印度CERT-In要求企業12小時內完成漏洞修補因應AI加速網路攻擊

印度網路安全主管機關 CERT-In 於 2026 年 5 月發布 38 頁指導方針(CISG-2026-02),大幅縮短企業漏洞修補時限,直接回應 AI 工具加速漏洞武器化的威脅態勢。

核心政策內容

漏洞類型修補期限
已知利用且暴露於網際網路的「核心關鍵資產」系統12小時內修補/緩解/隔離
CVSS 9.0+ 重大漏洞或影響內部系統的已知漏洞24小時內修補
高價值系統的關鍵漏洞3天內修補
高風險(High)一般漏洞5天內修補
資安事件通報 CERT-In6小時內(現有規定)

技術要求

  • 零信任架構(Zero Trust)強制導入
  • 全面 MFA 與硬體身分驗證
  • 最小權限管理內網微分段(micro-segmentation)
  • 強化或淘汰舊式 VPN 與遠端存取設備
  • 導入 AI 防禦工具(漏洞偵測、攻擊表面分析)
  • AI 輔助攻擊安全教育、深偽辨識訓練、AI 紅隊演練

政策背景

AI 工具使漏洞從披露到武器化的時間大幅縮短,印度 CERT-In 認為傳統 30 天修補視窗已不再適用。此政策與台灣資安署、Health-ISAC 等機構的觀點一致:AI 正在壓縮漏洞修補時間窗口(參見 AI漏洞風暴下的資安典範轉移從預防轉向迅速復原)。

各方反應

  • 反對: 資安專家指出 12 小時太短,修補程式測試和部署本身需要時間
  • 支持: AI 時代駭客可在數小時內發現並利用漏洞,迫使組織轉向持續性防禦態勢

相關頁面

來源文章