От человека к гибриду: обзор отчёта Exabeam за 2025 год о рисках, связанных с использованием искусственного интеллекта

Риск переместился внутрь — и это изменило архитектуру

Если главная угроза находится внутри, то «усиленный брандмауэр» — не выход. Речь идёт о идентификации, доступе и поведении. Подумайте о постоянной проверке кто делается почему, где , которые Данные и является ли эта тенденция нормальной. В региональном плане большинство рынков сейчас рассматривают инсайдеров как главную проблему; главным исключением является Азиатско-Тихоокеанский регион и Япония, где многие по-прежнему больше опасаются внешних атак. Для лидеров практическим результатом станет перераспределение расходов в сторону:

• Более строгий контроль личности (MFA, обеспечивающий постоянную защиту, доступ на основе оценки риска, минимальные привилегии, которые действительно соблюдаются).
• Мониторинг данных в SaaS, конечных точках, хранилищах и электронной почте позволяет отслеживать любые аномальные перемещения.
• Поведенческая аналитика, которая изучает типичные закономерности поведения отдельного человека, команды и системы и оповещает о существенных отклонениях.

Организационный аспект: безопасность и владельцы данных должны работать вместе. Если вы не можете ответить на вопрос «кто какие конфиденциальные данные трогал на этой неделе и было ли это типичным для них?», вы не видите современный путь утечки (скомпрометированная учётная запись → скрытое размещение данных → быстрое изъятие).

ИИ изменил определение «инсайдера»

Теневой ИИ Это новый теневой ИТ. Сотрудники вставляют код, контракты, списки клиентов или запросы с конфиденциальным контекстом в неутверждённые модели. Вот почему 76%. Цифра имеет значение: это означает, что это не узкоспециализированная проблема. Относитесь к GenAI как к привилегированный доступ— одобряйте конкретные инструменты, регистрируйте использование там, где это законно, и предотвращайте попадание защищённых классов данных (регулируемых персональных данных, коммерческой тайны) в сторонние модели. Сочетайте политику с поддержкой: предоставляйте пользователям санкционированные возможности использования ИИ, чтобы они не чувствовали себя вынужденными действовать не по правилам.

Также внутри появился новый актер: AI-агентыКоманды подключают агентов к рабочим процессам с реальными учётными данными и ключами API. Это «нечеловеческие инсайдеры». Они не устают и редко жалуются — пока не начнут отвлекаться. Это требует двух мер контроля, которые руководители должны осознать:

• Объем: каждому агенту нужен владелец, четкая работа и минимальные разрешения.
• возможность наблюдения: каждый агент заслуживает того же аудиторского следа и обнаружения аномалий, что и человек.

UEBA (аналитика поведения пользователей и сущностей) это обнаружение, которое фокусируется на поведениеС этим должны ознакомиться не только подписчики и руководители. Он формирует базовый уровень для каждого пользователя или сущности (включая ботов, учетные записи служб и агентов), изучая:

• Нормы временных рядов: типичное время входа в систему, объемы данных или пункты назначения.
• Контекст группы сверстников: как ведет себя финансовый аналитик по сравнению с другими финансовыми аналитиками.
• Шаблоны последовательности: необычные порядки (например, первый вход в VPN → немедленное изменение привилегий → массовая загрузка).
  Когда активность отклоняется от изученных закономерностей, UEBA оценивает риск и выявляет выбросы. Технически это основано на статистике и машинном обучении (неконтролируемых и полуконтролируемых методах), которые эффективно работают с данными журналов, не требуя идеальных меток. Проще говоря, UEBA превращает кучу событий в вопрос «нормально ли это для…» их прямо сейчас?"

Устраните аналитический и культурный разрыв

Вот реальная экспозиция: только 44%. организаций используют UEBA, несмотря на то, что инсайдерский риск сейчас является главной проблемой. В то же время, 74%. специалистов утверждают, что руководители недооценивают внутренние угрозы. Этот культурный разрыв замедляет процесс найма, подбора персонала и разработки политики. Устранение обоих разрывов выглядит следующим образом:

Сделайте поведение первоклассным сигналом. Объедините журналы идентификации, конечных точек, администрирования SaaS, электронной почты и перемещения данных, чтобы один человек (или агент) имел единую историю во всех системах. Инвестируйте в корреляцию, прежде чем в информационные панели. Если SOC не сможет связать идентификационные данные между инструментами, он пропустит тихие злоупотребления и скрытые утечки данных.

Баланс конфиденциальности и обнаружения — это продуманная стратегия. Наиболее распространенным препятствием для инсайдерских программ является нежелание сохранять конфиденциальность. Решите эту проблему с помощью целевой аналитики, ролевого доступа к телеметрии, четких периодов хранения и прозрачного документирования того, что вы анализируете и почему. Граница конфиденциальности, при правильном подходе, обеспечивает более эффективное обнаружение, поскольку открывает доступ к потокам данных, необходимым командам.

Измеряйте результаты, а не количество инструментов. Руководителям следует ежемесячно запрашивать три цифры:

1. Время обнаружения ненормальное поведение
2. Время сдерживать инсайдерские инциденты
3. Процент инцидентов выявленные с помощью поведенческой аналитики, а не удачи или аудита постфактум.

Свяжите бюджет с улучшением этих показателей, а не с тем, сколько точечных продуктов «развернуто».

Относитесь к GenAI как к производственной системе. Создайте списки разрешённых действий, категории данных с чёткими границами и ведите журналирование запросов и результатов, где это разрешено законом. Дайте разработчикам и юристам возможность участвовать в процессе, чтобы «действовать быстро» не означало «распылять данные по чёрным ящикам».

Установите базовые параметры для всех и каждого. Для каждого человека, учётных записей служб, скриптов RPA и агентов ИИ — свой собственный базовый уровень. Вы ищете отклонения — новые данные, необычное время суток, необычные пункты назначения или последовательности, не соответствующие задаче.

Резюме

С От человека к гибриду: как ИИ и пробелы в аналитике усиливают инсайдерский риск Это больше, чем просто моментальный снимок современных рисков — это предварительный обзор того, куда должна двигаться безопасность дальше. Внутренние угрозы, усиленные ИИ, больше не являются исключением, а скорее базовым предположением. Для руководителей служб информационной безопасности и генеральных директоров дальнейший путь означает переход от защиты периметра к стратегиям, ориентированным на идентификацию, обращение с GenAI с той же осторожностью, что и с привилегированными учётными записями, и предоставление как людям, так и агентам ИИ собственных поведенческих баз. Успеха добьются те организации, которые унифицируют телеметрию, внедрят метрики, ориентированные на результат, и согласуют руководство с операциями. В этом смысле отчёт Exabeam — это не столько предупреждение, сколько руководство по повышению устойчивости в будущем, определяемом ИИ.