Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Infosecurity Magazine · 6.5., 00:17 · sikkerhet

NCSC ber bedrifter forberede seg på «patch-bølge» når Mythos og GPT-5.4 frigir tusenvis av sårbarheter

SYNOPSIS_GENERERT

Storbritannias NCSC advarer om en kommende «patch-bølge» når leverandører bruker Anthropics Mythos og OpenAIs GPT-5.4 internt for å finne og fikse sårbarheter.

I 2018 var medianvinduet fra at en sårbarhet ble offentliggjort til den ble utnyttet, 771 dager. Over to år til å fikse. I 2024 var vinduet fire timer. Nå advarer NCSC om at neste fase kan halvere det vinduet til null. Storbritannias National Cyber Security Centre, ved CTO Ollie Whitehouse, skriver at teknisk gjeld i proprietær og åpen kildekode står foran en «forced correction» når leverandører kjører Anthropics Mythos Preview og OpenAIs GPT-5.4 internt for å finne og fikse feil. Disclosures kommer derfor i bølger, ikke jevnt fordelt over året.

Whitehouse ber sikkerhetsteam patche utenfra og inn: perimeter-enheter først, så sky og on-prem. Anbefalingene fra NCSC inkluderer å skru på automatisk «hot patching» der det ikke gir tjenesteavbrudd, slå på automatiske oppdateringer (også på embedded-enheter) og bruke risikobasert prioritering som Stakeholder Specific Vulnerability Categorisation når automatikk ikke er tilgjengelig.

«Det er derfor vi oppfordrer alle organisasjoner til å forberede seg på når en 'patch-bølge' kommer.» — Ollie Whitehouse, CTO i NCSC

Patching alene løser ikke problemet, advarer Whitehouse. Mye teknisk gjeld sitter i end-of-life-systemer som ikke får oppdateringer, og de må erstattes eller bringes tilbake innenfor leverandørstøtte. CISA i USA vurderer ifølge Reuters å kutte fristen for føderale etater fra tre uker til tre dager. BeyondTrust-strateg Morey Haber kommenterte at de fleste bedrifter fortsatt skanner månedlig, og at automatisering, identitets-kontroller og kontinuerlig synlighet er forutsetninger for å treffe slike tidsfrister.

Hva bør du gjøre?

  1. Skru på automatiske oppdateringer på alt som tåler det, og kartlegg hvilke perimeter-enheter (rutere, VPN-bokser, brannmurer) som ikke har det aktivert i dag.
  2. Identifiser end-of-life-systemer i stacken din nå. NCSC sier patching ikke vil rekke å redde dem, så de må enten erstattes eller flyttes inn bak nye lag med kontroller.
  3. Hvis du sitter på en kontinuerlig CI/CD-pipeline, sett opp risikobasert prioritering (SSVC eller lignende) før patch-bølgen treffer. Manuell triage i månedssykluser kommer ikke til å holde tempoet.
Åpne eksternt kildedokument
sikkerhetAnthropicOpenAI

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN