Лидеры мнений

Как модели передового ИИ фундаментально формируют киберриски

mm
Опубликовано

Кибербезопасность всегда развивалась вместе с основными сдвигами в технологиях. Внедрение облачных технологий, расширение SaaS и распределенные рабочие силы увеличили скорость и связность, одновременно расширяя пространство возможностей для атакующих. Модели передового ИИ представляют собой следующую точку инфлексии. Модели, такие как Mythos от Anthropic и Daybreak от OpenAI, а также последнее поколение крупномасштабных систем рассуждений, уже демонстрируют способность анализировать код, выявлять уязвимости и模拟ровать пути эксплуатации с глубиной и скоростью, которые ранее были невозможны.

Модели передового ИИ лучше всего понимать как следующую эволюцию инструментов, которые десятилетиями используются программными компаниями, а не как разрыв модели. Они не устранят кибербезопасность и не дадут атакующим непобедимое преимущество. На практике большинство нарушений все еще сводится к базовым пробелам в выполнении. Исследователи Arctic Wolf обнаружили, что 76 процентов компрометаций включали только 10 известных уязвимостей, для всех которых были доступны патчи до эксплуатации. Проблема не заключается в отсутствии возможностей, а в неспособности действовать быстро и последовательно, и именно здесь модели передового ИИ могут помочь.

Mythos, например, показал, как быстро модель может перейти от обнаружения уязвимостей к разработке эксплуатации, рассуждая о сложных системах и выявляя неочевидные пути атаки. Эти возможности меняют то, что возможно на ранних этапах жизненного цикла программного обеспечения, но большинство реальных инцидентов не начинаются и не заканчиваются с одной уязвимостью. Они возникают из того, как настраиваются системы, как управляются идентификаторы и как интерпретируются сигналы в живых средах.

Сжатие жизненного цикла атаки

Модели передового ИИ меняют темп киберопераций. И атакующие, и защитники теперь имеют доступ к инструментам, которые могут работать с значительно большей скоростью, чем раньше. Для противников модели, такие как Mythos и Daybreak, или даже открытые модели, сокращают время, необходимое между обнаружением и разработкой эксплуатации. Задачи, которые ранее требовали специализированных знаний и дней усилий, теперь могут быть выполнены за минуты в масштабе. Для защитников эти же системы могут ускорить расследование, коррелировать сигналы в больших наборах данных и поддерживать принятие решений в реальном времени. Суммарный эффект не является простым преимуществом для одной из сторон. Это сжатие времени на протяжении всего жизненного цикла атаки.

В этой среде триаж становится еще более критичным. Способность быстро определить, что важно, а что нет, является основой эффективных операций по безопасности. Модели передового ИИ могут помочь, выявляя закономерности, группируя связанную активность и предлагая гипотезы, но они не устраняют необходимость человека в цикле. Они не учатся на активных операциях по безопасности предприятия и не знают контекста уникальной среды безопасности каждого клиента или его данных.

Без этого основания вывод даже самой способной модели может ввести больше шума, чем ясности.

Это различие важно, поскольку оно подчеркивает более широкое заблуждение. Существует тенденция рассматривать каждую новую модель передового ИИ как шаг к полностью автономной кибербезопасности. На самом деле существует разница между тем, насколько способна и мощна модель, и насколько она эффективна в улучшении устойчивости кибербезопасности организации. Это связано с тем, что последовательная производительность в живой среде предприятия требует способности работать надежно с неполными данными, быстро меняющимися условиями и конкурирующими приоритетами, а модели передового ИИ еще не предназначены для этого — пока.

Провал предприятия: возможности против контекста

Контекст — это то, где этот пробел становится наиболее очевидным. Модели передового ИИ обучены для общего рассуждения, но киберриски высоко специфичны для каждой организации. Уязвимость, выявленная моделью, может быть критической в одной среде и незначительной в другой. Это определение зависит от факторов, таких как воздействие, доступ к идентификаторам, чувствительность данных и существующие контроли. Модели могут выявлять возможности, но понимание того, какие возможности переводятся в реальный риск, требует непрерывной видимости среды и понимания того, как она ведет себя во времени.

Распространение шума

По мере того, как эти модели становятся более способными, объем потенциальных находок увеличивается. Mythos, Daybreak или другие модели не только выявляют одну проблему. Они могут генерировать несколько потенциальных путей эксплуатации, вариаций и краевых случаев. Это создает новую задачу. Больше информации не автоматически приводит к лучшим результатам. Без сильной проверки и приоритизации организации рискуют быть подавлены количеством возможностей. Точность становится определяющей метрикой, не в выявлении каждой теоретической проблемы или уязвимости, а в определении того, какие проблемы имеют наибольшее значение и какие действия следует предпринять.

Цепочка уязвимостей на многоступенчатых путях

Модели передового ИИ также меняют то, как строятся атаки. Традиционные атаки часто фокусировались на одном домене, таком как эксплуатация уязвимости программного обеспечения или компрометация учетных данных пользователя. Модели передового ИИ позволяют использовать более скоординированные подходы, объединяя слабости в приложениях, системах идентификации, конфигурациях облака и поведении пользователей. Эти многоступенчатые пути атаки не новые, но ИИ снижает барьер для их создания и выполнения. Это отражает реальность современных предприятий, где поверхность атаки охватывает несколько взаимосвязанных слоев, но это увеличивает скорость и масштаб, с помощью которых эти слои могут быть эксплуатированы.

Управление ИИ и человеческий фактор

Модели передового ИИ также вводят новые категории рисков. Системы, которые полагаются на ИИ, должны иметь дело с проблемами, такими как инъекция запросов, непреднамеренное раскрытие данных и манипулирование моделью. Управление, таким образом, становится критическим компонентом внедрения этих технологий. Организациям необходимо определить, как используются модели, какие данные они доступны и как их выводы проверяются, прежде чем они внедрят ИИ во всей своей внутренней среде.

Несмотря на эти достижения, роль человеческой экспертизы остается центральной. Модели передового ИИ превосходят в генерации и оценке возможностей, но они не заменяют суждение. Решения о бизнес-воздействии, допустимом риске и стратегии реагирования требуют понимания контекста, выходящего за рамки технических индикаторов. Опытные специалисты по безопасности обеспечивают этот слой интерпретации, гарантируя, что выводы, основанные на ИИ, переводятся в соответствующие действия. Наиболее эффективный подход не заключается в замене людей на ИИ, а в сочетании скорости машины с человеческим суждением таким образом, чтобы получать последовательные и надежные результаты.

Основы имеют значение больше, чем когда-либо

Также важно признать, что модели передового ИИ не устраняют необходимость сильных основ кибербезопасности. Управление идентификаторами, исправление ошибок, сегментация и осведомленность пользователей остаются критическими контролями. Во многих случаях эти основы становятся еще более важными, когда возможности атакующих улучшаются. Модели, такие как Mythos и Daybreak, могут обеспечить более быстрое обнаружение сложных уязвимостей, но многие нарушения все еще начинаются с базовых пробелов, таких как слабые учетные данные или неисправленные системы. Например, отчет о угрозах Arctic Wolf за 2026 год показал, что 85% инцидентов мошенничества с компрометацией электронной почты бизнеса были связаны с фишингом по электронной почте, что на 11% больше, чем в 2025 году.

Организации, которые пренебрегают этими областями в пользу более продвинутых возможностей, вряд ли увидят значительные улучшения в своей позиции по риску.

Киберриски не устраняются. Они меняются. Они становятся более динамичными, более взаимосвязанными и более чувствительными к времени. Организации, которые преуспеют в этой среде, не будут теми, которые просто внедряют последние модели, а теми, которые интегрируют их в целостную операционную структуру. Это включает в себя поддержание видимости во всей среде, основание решений на четком понимании поведения противника и создание процессов, которые последовательно переводят информацию в действие.

Модели передового ИИ расширяют то, что возможно в кибербезопасности. Они повышают потолок для атакующих и защитников. Но определяющая задача остается прежней. Выполнение в реальных средах, под реальными ограничениями, с реальными последствиями. Именно там киберриски в конечном итоге управляются, и именно там будет решаться влияние этих технологий.

mm

Дэн Шиаппа является президентом по технологическим услугам в Arctic Wolf. В этой роли Дэн отвечает за стимулирование инноваций в области продукта, инженерии, сервисов безопасности, альянсов и бизнес-развития, чтобы помочь удовлетворить спрос на операции безопасности через растущую базу клиентов Arctic Wolf. До присоединения к Arctic Wolf Дэн Шиаппа был главным производственным директором в Sophos.

Ранее Дэн занимал должность старшего вице-президента и генерального менеджера Группы по идентификации и защите данных в RSA, подразделении безопасности EMC. Он также занимал несколько должностей генерального менеджера в корпорации Microsoft, включая безопасность Windows, Microsoft Passport/Live ID и мобильные сервисы. До Microsoft Дэн был генеральным директором корпорации Vingage.