Свяжитесь с нами:

Марк Николсон, руководитель направления модернизации кибербезопасности в США в компании Deloitte – серия интервью: Возвращение к обсуждению.

Интервью

Марк Николсон, руководитель направления модернизации кибербезопасности в США в компании Deloitte – серия интервью: Возвращение к обсуждению.

mm
опубликованный

Марк НиколсонРуководитель направления модернизации кибербезопасности в США в компании Deloitte, является главным специалистом Deloitte с более чем двадцатилетним опытом работы на стыке кибербезопасности, искусственного интеллекта и корпоративных рисков. Он возглавляет инициативы в области кибер-ИИ и коммерческую стратегию практики кибербезопасности Deloitte, помогая крупным организациям модернизировать свои системы безопасности и согласовывать инвестиции в кибербезопасность с меняющимся ландшафтом рисков. До прихода в Deloitte он был соучредителем и операционным директором Vigilant, Inc., консалтинговой фирмы в области информационной безопасности, специализирующейся на анализе угроз и мониторинге вредоносных событий. Его предыдущая карьера в сфере продаж и развития бизнеса в нескольких технологических компаниях заложила прочную основу как в технических, так и в коммерческих аспектах кибербезопасности.

Deloitte Это одна из крупнейших в мире компаний, предоставляющих профессиональные услуги, включая аудит, консалтинг, налогообложение и консультации организациям практически во всех отраслях. Ее практика в области кибербезопасности направлена ​​на помощь предприятиям в преодолении все более сложных угроз, а также на обеспечение цифровой трансформации с помощью таких технологий, как искусственный интеллект. Компания предоставляет услуги в области киберстратегии, устойчивости, управления рисками и корпоративной безопасности, позиционируя кибербезопасность как защитную функцию и стратегический фактор инноваций и роста.

Это следует за предыдущее интервью который был опубликован в 2025 году.

Вы работаете в сфере кибербезопасности с самых первых дней современного мониторинга угроз, включая соучредительство компании Vigilant и помощь в выводе на рынок первых систем управления информацией и событиями безопасности (SIEM) и возможностей анализа угроз. Как эволюция от этих ранних систем мониторинга до современных платформ киберзащиты на основе искусственного интеллекта изменила способы обнаружения угроз и реагирования на них в организациях?

Когда мы только начинали создавать платформы мониторинга на заре развития SIEM, главной проблемой было собрать данные в одном месте и осмыслить их. Я помню, как аналитики каждое утро распечатывали журналы межсетевых экранов и вручную просматривали их, пытаясь найти аномалии. Даже по мере развития SIEM оставалась проблема масштабируемости. Скорость работы человека не могла справиться с огромным количеством обнаруженных событий. Несмотря на использование автоматизации, у специалистов по кибербезопасности по-прежнему оставалась проблема корреляции данных и аналитики, им постоянно приходилось разрабатывать новые правила, часто в ответ на сбои в мониторинге.

Одна из надежд заключается в том, что ИИ коренным образом изменит эту динамику. Помимо использования агентных возможностей для автоматизации операций безопасности первого уровня, ИИ обещает помочь перевести обнаружение и реагирование с этапа «постфактум» на этап «в процессе» за счет динамической машинной настройки алгоритмов мониторинга. В некоторых случаях кибер-организации также смогут позволить ИИ инициировать действия по устранению последствий.

Но сложность никуда не исчезает, она меняется. По мере того, как системы становятся все более автономными и сложными, доверие и наблюдаемость превращаются в поле битвы: что делает система, почему она это делает и как мы можем быть уверены, что ею не манипулировали? Возможности ИИ огромны, но ставки также повышаются, когда среда работает со скоростью машин.

Вы отметили, что ИИ позволяет противникам автоматизировать разведку, создавать эксплойты и ускорять циклы атак. Насколько на практике ИИ сократил время между обнаружением уязвимости и её использованием?

Исторически сложилось так, что между обнаружением уязвимости и её эксплуатацией часто существовал определённый промежуток времени. Конечно, существовала необходимость действовать оперативно, но, как правило, если только вас не атаковала уязвимость нулевого дня, было время, чтобы понять угрозу, установить исправления и принять меры по её устранению, прежде чем злоумышленник смог бы развернуть эксплойты в больших масштабах. Искусственный интеллект практически полностью устранил этот промежуток.

Злоумышленники могут автоматизировать разведку, непрерывно сканировать на наличие уязвимостей и использовать инструменты с поддержкой ИИ для ускорения отдельных этапов разработки эксплойтов и их целевого воздействия. Во многих случаях то, что раньше занимало недели, теперь может сократиться до нескольких часов, а в высокоавтоматизированных сценариях это может происходить быстрее, чем рассчитано большинство программ обеспечения безопасности.

Вывод прост: командам безопасности необходимы автоматизация и искусственный интеллект в сфере защиты, в сочетании с надежными средствами контроля, если они хотят идти в ногу со временем.

Команды безопасности все чаще переходят от моделей контроля «человек в контуре управления» к моделям контроля «человек вне контура управления». Как выглядит этот сдвиг на операционном уровне в современном центре оперативного управления безопасностью (SOC), и как организациям следует переосмыслить роли аналитиков по мере того, как ИИ берет на себя все больше автономных задач?

В традиционном центре мониторинга безопасности (SOC) аналитики находятся в центре каждого этапа принятия решений. Поступают оповещения, аналитики сортируют их, расследуют и определяют, какие действия следует предпринять. Такой подход работал, когда объем оповещений и темп атак были управляемыми. Но в современных условиях масштабы активности просто слишком велики, чтобы люди могли выступать в роли контролеров при принятии каждого решения.

Переход к участию человека в процессе обработки данных означает, что системы искусственного интеллекта могут выполнять многие рутинные задачи, которые ранее выполняли аналитики, такие как сортировка оповещений, сбор контекста, сопоставление данных и выполнение определенных мер по устранению проблем. Роль человека сводится к контролю и проверке, а не к ручному выполнению.

В оперативном плане это смещает время аналитиков с «постоянного отслеживания оповещений» на более ценную работу, такую ​​как поиск угроз, разработка систем обнаружения, моделирование действий противника и совершенствование архитектуры защиты. Люди остаются важными, но их роль эволюционирует в сторону надзора, принятия решений и разработки стратегии, а не в качестве основного обработчика данных по безопасности.

Мы много слышим о концепции «безопасного ИИ по умолчанию». С вашей точки зрения, почему эта концепция должна выходить за рамки безопасности моделей и распространяться на системы идентификации, архитектуру разрешений и уровни оркестрации?

Многие дискуссии о безопасном ИИ в значительной степени сосредоточены на самой модели, например, на защите обучающих данных, предотвращении отравления модели или защите от атак с внедрением кода. Это реальные проблемы, но они составляют лишь часть риска.

На практике системы искусственного интеллекта функционируют как часть гораздо более крупных цифровых экосистем. Они получают доступ к данным, взаимодействуют с API, запускают рабочие процессы и все чаще работают через агентов, способных действовать с определенной степенью автономности.

В таких случаях управление переходит к идентификационным данным и правам доступа. Агенты искусственного интеллекта фактически представляют собой новые цифровые идентификаторы внутри предприятия. Если эти идентификаторы не управляются должным образом, они могут создавать значительные риски.

Поэтому обеспечение безопасности ИИ по умолчанию должно распространяться на управление идентификацией, контроль доступа, уровни оркестрации и системы мониторинга, отслеживающие действия этих агентов. Организациям необходимо относиться к агентам ИИ так же, как и к пользователям-людям, с определенными разрешениями, аудитом и надзором, иначе поверхность атаки быстро расширится.

Многие предприятия внедряют инструменты ИИ поверх устаревших рабочих процессов обеспечения безопасности, разработанных с учетом человеческой скорости. Какие самые существенные архитектурные изменения необходимо внести организациям, чтобы действительно извлечь выгоду из ИИ в киберзащите?

Распространенная практика — внедрение ИИ в устаревшие процессы и рабочие потоки, разработанные для работы с участием человека. Это неплохой первый шаг, особенно с учетом того, что компьютерное зрение стало реальностью. Например, компания Deloitte создала агента, которого можно обучить заменить человека в процессе управления идентификацией и администрирования, не отказываясь от существующих специализированных программных решений, которые было бы сложно вывести из эксплуатации. Это может привести к значительной экономии средств.

Однако в будущем преимущество будет заключаться в том, что предприятия, вероятно, начнут переосмысливать рабочие процессы обеспечения безопасности от начала до конца: модернизировать базу данных, чтобы инструменты безопасности могли надежно получать доступ к высококачественной, хорошо структурированной телеметрии; создавать системы оркестровки, чтобы функции обнаружения, реагирования и идентификации работали как скоординированная система, а не как разрозненные инструменты.

Идентификация остается одним из важнейших механизмов контроля. По мере внедрения автоматизации и агентов искусственного интеллекта количество нечеловеческих личностей значительно возрастает. Эффективное управление этими личностями становится необходимым для поддержания контроля.

Безопасность, изначально разработанная для ИИ, в конечном итоге представляет собой сочетание более качественных данных, лучшей координации и управления, учитывающего как действия людей, так и машин.

По мере того, как системы искусственного интеллекта становятся все более автономными, поверхность атаки расширяется в такие области, как оркестрация агентов, цепочки API и автоматизированные конвейеры принятия решений. Какая из этих новых поверхностей вызывает у вас наибольшее беспокойство?

Если бы мне пришлось выбрать одну область, заслуживающую немедленного внимания, это были бы права доступа к идентификационным данным и информации внутри систем, управляемых агентами.

По мере внедрения организациями все большего количества агентного ИИ, они создают растущую популяцию автономных субъектов, действующих внутри предприятия. Эти агенты могут иметь доступ к невероятно мощным данным, API и рабочим процессам, что делает их привлекательным путем для злоумышленника, если права доступа не разработаны, не контролируются и не проверяются должным образом. Важно относиться к каждому агенту как к новому сотруднику: дать ему имя, определить его область действия, осуществлять мониторинг и обеспечить возможность быстрого отключения при необходимости.

API-цепочки и автоматизированные конвейеры принятия решений также несут в себе риски, но управление идентификацией часто является основополагающим механизмом контроля. Если вы не можете четко ответить, кто является агентом, к чему он может прикасаться и что он делал, вы на самом деле не контролируете его.

С точки зрения совета директоров, как руководители и члены совета в настоящее время оценивают киберриски, связанные с искусственным интеллектом, и в чем, на ваш взгляд, заключается наибольший разрыв между технической реальностью и пониманием на уровне совета директоров?

Советы директоров все больше осознают, что, хотя ИИ открывает огромные возможности, он также может нести в себе существенные риски. Большинство директоров понимают, что ИИ будет определять трансформацию бизнеса, и начинают задавать вопросы о корпоративном управлении, безопасности и устойчивости.

Проблема часто заключается в скорости и сложности. Во многих обсуждениях на советах директоров по-прежнему используются традиционные подходы к кибербезопасности, которые остаются важными, но они не всегда отражают, насколько быстро могут развиваться и масштабироваться угрозы, создаваемые искусственным интеллектом.

Другая проблема заключается в том, что вопрос «Безопасен ли наш ИИ?» звучит как единый вопрос, но ответ на него лежит в основе управления данными, целостности моделей, управления идентификацией и координации работы множества систем. Советы директоров, которые устраняют этот пробел, настаивают на отчетности, основанной на контроле, которая делает эти движущиеся части видимыми и проверяемыми, и инвестируют время в повышение компетентности директоров, чтобы надзор соответствовал темпам развития технологий.

Искусственный интеллект все чаще используется по обе стороны поля боя. Вступаем ли мы в постоянную гонку вооружений в сфере кибербезопасности между системами, использующими ИИ, и если да, то какие преимущества есть у защитников, которые злоумышленникам будет сложно воспроизвести?

Мы явно живем в эпоху, когда ИИ используется как атакующими, так и защитниками. Противники уже применяют ИИ для ускорения разведки, выявления уязвимостей и автоматизации отдельных этапов жизненного цикла атаки. Но у защитников по-прежнему есть реальные преимущества, если они решат их использовать.

Защитники имеют доступ к информации о своей среде, внутренней телеметрии и возможности создавать многоуровневые архитектуры, в которых злоумышленникам приходится ориентироваться. Искусственный интеллект может помочь защитникам анализировать огромные объемы данных в сетях, на конечных устройствах и идентификационных данных, что позволяет им обнаруживать аномальное поведение гораздо раньше.

Проблема заключается в внедрении. Если защитники будут придерживаться ручных процессов, в то время как злоумышленники автоматизируют их, асимметрия станет ужасающей. Гонка вооружений реальна, и победителями станут те, кто внедрит ИИ с надежным управлением, а не те, кто только будет его пилотировать.

В вашей работе по консультированию крупных предприятий, какие наиболее распространенные ошибки допускают организации при попытке интегрировать ИИ в свою стратегию кибербезопасности?

Одна из самых распространенных ошибок, которые мы наблюдаем, — это рассмотрение ИИ как самостоятельного инструмента, а не как архитектурного решения. Команды проводят изолированные эксперименты, не обновляя основу данных, модель управления или операционные процессы, необходимые для поддержания результатов, что приводит к застою в прогрессе.

Ещё одна ошибка — внедрение возможностей ИИ без полного учёта новых рисков: новых идентификационных данных, новых потоков данных и автоматизированных алгоритмов принятия решений, расширяющих поверхность атаки. Если всё это добавляется без надлежащего контроля, ИИ может лишь повысить уязвимость, а не устойчивость.

Наконец, многие организации недооценивают важность вовлеченности персонала. Специалисты, ежедневно управляющие операциями по обеспечению безопасности, знают, где возникают проблемы и как выглядит «хорошая» ситуация. Наиболее эффективные преобразования привлекают эти команды на ранних этапах, так что технологии усиливают их суждения, а не мешают им.

Если заглянуть на три-пять лет вперед, как будет выглядеть центр управления безопасностью, использующий искусственный интеллект, по сравнению с современными центрами управления безопасностью?

Вероятно, всё будет выглядеть совсем иначе, и во многих аспектах я не могу предсказать, что именно. Скорее всего, центр оперативного реагирования будущего будет функционировать как гибридная команда, состоящая из людей и цифровых специалистов. Системы искусственного интеллекта будут заниматься большей частью обработки данных, их сопоставлением и первоначальным реагированием. Агентные системы помогут автоматизировать рабочие процессы в области управления уязвимостями, управления идентификацией, реагирования на инциденты и непрерывного мониторинга.

Человеческие аналитики по-прежнему играют важную роль, но центр тяжести смещается: теперь они контролируют системы ИИ, проверяют сценарии обнаружения (а не пишут их), расследуют сложные угрозы и совершенствуют архитектуру защиты.
Цель состоит не в том, чтобы исключить участие человека, а скорее в том, чтобы повысить его роль. Вместо того чтобы тратить время на обработку оповещений и ручной сбор данных, аналитики сосредоточатся на стратегических аспектах кибербезопасности. Вопрос будет заключаться в том, «как мы будем обучать следующее поколение специалистов по безопасности, когда уровни 1 и 2 будут полностью автоматизированы?» Возможно, ответ кроется в значительном улучшении технологий моделирования и обучения, в разработке которых нам может помочь искусственный интеллект.

Организации, успешно создавшие эффективную гибридную рабочую силу, сочетающую человеческий опыт с автоматизацией на основе искусственного интеллекта, скорее всего, будут лучше всего подготовлены к работе со скоростью, необходимой в условиях современных угроз.

Спасибо за отличное интервью, читатели, которые хотят узнать больше, должны посетить Deloitte или читать наши предыдущее интервью.

Похожие темы:
mm

Антуан — дальновидный лидер и партнер-основатель Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Серийный предприниматель, он считает, что ИИ будет таким же разрушительным для общества, как электричество, и его часто ловят на том, что он восторженно отзывается о потенциале разрушительных технологий и AGI.

футурист, он посвятил себя изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Ценные бумаги.io, платформа, ориентированная на инвестиции в передовые технологии, которые меняют будущее и преобразуют целые секторы.