CISA Meminta Agensi AS untuk Memperbaiki Bug Keamanan Hanya dalam 3 Hari Berkat Ancaman AI
Dengan model AI generasi baru yang mendorong penemuan kerentanan perangkat lunak secara cepat dan potensi eksploitasi yang lebih cepat oleh peretas jahat, Badan Keamanan Siber dan Infrastruktur Amerika Serikat merilis arahan baru pada hari Rabu yang mengharuskan perbaikan perangkat lunak lebih cepat dan efisien oleh lembaga sipil federal. “Petunjuk operasional yang mengikat” (BOD) menjabarkan rubrik mengenai seberapa cepat bug harus diperbaiki berdasarkan empat penilaian urgensi, dengan waktu penyelesaian dalam kasus-kasus kritis hanya tiga hari. Chris Butera, penjabat asisten direktur eksekutif keamanan siber CISA, mengatakan kepada wartawan pada hari Rabu bahwa tujuan dari arahan ini adalah untuk membantu lembaga-lembaga membuat prioritas, sehingga mereka dapat mengatasi kerentanan yang paling bermasalah terlebih dahulu sambil meluangkan lebih banyak waktu untuk memulihkan bug yang menimbulkan risiko yang tidak terlalu mendesak. Arahan ini muncul ketika perusahaan-perusahaan swasta dan pemerintah berupaya keras untuk menilai sejauh mana keamanan siber dengan mempertimbangkan kerentanan AI dan kemampuan pengembangan yang dapat dieksploitasi. “Memprioritaskan perhatian operasi TI dan keamanan pada aset-aset yang paling berisiko menjadi sangat penting saat ini mengingat kemajuan dalam kecerdasan buatan, yang memungkinkan pelaku ancaman menemukan dan mengeksploitasi kerentanan dalam aset-aset (federal),” kata Butera pada hari Rabu. “Para pembela HAM tidak bisa menghabiskan waktu berminggu-minggu untuk menambal sistem yang bisa dieksploitasi secara massal secara mandiri.” Kriteria arahan CISA untuk mengevaluasi urgensi patch mencakup melihat apakah ada kerentanan dalam sistem yang terekspos secara publik, apakah bug tersebut tercantum dalam Katalog Kerentanan yang Diketahui yang Dieksploitasi CISA, apakah penyerang dapat mengotomatisasi semua langkah untuk mengeksploitasi kerentanan, dan berapa banyak akses yang akan diperoleh penyerang ke target jika bug tersebut dieksploitasi. Kerentanan yang menerapkan keempat poin tersebut harus diperbaiki dalam waktu tiga hari, menurut arahan baru, dan badan tersebut juga harus menjalankan proses “triase forensik” untuk menentukan apakah sistem telah disusupi. Petunjuk tersebut menggantikan dua perintah CISA sebelumnya terkait dengan jadwal penambalan untuk kerentanan yang mendesak—satu mulai tahun 2019 dan satu lagi mulai tahun 2021. Perintah tersebut menetapkan kerangka kerja di mana bug yang paling kritis harus ditambal dalam waktu 15 hari setelah deteksi dan kelas lainnya kerentanan yang sangat mendesak harus diperbaiki dalam waktu 30 hari. Dan keduanya mendorong perbaikan yang lebih cepat untuk kelemahan yang parah jika memungkinkan. Bahkan sebelum era AI, pada tahun 2021, CISA menulis bahwa “aktor ancaman sangat cepat mengeksploitasi kerentanan yang mereka pilih: dari 4% kerentanan yang diketahui telah dieksploitasi (kerentanan), 42% digunakan pada hari ke-0 pengungkapan; 50% dalam waktu 2 hari; dan 75% dalam waktu 28 hari.” Keamanan siber federal AS telah meningkat secara signifikan selama dekade terakhir, namun masih sering tertinggal, karena kekurangan pendanaan dan prioritas yang bersaing. Butera dari CISA mengatakan bahwa badan tersebut mengembangkan rubrik penilaian baru dan arahannya secara lebih luas dengan mempertimbangkan keterbatasan ini. Ia mencatat, misalnya, bahwa tenggat waktu tiga hari untuk menangani kerentanan yang paling mendesak bukanlah, katakanlah, 24 jam, karena jangka waktu sesingkat itu tidak mungkin dilakukan oleh sebagian besar lembaga. Kemampuan AI yang baru telah mengubah lanskap deteksi kerentanan dan perburuan bug. Dan karena hal ini memicu urgensi baru dalam melakukan patching, banyak peneliti mulai menyimpulkan, pada dasarnya, jumlah patching saja tidak akan cukup—dan bahwa komunitas pengembangan perangkat lunak secara global harus berupaya untuk mengadopsi pendekatan baru, arsitektural, atau sistemis untuk membatalkan validasi seluruh kelompok kerentanan dalam satu waktu. “Petunjuk CISA mempunyai tujuan yang tepat, namun hal ini hanya mengatasi setengah dari tantangan yang ada,” kata Emily Long, CEO perusahaan keamanan cloud Edera. “Jika arsitektur Anda tidak membatasi apa yang bisa dijangkau penyerang setelah pelanggaran, Anda hanya berlari lebih cepat di treadmill yang sama. Patching akan selalu penting, tapi kita harus berbicara lebih banyak tentang pembendungan yang dirancang.” Butera dari CISA tampaknya mengakui evolusi ini pada hari Rabu. Arahan baru ini “merupakan langkah awal untuk melawan peningkatan kemampuan model AI yang sedang berkembang,” katanya. “Namun masih banyak pekerjaan yang harus dilakukan.”
Diterbitkan : 2026-06-10 20:55:00
sumber : www.wired.com
