Отчёты

От человека к гибриду: внутри отчета Exabeam 2025 года о рисках, обусловленных ИИ

mm
Published
Updated
Отчет Exabeam под названием От человека к гибриду: как ИИ и разрыв в аналитике способствуют внутренним рискам показывает, что угроза изменила направление: теперь главная опасность исходит изнутри организации. Четыре цифры выделяются — 64% специалистов по безопасности считают внутренних сотрудников главной угрозой, 76% сообщают о наличии тени ИИ, только 44% имеют поведенческую аналитику (UEBA), и 74% считают, что руководители недооценивают проблему. Вместе эти четыре фактора определяют ландшафт, который исследуется в отчете.

Риск изменил направление — и это меняет архитектуру

Если главная угроза исходит изнутри, «больше файерволов» не является ответом. Это идентификация, доступ и поведение. Подумайте о непрерывной верификации кто делает что, с какими данными, и является ли этот шаблон нормальным. Регионально, большинство рынков теперь считают внутренних сотрудников главной проблемой; основным аутсайдером является APJ (Азиатско-Тихоокеанский регион и Япония), где многие все еще боятся внешних атак. Для лидеров практический перевод заключается в том, чтобы сместить расходы в сторону:

  • Более сильного контроля идентификации (MFA, который работает, доступ на основе риска, минимальные привилегии, которые действительно применяются).
  • Мониторинга, осведомленного о данных, во всех SaaS, на конечных точках, в хранилищах и электронной почте, чтобы необычное движение было видно.
  • Поведенческой аналитики, которая учит нормальные шаблоны для каждого человека, команды и системы — и предупреждает о значительном отклонении.

Организационное следствие: команда безопасности и владельцы данных должны работать вместе. Если вы не можете ответить на вопрос «кто трогал какие чувствительные данные на этой неделе и было ли это типично для них?», вы слепы к современному пути нарушения (компрометированный аккаунт → тихая подготовка данных → быстрое извлечение).

ИИ изменил определение «внутреннего»

Теневой ИИ — это новый теневой ИТ. Сотрудники вставляют код, контракты, списки клиентов или подсказки с чувствительной информацией в неподтвержденные модели. Поэтому 76% имеют значение: это означает, что это не нишевая проблема. Относитесь к GenAI как к привилегированному доступу — одобряйте конкретные инструменты, ведите журнал использования, где это законно, и предотвращайте вход защищенных классов данных (регулируемых ПII, коммерческих секретов) в третьи модели. Сопрягайте политику с эмансипацией: предоставляйте людям санкционированные варианты ИИ, чтобы они не чувствовали себя вынужденными действовать в обход.

Там также есть новый актор внутри: агенты ИИ. Команды подключают агентов к рабочим процессам с реальными учетными данными и ключами API. Это «не-человеческие внутренние» сотрудники. Они не устают, и они редко жалуются — пока они не отклоняются. Это требует двух контролей, которые руководители должны признать:

  • Область: каждому агенту нужен владелец, четкая работа и минимальные разрешения.
  • Наблюдаемость: каждому агенту заслуживает того же аудита и обнаружения аномалий, что и человеку.

UEBA (Аналитика поведения пользователей и сущностей) — это обнаружение, которое фокусируется на поведении, а не только на сигнатурах и исполняемых файлах, и руководители должны ознакомиться с этим. Это создает базовую линию для каждого пользователя или сущности (включая ботов, учетные записи служб и агентов) путем обучения:

  • Нормы во времени: типичные времена входа, объемы данных или места назначения.
  • Контекст группы сверстников: как финансовый аналитик ведет себя по сравнению с другими финансовыми аналитиками.
  • Последовательные шаблоны: необычные упорядочения (например, первый вход в VPN → немедленное изменение привилегий → массовая загрузка).
    Когда активность отклоняется от изученных шаблонов, UEBA оценивает риск и выделяет аномалии. Технически это опирается на статистику и машинное обучение (непervised и полу-непervised методы), которые процветают на логических данных без необходимости идеальных меток. В простых словах: UEBA превращает кучи событий в «является ли это нормальным для них сейчас?»

Закройте разрыв в аналитике — и культурный разрыв

Вот реальное воздействие: только 44% организаций используют UEBA, хотя внутренние риски теперь являются главной проблемой. В то же время 74% практиков говорят, что лидеры недооценивают внутренние угрозы. Этот культурный разрыв замедляет набор персонала, инструментов и политики. Закрытие обоих разрывов выглядит так:

Сделайте поведение первоклассным сигналом. Объедините журналы идентификации, конечных точек, SaaS-администратора, электронной почты и перемещения данных, чтобы один человек (или агент) имел одну историю во всех системах. Инвестируйте в корреляцию до панелей управления. Если SOC не может сшить идентификацию через инструменты, они пропустят тихое злоупотребление и медленное извлечение.

Балансируйте конфиденциальность с обнаружением — по дизайну. Самая распространенная преграда для внутренних программ — сопротивление конфиденциальности. Решите эту проблему с помощью аналитики, ограниченной целью, доступом на основе ролей к телеметрии, четкими окнами хранения и прозрачной документацией того, что вы анализируете и почему. Сделано правильно, ограничители конфиденциальности позволяют более сильному обнаружению, потому что они открывают потоки данных, которые командам нужны.

Измеряйте результаты, а не количество инструментов. Руководители должны запрашивать три числа ежемесячно:

  1. Время обнаружения аномального поведения
  2. Время сдерживания внутренних инцидентов
  3. Процент инцидентов, пойманных поведенческой аналитикой, а не удачей или послефактными аудитами.

Свяжите бюджет с улучшением этих метрик, а не с количеством точечных продуктов, которые «развернуты».

Относитесь к GenAI как к системе производства. Установите белые списки, красные линии категорий данных и ведите журнал для подсказок и выводов, где это законно. Дайте продукту и юридическому отделу место за столом, чтобы «двигаться быстро» никогда не означало «распылить данные в черные коробки».

Установите базовую линию для всех и всего. Люди, учетные записи служб, скрипты RPA и агенты ИИ получают свою собственную базовую линию. Вы ищете отклонение — новые данные, необычное время суток, странные места назначения или последовательности, которые не соответствуют задаче.

Сводка

Отчет От человека к гибриду: как ИИ и разрыв в аналитике способствуют внутренним рискам — это не просто снимок сегодняшних рисков, а предпросмотр того, куда должна двигаться безопасность. Внутренние угрозы, усиленные ИИ, больше не являются исключением, а базовым предположением. Для CISO и CEO путь вперед означает переход от периметровой защиты к стратегиям, ориентированным на идентификацию, обращение с GenAI с той же осторожностью, что и с привилегированным доступом, и предоставление людям и агентам ИИ их собственных поведенческих базовых линий. Организации, которые преуспеют, будут теми, которые объединят телеметрию, примут метрики, ориентированные на результат, и выравнивают руководство с операциями. В этом смысле отчет Exabeam — это не предупреждение, а скорее книга по построению устойчивости в будущем, определенным ИИ.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.