Wywiady
Mark Nicholson, Lider Cyber Modernizacji Deloitte w USA – Wywiad z serii: Powrót do rozmowy
Mark Nicholson, Lider Cyber Modernizacji Deloitte w USA, jest starszym menedżerem w Deloitte z ponad dwudziestoletnim doświadczeniem na styku bezpieczeństwa cybernetycznego, sztucznej inteligencji i zarządzania ryzykiem przedsiębiorstw. Kieruje inicjatywami związanymi z Cyber AI i strategią komercyjną praktyki cybernetycznej Deloitte, pomagając dużym organizacjom w modernizacji ram bezpieczeństwa i dostosowaniu inwestycji w cyberbezpieczeństwo do ewoluujących krajobrazów ryzyka. Przed dołączeniem do Deloitte współzałożył i pełnił funkcję dyrektora operacyjnego Vigilant, Inc., firmy konsultingowej ds. bezpieczeństwa informacji, specjalizującej się w wywiadzie zagrożeń i monitorowaniu zdarzeń malwersacyjnych. Jego wcześniejsza kariera w rolach sprzedaży i rozwoju biznesu w różnych firmach technologicznych dała mu mocne podstawy zarówno w technicznych, jak i komercyjnych aspektach bezpieczeństwa cybernetycznego.
Deloitte jest jedną z największych firm świadczących usługi profesjonalne, oferującą usługi audytorskie, konsultingowe, podatkowe i doradcze organizacjom z prawie każdej branży. Jej praktyka cybernetyczna koncentruje się na pomocy przedsiębiorstwom w nawigowaniu przez coraz bardziej złożone środowiska zagrożeń, jednocześnie umożliwiając transformację cyfrową za pomocą technologii takich jak sztuczna inteligencja. Firma świadczy usługi obejmujące strategię cybernetyczną, odporność, zarządzanie ryzykiem i bezpieczeństwo przedsiębiorstw, pozycjonując bezpieczeństwo cybernetyczne zarówno jako funkcję ochronną, jak i strategicznego katalizatora innowacji i wzrostu.
To kontynuacja poprzedniego wywiadu, który został opublikowany w 2025 roku.
Brałeś udział w bezpieczeństwie cybernetycznym od wczesnych dni nowoczesnego monitorowania zagrożeń, w tym współzałożeniu Vigilant i wprowadzeniu na rynek wczesnych możliwości Security Information and Event Management (SIEM) i wywiadu zagrożeń. Jak ewolucja od tych wczesnych systemów monitorowania do dzisiejszych platform obrony cybernetycznej napędzanych przez sztuczną inteligencję zmieniła sposób, w jaki organizacje wykrywają i reagują na zagrożenia?
Kiedy po raz pierwszy zaczynaliśmy budować platformy monitorowania w początkach ery SIEM, podstawowym wyzwaniem było uzyskanie danych w jednym miejscu i nadanie im sensu. Pamiętam, kiedy analitycy drukowali dzienniki zapory ogniowej każdego ranka i ręcznie przeglądali je, aby znaleźć anomalie. Nawet gdy SIEM dojrzało, pojawił się problem skali. Ludzka szybkość nie była w stanie nadążyć za ogromną liczbą wykrytych zdarzeń. Pomimo użycia automatyki, obrońcy cybernetyczni nadal mieli problem z korelacją danych i analizą, nieustannie pracując nad tworzeniem nowych reguł, często w odpowiedzi na awarie monitorowania.
Jedną z nadziei jest to, że sztuczna inteligencja zmieni tę dynamikę w podstawowy sposób. Poza wdrożeniem zdolności agenckich do automatyzacji poziomu 1 operacji bezpieczeństwa, sztuczna inteligencja obiecuje pomóc w przeniesieniu wykrywania i reagowania z “po fakcie” na “w trakcie wydarzenia” poprzez dynamiczne dostosowanie algorytmów monitorowania. W niektórych przypadkach organizacje cybernetyczne również będą komfortowo pozwalać sztucznej inteligencji na inicjowanie działań naprawczych.
Ale trudna część nie znika, tylko się przesuwa. Gdy systemy stają się bardziej autonomiczne i złożone, zaufanie i obserwowalność stają się polem bitwy: Co robi system, dlaczego to robi i jak wiemy, że nie został on manipulowany? Szansa z sztuczną inteligencją jest ogromna, ale również zwiększa stawkę, gdy środowisko działa z prędkością maszyny.
Zaznaczyłeś, że sztuczna inteligencja umożliwia przeciwnikom automatyzację rozpoznania, generowanie exploitów i przyspieszanie cykli ataków. W praktyce, o ile sztuczna inteligencja skompresowała czas między odkryciem podatności a wykorzystaniem?
Historycznie istniało okno między odkryciem podatności a wykorzystaniem. Była pewna pilność, ale generalnie, chyba że zostałeś trafiony przez zero-day, było czas na zrozumienie zagrożenia, poprawę i złagodzenie, zanim atakujący mógł wdrożyć eksploity na dużą skalę. Sztuczna inteligencja niemal całkowicie wyeliminowała to okno.
Przeciwnicy mogą automatyzować rozpoznanie, nieustannie skanować pod kątem ekspozycji i używać narzędzi wspomaganych przez sztuczną inteligencję, aby przyspieszyć części rozwoju exploitów i celowania. W wielu przypadkach to, co kiedyś rozgrywało się przez tygodnie, może teraz zostać skompresowane do godzin, a w przypadkach wysoko zautomatyzowanych może być szybsze niż większość programów bezpieczeństwa jest w stanie obsłużyć.
Wnioskiem jest proste: Zespoły bezpieczeństwa potrzebują automatyki i sztucznej inteligencji po stronie obrony, w parze z silnymi kontrolami, jeśli chcą utrzymać tempo.
Zespoły bezpieczeństwa coraz częściej przechodzą z modelu “człowiek w pętli” do modelu “człowiek na pętli”. Co to zmiana wygląda w środowisku operacyjnym nowoczesnego Centrum Operacji Bezpieczeństwa (SOC), i jak organizacje powinny przemyśleć role analityków, gdy sztuczna inteligencja przejmuje coraz więcej zadań autonomicznych?
W tradycyjnym SOC analitycy siedzą w centrum każdego punktu decyzyjnego. Alerty przychodzą, analitycy triażują je, badają i decydują, jakie działania powinny zostać podjęte. Ten podejście działał, gdy objętość alertów i tempo ataków były zarządzalne. Ale w dzisiejszym środowisku skala aktywności jest po prostu zbyt duża, aby ludzie mogli działać jako bramka dla każdej decyzji.
Zmiana na model “człowiek na pętli” oznacza, że systemy sztucznej inteligencji mogą wykonywać wiele rutynowych zadań, które wcześniej wykonywali analitycy, takich jak triaż alertów, gromadzenie kontekstu, korelowanie danych i wykonywanie pewnych działań naprawczych. Rola człowieka staje się rolą nadzoru i weryfikacji, a nie ręcznego wykonania.
Operacyjnie, to przesuwa czas analityka z “szlifowania alertów” w kierunku pracy o wyższej wartości, takiej jak polowanie na zagrożenia, inżynieria wykrywania, symulacja przeciwnika i poprawa architektury obronnej. Ludzie pozostają niezbędni, ale ich rola ewoluuje w kierunku nadzoru, osądu i strategii, a nie działania jako podstawowy procesor danych bezpieczeństwa.
Słyszymy dużo o “Bezpiecznej Sztucznej Inteligencji według Projektu”. Z Twojego punktu widzenia, dlaczego ten koncept musi sięgać poza bezpieczeństwo modelu do systemów tożsamości, architektury uprawnień i warstw orchestracji?
Wiele dyskusji o bezpiecznej sztucznej inteligencji koncentruje się głównie na samym modelu, takim jak ochrona danych szkoleniowych, zapobieganie zatruciu modelu lub obrona przed atakami iniekcji podpowiedzi. To są realne problemy, ale są tylko częścią ryzyka.
W praktyce systemy sztucznej inteligencji działają jako część znacznie większych cyfrowych ekosystemów. Uzyskują dostęp do danych, interakcji z API, wyzwalają przepływy pracy i coraz częściej działają przez agenci, które mogą działać z pewnym stopniem autonomii.
Gdy to się dzieje, tożsamość i uprawnienia stają się płaszczyzną kontroli. Agenci sztucznej inteligencji są skutecznie nowymi cyfrowymi tożsamościami wewnątrz przedsiębiorstwa. Jeśli te tożsamości nie są właściwie zarządzane, mogą wprowadzić znaczne ryzyka.
Bezpieczna sztuczna inteligencja według projektu musi więc sięgać do zarządzania tożsamością, kontroli dostępu, warstw orchestracji i systemów monitorowania, które śledzą, co ci agenci robią. Organizacje muszą traktować agenci sztucznej inteligencji podobnie jak użytkowników ludzkich, z określonymi uprawnieniami, audytami i nadzorem, w przeciwnym razie powierzchnia ataku rozciąga się gwałtownie.
Wiele przedsiębiorstw nakłada narzędzia sztucznej inteligencji na legacy’owe procesy bezpieczeństwa, które zostały zaprojektowane dla ludzkiej szybkości. Jakie są największe zmiany architektoniczne, które organizacje muszą wprowadzić, aby skutecznie wykorzystać sztuczną inteligencję w obronie cybernetycznej?
Typowy wzorzec polega na nałożeniu sztucznej inteligencji na legacy’owe procesy i przepływy pracy, które zostały zaprojektowane dla ludzkich operacji. Nie jest to zły pierwszy podejście, zwłaszcza gdy komputerowe widzenie stało się rzeczywistością. Na przykład Deloitte stworzył agenta, który może być szkolony, aby zastąpić człowieka w procesie zarządzania tożsamością i administracji bez wyrzucania istniejących rozwiązań oprogramowania, które byłoby trudne do wycofania. To może napędzić dramatyczne oszczędności kosztów.
Przyszła korzyść polega na tym, że przedsiębiorstwa prawdopodobnie zaczną przemyśleć przepływy pracy bezpieczeństwa od początku do końca: zmodernizują fundamenty danych, aby narzędzia bezpieczeństwa mogły niezawodnie uzyskać dostęp do wysokiej jakości, dobrze ustrukturyzowanych telemetrycznych danych; zbudują orchestrację, aby funkcje wykrywania, reagowania i tożsamości działały jako skoordynowany system, a nie rozłączne narzędzia.
Tożsamość wciąż pozostaje jedną z najważniejszych kontroli. Gdy wprowadza się więcej automatyki i agenci sztucznej inteligencji, liczba nie-ludzkich tożsamości rośnie znacznie. Skuteczne zarządzanie tymi tożsamościami staje się niezbędne do utrzymania kontroli.
Sztuczna inteligencja rodzima jest ostatecznie mieszanką lepszych danych, lepszej orchestracji i zarządzania, które uwzględnia zarówno ludzkie, jak i maszynowe aktorów.
Gdy systemy sztucznej inteligencji stają się bardziej autonomiczne, powierzchnia ataku rozciąga się na obszary takie jak orchestracja agentów, łańcuchy API i zautomatyzowane potoki decyzyjne. Który z tych nowych powierzchni najbardziej Cię niepokoi?
Gdyby musiałem wybrać jeden obszar, który zasługuje na natychmiastową uwagę, to jest tożsamość i uprawnienia dostępu wewnątrz systemów napędzanych przez agenci.
Gdy organizacje wprowadzają więcej agenckiej sztucznej inteligencji, tworzą rosnącą populację autonomicznych aktorów działających wewnątrz przedsiębiorstwa. Ci agenci mogą mieć dostęp do danych, API i przepływów pracy, które są niezwykle potężne i to sprawia, że stają się atrakcyjną ścieżką dla atakującego, jeśli uprawnienia nie są zaprojektowane, monitorowane i audytowane rygorystycznie. Ważne jest, aby traktować każdego agenta jak nowego pracownika: nadać mu nazwę, określić zakres, monitorować i umożliwić szybkie odłączenie, gdy jest to potrzebne.
Łańcuchy API i zautomatyzowane potoki decyzyjne również wprowadzają ryzyko, ale zarządzanie tożsamością jest często kontrolą podstawową. Jeśli nie można wyraźnie odpowiedzieć, kim jest agent, co może dotknąć i co zrobił, nie kontroluje się go naprawdę.
Z perspektywy zarządu, jak dyrektorzy i członkowie zarządu myślą obecnie o ryzyku cybernetycznym napędzanym przez sztuczną inteligencję, i gdzie widzisz największą lukę między rzeczywistością techniczną a zrozumieniem na poziomie zarządu?
Zarządy są coraz bardziej świadome, że sztuczna inteligencja może przynieść ogromne możliwości, ale także może przynieść znaczne ryzyko. Większość dyrektorów rozumie, że sztuczna inteligencja ukształtuje transformację biznesu i zaczynają zadawać pytania o zarządzanie, bezpieczeństwo i odporność.
Miejsce, w którym pojawia się luka, jest często prędkością i złożonością. Wiele rozmów zarządu nadal domyślnie odnosi się do tradycyjnych ram bezpieczeństwa, które pozostają ważne, ale nie zawsze odzwierciedlają, jak szybko zagrożenia napędzane przez sztuczną inteligencję mogą ewoluować i skalować.
Inna rozłąka polega na tym, że “Czy nasza sztuczna inteligencja jest bezpieczna?” brzmi jak pojedyncze pytanie, ale odpowiedź żyje w zarządzaniu danymi, integralności modelu, zarządzaniu tożsamością i orchestracji w wielu systemach. Zarządy, które zamykają tę lukę, naciskają na raportowanie oparte na kontrolach, które sprawiają, że te ruchome części stają się widoczne i testowalne, i inwestują czas, aby zbudować umiejętności dyrektorów, aby nadzór nadążył za technologią.
Sztuczna inteligencja jest coraz częściej używana po obu stronach pola bitwy. Wchodzimy w trwałą wojnę o bezpieczeństwo cybernetyczne pomiędzy sztuczną inteligencją a sztuczną inteligencją, i jeśli tak, jakie przewagi mają obrońcy, których atakujący mogą mieć trudności z odtworzeniem?
Jasne, że żyjemy w erze, w której sztuczna inteligencja jest używana zarówno przez atakujących, jak i obrońców. Przeciwnicy już stosują sztuczną inteligencję, aby przyspieszyć rozpoznanie, zidentyfikować podatności i zautomatyzować części cyklu ataku. Ale obrońcy nadal mają realne przewagi, jeśli zdecydują się z nich skorzystać.
Obrońcy mają widoczność we własnym środowisku, dostęp do wewnętrznych telemetrycznych danych i możliwość budowy warstwowych architektur, których atakujący muszą nawigować. Sztuczna inteligencja może pomóc obrońcom w analizie ogromnych ilości danych w sieciach, punktach końcowych i tożsamościach, dając im potencjalnie możliwość wykrycia nietypowego zachowania znacznie wcześniej.
Łapanka polega na tym, że przyjęcie. Jeśli obrońcy pozostaną zakorzenieni w ręcznych przepływach pracy, podczas gdy atakujący zautomatyzują, asymetria staje się brutalna. Wyścig zbrojeń jest realny, a zwycięzcy będą tymi, którzy wdrożą sztuczną inteligencję z silnym zarządzaniem, a nie tymi, którzy tylko ją pilotują.
W Twojej pracy doradczej dla dużych przedsiębiorstw, jakie są najczęstsze błędy, które organizacje popełniają, próbując zintegrować sztuczną inteligencję z ich strategią bezpieczeństwa?
Jednym z najczęstszych błędów, które widzimy, jest traktowanie sztucznej inteligencji jako samodzielnego narzędzia zamiast zmiany architektonicznej. Zespoły prowadzą izolowane eksperymenty bez uaktualnienia fundamentu danych, modelu zarządzania lub procesów operacyjnych niezbędnych do utrzymania wpływu, co prowadzi do spłaszczenia wyników.
Innym błędem jest wdrożenie możliwości sztucznej inteligencji bez pełnego uwzględnienia nowych ryzyk: nowych tożsamości, nowych przepływów danych i zautomatyzowanych potoków decyzyjnych, które rozszerzają powierzchnię ataku. Jeśli te elementy są nałożone bez odpowiednich kontroli, sztuczna inteligencja może dodać kruchność zamiast odporności.
Na koniec wiele organizacji niedocenia znaczenia zaangażowania pracowników. Praktycy, którzy prowadzą operacje bezpieczeństwa każdego dnia, wiedzą, gdzie leży tarcie i co oznacza “dobrze”. Najsilniejsze transformacje włączają te zespoły na wczesnym etapie, aby technologia wzmacniała ich osąd, a nie zakłócała go.
Spójrzając w przyszłość, trzy do pięciu lat, jak wygląda centrum operacji bezpieczeństwa sztucznej inteligencji w porównaniu z dzisiejszymi środowiskami SOC?
Prawdopodobnie będzie to wyglądało zupełnie inaczej, na wiele sposobów, których nie mogę przewidzieć. Prawdopodobnie centrum operacji bezpieczeństwa przyszłości będzie działało jako hybrydowa siła robocza ludzi i cyfrowych aktorów. Systemy sztucznej inteligencji będą obsługiwać większość przetwarzania danych, korelacji i wstępnej odpowiedzi. Agenci pomogą zautomatyzować przepływy pracy w zarządzaniu podatnościami, zarządzaniu tożsamością, reagowaniu na incydenty i ciągłym monitorowaniu kontroli.
Analitycy ludzcy pozostają niezbędni, ale środek ciężkości przesuwa się: nadzorują systemy sztucznej inteligencji, walidują przypadki wykrywania (zamiast je pisać), badają złożone zagrożenia i poprawiają architekturę obronną.
Cel nie polega na usunięciu ludzi, ale raczej na podniesieniu ich ról. Zamiast spędzać czas na triażu alertów i ręcznym montowaniu danych, analitycy będą koncentrować się na strategicznych aspektach bezpieczeństwa cybernetycznego. Pytanie brzmi: “jak będziemy szkolić następną generację specjalistów od bezpieczeństwa, gdy poziom 1 i 2 są całkowicie zautomatyzowane?” Może odpowiedź leży w dramatycznej poprawie symulacji i technologii szkoleniowej, którą sztuczna inteligencja może nam pomóc rozwinąć.
Organizacje, które skutecznie budują skuteczną hybrydową siłę roboczą, łącząc ludzką ekspertyzę z automatyką napędzaną przez sztuczną inteligencję, będą najprawdopodobniej najlepiej przygotowane do działania z wymaganą prędkością w nowoczesnym środowisku zagrożeń.
Dziękujemy za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Deloitte lub przeczytać nasz poprzedni wywiad.
