因應AI加速網路攻擊,印度要求企業組織在漏洞公布12小時內完成修補

來源: iThome | 日期: 2026-05-29 | URL: https://www.ithome.com.tw/news/176211

內容摘要

印度網路安全主管機關 CERT-In 發布 38 頁指導方針(CISG-2026-02),因應 AI 加速漏洞武器化攻擊,大幅縮短修補時限要求。

修補時限要求

漏洞類型修補期限
已知利用且暴露於網際網路的「核心關鍵資產」系統12小時內修補/緩解/隔離
CVSS 9.0+ 重大漏洞或影響內部系統的已知漏洞24小時內修補
高價值系統的關鍵漏洞3天內修補
高風險(High)一般漏洞5天內修補
資安事件通報 CERT-In6小時內(現有規定)

主要要求

  • 零信任架構(Zero Trust)
  • 全面導入 MFA 與硬體身分驗證
  • 最小權限管理
  • 內網微分段(micro-segmentation)防止橫向移動
  • 強化或淘汰舊式 VPN 與遠端存取設備
  • 使用 AI 防禦工具(漏洞偵測、攻擊表面分析)
  • 定期進行 AI 輔助攻擊安全教育、深偽辨識訓練、AI 紅隊演練

各方反應

  • 反對聲音: 資安專家指出 12 小時太短,不足以完成修補程式測試和部署
  • 支持聲音: AI 時代駭客可在數小時內發現並攻擊漏洞,新法規迫使組織轉向持續性防禦態勢

衍生頁面