tempo necessário para que os adversários identifiquem, armem e explorem vulnerabilidades, serviços expostos, identidades fracas, APIs inseguras e sistemas mal configurados." A agência destaca a crescente dependência de infraestrutura digital interconectada, ecossistemas de nuvem, cadeias de suprimentos de software, tecnologias operacionais e plataformas habilitadas por IA, todos os quais amplificam o impacto potencial das ameaças cibernéticas habilitadas por IA em diversos setores. Atores de ameaças estão aproveitando a IA para várias atividades maliciosas, incluindo: * Descoberta de superfície de ataque * Análise de exploit * Geração de conteúdo de phishing * Criação de malware Isso permite que eles comprimam os prazos de preparação de ataques e contornem os controles de segurança tradicionais. Além disso, os próprios sistemas habilitados por IA estão se tornando alvos por meio de injeções de prompt, vulnerabilidades de vazamento de dados, técnicas de jailbreaking, manipulação de modelos, envenenamento de dados de treinamento, roubo de modelos e comprometimento de pipelines de orquestração. ### Princípios Defensivos O **CERT-In** enfatiza a necessidade de redução proativa da exposição e preparação operacional. Os princípios defensivos chave incluem: * Assumir a violação e preparar-se para resposta rápida a incidentes. * Adotar uma arquitetura Zero Trust. * Implementar uma estratégia de defesa em profundidade. * Monitoramento contínuo e redução de vulnerabilidades. * Incorporar um paradigma de segurança desde o projeto (secure-by-design). * Manter a continuidade operacional durante incidentes. * Proteger dados sensíveis ao longo de seu ciclo de vida. * Reduzir riscos na cadeia de suprimentos de software por meio de Software Bill of Materials (SBOM), validação de proveniência e avaliações. * Testes de segurança regulares por meio de red teaming e testes de penetração. * Priorizar controles com base na criticidade e exposição. * Estabelecer mecanismos formais de governança de IA. * Manter visibilidade dos sistemas de IA e seu comportamento. ### Prazos de Remediação Além da exigência de 12 horas para correção de vulnerabilidades críticas expostas externamente, o **CERT-In** descreve os seguintes prazos de remediação baseados em risco: * Vulnerabilidades críticas expostas externamente: Em até 1 dia * Vulnerabilidades conhecidas e exploradas afetando sistemas internos: Em até 1 dia (a menos que mitigações estejam em vigor) * Vulnerabilidades internas críticas afetando sistemas de alto valor: Em até 3 dias * Vulnerabilidades de alta severidade: Em até 5 dias com base na priorização de risco Nos casos em que os patches não estão disponíveis, mitigações temporárias como isolamento, restrição de acesso, Web Application Firewall (WAF)/proteção de API, monitoramento aprimorado ou desativação de recursos são recomendadas. ### O Quadro Geral Este plano segue um aviso anterior do **CERT-In** alertando sobre as crescentes capacidades cibernéticas dos modelos de IA de ponta da **Anthropic** e **OpenAI**, destacando seu potencial para uso malicioso. A agência enfatizou que "controles de cibersegurança básicos permanecem críticos e devem ser rigorosamente aplicados."