印度CERT-In要求企業12小時內完成漏洞修補因應AI加速網路攻擊
印度網路安全主管機關 CERT-In 於 2026 年 5 月發布 38 頁指導方針(CISG-2026-02),大幅縮短企業漏洞修補時限,直接回應 AI 工具加速漏洞武器化的威脅態勢。
核心政策內容
| 漏洞類型 | 修補期限 |
|---|---|
| 已知利用且暴露於網際網路的「核心關鍵資產」系統 | 12小時內修補/緩解/隔離 |
| CVSS 9.0+ 重大漏洞或影響內部系統的已知漏洞 | 24小時內修補 |
| 高價值系統的關鍵漏洞 | 3天內修補 |
| 高風險(High)一般漏洞 | 5天內修補 |
| 資安事件通報 CERT-In | 6小時內(現有規定) |
技術要求
- 零信任架構(Zero Trust)強制導入
- 全面 MFA 與硬體身分驗證
- 最小權限管理 與 內網微分段(micro-segmentation)
- 強化或淘汰舊式 VPN 與遠端存取設備
- 導入 AI 防禦工具(漏洞偵測、攻擊表面分析)
- AI 輔助攻擊安全教育、深偽辨識訓練、AI 紅隊演練
政策背景
AI 工具使漏洞從披露到武器化的時間大幅縮短,印度 CERT-In 認為傳統 30 天修補視窗已不再適用。此政策與台灣資安署、Health-ISAC 等機構的觀點一致:AI 正在壓縮漏洞修補時間窗口(參見 AI漏洞風暴下的資安典範轉移從預防轉向迅速復原)。
各方反應
- 反對: 資安專家指出 12 小時太短,修補程式測試和部署本身需要時間
- 支持: AI 時代駭客可在數小時內發現並利用漏洞,迫使組織轉向持續性防禦態勢
相關頁面
- cert-in — CERT-In 印度網路安全主管機關
- AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026 — AI 加速漏洞發掘的實證數據
- AI漏洞風暴下的資安典範轉移從預防轉向迅速復原 — 台灣資安署類似觀點
- Health-ISAC警告Claude Mythos壓縮醫療產業漏洞修補時間窗口 — 醫療業相同威脅