NCSC upozorava na talas zakrpa zbog AI otkrivanja tehničkog duga
Britanski NCSC upozorava da AI alati za pronalaženje ranjivosti mogu ubrzati otkrivanje godinama nakupljanog tehničkog duga u softveru i infrastrukturi. Ollie Whitehouse, CTO NCSC-a, navodi da organizacije treba da očekuju veći broj zakrpa, uključujući i kritične ispravke, jer se stare slabosti sada mogu pronalaziti brže i u većem obimu. NCSC preporučuje da organizacije odmah smanje izloženu površinu napada, posebno sisteme dostupne sa interneta, i da prioritet daju perimeter tehnologijama pre nego što krenu dublje u mrežu. Posebno se naglašava da patchovanje neće biti dovoljno za zastarele i nepodržane sisteme, koje će u nekim slučajevima morati zameniti.
Godinama odlagani tehnički dug sve manje ostaje skriven. Kada AI ubrza pronalaženje propusta, problem više nije samo u tome da li postoji zakrpa, već da li organizacija uopšte zna šta ima izloženo, koliko brzo može da reaguje i šta više ne sme da ostane u produkciji.
- Popisati sve internet-facing sisteme, servise, VPN-ove, firewalle, portale i udaljene pristupe
- Prioritetno zakrpiti perimeter tehnologije, a zatim sistemski prolaziti ka unutrašnjim servisima
- Identifikovati end-of-life i nepodržane sisteme koje više nije bezbedno držati u produkciji
- Pripremiti proces za češće i brže testiranje, odobravanje i puštanje zakrpa
- Smanjiti izloženu površinu napada uklanjanjem nepotrebnih javnih servisa i ograničavanjem pristupa