因應AI加速網路攻擊,印度要求企業組織在漏洞公布12小時內完成修補
來源: iThome | 日期: 2026-05-29 | URL: https://www.ithome.com.tw/news/176211
內容摘要
印度網路安全主管機關 CERT-In 發布 38 頁指導方針(CISG-2026-02),因應 AI 加速漏洞武器化攻擊,大幅縮短修補時限要求。
修補時限要求
| 漏洞類型 | 修補期限 |
|---|---|
| 已知利用且暴露於網際網路的「核心關鍵資產」系統 | 12小時內修補/緩解/隔離 |
| CVSS 9.0+ 重大漏洞或影響內部系統的已知漏洞 | 24小時內修補 |
| 高價值系統的關鍵漏洞 | 3天內修補 |
| 高風險(High)一般漏洞 | 5天內修補 |
| 資安事件通報 CERT-In | 6小時內(現有規定) |
主要要求
- 零信任架構(Zero Trust)
- 全面導入 MFA 與硬體身分驗證
- 最小權限管理
- 內網微分段(micro-segmentation)防止橫向移動
- 強化或淘汰舊式 VPN 與遠端存取設備
- 使用 AI 防禦工具(漏洞偵測、攻擊表面分析)
- 定期進行 AI 輔助攻擊安全教育、深偽辨識訓練、AI 紅隊演練
各方反應
- 反對聲音: 資安專家指出 12 小時太短,不足以完成修補程式測試和部署
- 支持聲音: AI 時代駭客可在數小時內發現並攻擊漏洞,新法規迫使組織轉向持續性防禦態勢
衍生頁面
- 印度CERT-In要求企業12小時內完成漏洞修補因應AI加速網路攻擊 — 核心政策概念頁面
- cert-in — 印度網路安全主管機關