Connect with us

Марк Николсон, лидер кибербезопасности Deloitte в США – Интервью: Возвращение к разговору

Интервью

Марк Николсон, лидер кибербезопасности Deloitte в США – Интервью: Возвращение к разговору

mm
Published
Updated

Марк Николсон, лидер кибербезопасности Deloitte в США, является принципалом в Deloitte с более чем двумя десятилетиями опыта на пересечении кибербезопасности, искусственного интеллекта и управления рисками предприятия. Он возглавляет инициативы по кибербезопасности и коммерческой стратегии для практики кибербезопасности Deloitte, помогая крупным организациям модернизировать свои рамки безопасности и согласовывать инвестиции в кибербезопасность с меняющимися рисками. До Deloitte он был сооснователем и операционным директором Vigilant, Inc., консалтинговой фирмы по информационной безопасности, ориентированной на угрозы и мониторинг вредоносных событий. Его предыдущая карьера в продажах и бизнес-развитии в нескольких технологических компаниях обеспечила прочную основу как в технической, так и в коммерческой стороне кибербезопасности.

Deloitte является одной из крупнейших профессиональных услуговых фирм в мире, предлагающей услуги по аудиту, консалтингу, налогообложению и консалтингу организациям почти во всех отраслях. Практика кибербезопасности фирмы фокусируется на помощи предприятиям в навигации по все более сложным угрозам, а также на обеспечении цифровой трансформации с помощью технологий, таких как искусственный интеллект. Фирма предоставляет услуги, охватывающие кибербезопасность, устойчивость, управление рисками и безопасность предприятия, позиционируя кибербезопасность как защитную функцию и стратегический фактор инноваций и роста.

Это интервью следует за предыдущим интервью, которое было опубликовано в 2025 году.

Вы участвовали в кибербезопасности с ранних дней современного мониторинга угроз, включая сооснование Vigilant и помощь в выводе на рынок ранних систем управления информационной безопасностью и угроз (SIEM) и возможностей угрозо-интеллекта. Как эволюция от этих ранних систем мониторинга до современных платформ кибербезопасности, управляемых ИИ, изменила способ, которым организации обнаруживают и реагируют на угрозы?

Когда мы впервые начали строить платформы мониторинга в ранние дни SIEM, основной проблемой было получение данных в одном месте и понимание их. Я помню, когда аналитики печатали журналы файрвола каждое утро и вручную проверяли их, чтобы попытаться найти аномалии. Даже когда SIEM созрел, была проблема масштаба. Скорость человека не была сопоставима с огромным количеством обнаруженных событий. Несмотря на использование автоматизации, защитники кибербезопасности все еще имели проблему корреляции и анализа данных, постоянно трудясь над созданием новых правил, часто в ответ на провалы мониторинга.

Одна из надежд заключается в том, что ИИ изменит эту динамику фундаментальным образом. За пределами развертывания агентских возможностей для автоматизации операций по безопасности уровня 1 ИИ обещает помочь переместить обнаружение и реагирование от “после факта” к “пока это происходит” путем использования динамической настройки алгоритмов мониторинга. В некоторых случаях киберорганизации также будут комфортно позволять ИИ инициировать действия по устранению.

Но трудная часть не исчезает, она смещается. Когда системы становятся более автономными и сложными, доверие и наблюдаемость становятся полем битвы: что делает система, почему она это делает, и как мы знаем, что она не была манипулирована? Возможность с ИИ огромна, но она также повышает ставки, когда среда работает на скорости машины.

Вы отметили, что ИИ позволяет противникам автоматизировать разведку, генерировать эксплойты и ускорять циклы атак. В практическом смысле, насколько ИИ сжал время между обнаружением уязвимости и эксплуатацией?

Исторически между обнаружением уязвимости и эксплуатацией часто был временной интервал. Была определенная срочность, но обычно, если вы не были поражены нулевым днем, было время понять угрозу, исправить и смягчить ее до того, как атакующий сможет развернуть эксплойты в крупном масштабе. ИИ практически исключил этот интервал.

Противники могут автоматизировать разведку, непрерывно сканировать на предмет уязвимостей и использовать инструменты, управляемые ИИ, для ускорения частей разработки эксплойтов и нацеливания. Во многих случаях то, что ранее происходило в течение недель, теперь может сжаться в часы, а в высокоавтоматизированных сценариях это может быть быстрее, чем большинство программ безопасности могут справиться.

Итог прост: команды безопасности нуждаются в автоматизации и ИИ на стороне защиты, в сочетании с сильными контролями, если они хотят идти в ногу.

Команды безопасности все чаще переходят от моделей “человек в цикле” к моделям надзора “человек на цикле”. Что это смещение означает операционно внутри современного центра операций безопасности (SOC), и как организации должны пересмотреть роли аналитиков, когда ИИ берет на себя более автономные задачи?

В традиционном SOC аналитики сидят в центре каждой точки принятия решений. Тревоги поступают, аналитики сортируют их, расследуют и определяют, какие действия следует предпринять. Этот подход работал, когда объем тревог и темп атак были управляемыми. Но в современной среде масштаб деятельности просто слишком велик для человека, чтобы действовать как ворота для каждого решения.

Сдвиг в сторону “человека на цикле” означает, что системы ИИ могут выполнять многие рутинные задачи, которые ранее выполняли аналитики, такие как сортировка тревог, сбор контекста, корреляция данных и выполнение определенных действий по устранению. Роль человека становится ролью надзора и проверки, а не ручного выполнения.

Операционно это смещает время аналитиков от “перемалывания тревог” к более ценной работе, такой как охота за угрозами, инженерия обнаружения, симуляция противников и улучшение защитной архитектуры. Люди остаются важными, но их роль эволюционирует в сторону надзора, суждения и стратегии, а не действует как основной процессор данных безопасности.

Мы слышим много о “Безопасном ИИ по дизайну”. С вашей точки зрения, почему этот концепт должен распространиться за пределы безопасности модели на системы идентификации, архитектуру разрешений и слои оркестровки?

Многие обсуждения о безопасном ИИ сильно фокусируются на самой модели, такой как защита обучающих данных, предотвращение отравления модели или защита от атак на инъекцию запросов. Эти проблемы реальны, но они являются только частью риска.

На практике системы ИИ работают как часть более крупных цифровых экосистем. Они получают доступ к данным, взаимодействуют с API, запускают рабочие процессы и все чаще работают через агентов, которые могут действовать с определенной автономией.

Когда это происходит, идентификация и разрешения становятся плоскостью контроля. Агенты ИИ по сути являются новыми цифровыми идентификаторами внутри предприятия. Если эти идентификаторы не управляются должным образом, они могут ввести значительные риски.

Безопасный ИИ по дизайну поэтому должен распространиться на управление идентификацией, контроль доступа, слои оркестровки и системы мониторинга, которые отслеживают, что эти агенты делают. Организации должны относиться к агентам ИИ как к человеческим пользователям, с определенными разрешениями, аудитом и надзором, иначе поверхность атаки расширяется быстро.

Многие предприятия накладывают инструменты ИИ на существующие рабочие процессы безопасности, которые были разработаны для скорости человека. Какие самые большие архитектурные изменения организации должны сделать, чтобы действительно воспользоваться ИИ в кибербезопасности?

Распространенный шаблон заключается в том, чтобы прикрепить ИИ к устаревшим процессам и рабочим процессам, которые были разработаны для человеческих операций. Это не плохой первый подход, особенно когда компьютерное зрение стало реальностью. Например, Deloitte создал агент, который может быть обучен для замены человека в процессе управления идентификацией и администрацией без отказа от существующих специально разработанных программных решений, которые будут сложными для отмены. Это может привести к значительной экономии средств.

Будущая выгода заключается в том, что предприятия, вероятно, начнут пересматривать рабочие процессы безопасности с начала до конца: модернизировать основу данных, чтобы инструменты безопасности могли надежно получать доступ к высококачественным, хорошо структурированным телеметрическим данным; построить оркестровку, чтобы функции обнаружения, реагирования и идентификации работали как координированная система, а не как отключенные инструменты.

Идентификация остается одной из наиболее критических контролей. Когда вводятся больше автоматизации и агентов ИИ, количество нечеловеческих идентификаторов значительно увеличивается. Эффективное управление этими идентификаторами становится важным для поддержания контроля.

ИИ-родная безопасность в конечном итоге является смесью лучших данных, лучшей оркестровки и управления, которое учитывает как человеческих, так и машинных акторов.

Когда ИИ-системы становятся более автономными, поверхность атаки расширяется в области оркестровки агентов, цепей API и автоматических решающих трубопроводов. Какая из этих появляющихся поверхностей вас больше всего беспокоит?

Если бы мне пришлось выбрать одну область, которая заслуживает немедленного внимания, это идентификация и разрешения доступа внутри агентно-управляемых систем.

Когда организации вводят больше агентно-управляемого ИИ, они создают растущее количество автономных акторов, работающих внутри предприятия. Эти агенты могут иметь доступ к данным, API и рабочим процессам, которые невероятно мощны, и это делает их привлекательным путем для атакующего, если разрешения не спроектированы, отслеживаются и аудитируются тщательно. Важно относиться ко всем агентам как к новым сотрудникам: называть их, определять их, отслеживать их и ermögлять их быстрое отключение, если это необходимо.

Цепи API и автоматические трубопроводы принятия решений вводят риск, но управление идентификацией часто является основным контролем. Если вы не можете четко ответить, кто такой агент, к чему он может получить доступ и что он сделал, вы не контролируете его.

С точки зрения совета директоров, как руководители и директора в настоящее время думают о рисках кибербезопасности, управляемых ИИ, и где вы видите самый большой разрыв между технической реальностью и пониманием на уровне совета?

Советы все чаще осознают, что хотя ИИ приносит огромные возможности, он также может принести значительные риски. Большинство директоров понимают, что ИИ будет формировать бизнес-трансформацию, и они начинают задавать вопросы о управлении, безопасности и устойчивости.

Разрыв проявляется в скорости и сложности. Многие обсуждения совета директоров все еще сводятся к традиционным рамкам кибербезопасности – которые остаются важными – но они не всегда отражают, как быстро ИИ-управляемые угрозы могут эволюционировать и масштабироваться.

Другой разрыв заключается в том, что “Является ли наш ИИ безопасным?” звучит как один вопрос, но ответ живет через управление данными, целостность модели, управление идентификацией и оркестровку через несколько систем. Советы, которые закрывают разрыв, толкают за отчетность на основе контроля, которая делает эти движущиеся части видимыми и тестируемыми, и инвестируют время в построение компетенций директоров, чтобы надзор соответствовал технологии.

ИИ все чаще используется на обеих сторонах поля боя. Входим ли мы в постоянную гонку кибербезопасности “ИИ против ИИ”, и если да, то какие преимущества есть у защитников, которые атакующие могут испытывать трудности в репликации?

Мы явно находимся в эпохе, когда ИИ используется как защитниками, так и атакующими. Противники уже применяют ИИ для ускорения разведки, выявления уязвимостей и автоматизации частей цикла атаки. Но защитники все еще имеют реальные преимущества, если они решат использовать их.

Защитники имеют видимость своей собственной среды, доступ к внутренней телеметрии и возможность строить слоистые архитектуры, которые атакующие должны пройти. ИИ может помочь защитникам анализировать огромные объемы данных по сетям, конечным точкам и идентификациям, давая им потенциал обнаружить аномальное поведение намного раньше.

Поймать заключается в том, что если защитники останутся в ручных рабочих процессах, а атакующие автоматизируют, асимметрия становится жестокой. Гонка вооружений реальна, и победителями будут те, кто развернет ИИ с сильным управлением, а не те, кто только запустит его.

В вашей работе по консультированию крупных предприятий, какие наиболее распространенные ошибки организации совершают, когда пытаются интегрировать ИИ в свою стратегию кибербезопасности?

Одна из наиболее распространенных ошибок, которые мы видим, заключается в том, что ИИ рассматривается как отдельный инструмент, а не как архитектурный сдвиг. Команды проводят изолированные эксперименты без обновления основы данных, модели управления или операционных процессов, необходимых для поддержания влияния, что приводит к плато в результатах.

Другая ошибка заключается в том, что возможности ИИ развертываются без полного учета новых рисков: новых идентификаторов, новых потоков данных и автоматических решающих трубопроводов, которые расширяют поверхность атаки. Если они прикреплены без правильных контролей, ИИ может добавить хрупкость вместо устойчивости.

Наконец, многие организации недооценивают важность вовлечения рабочей силы. Практики, которые ведут операции безопасности каждый день, знают, где трение и что “хорошо” выглядит. Сильнейшие трансформации привлекают эти команды рано, чтобы технология усилила их суждение, а не нарушила его.

Оглядываясь вперед на три-пять лет, как выглядит центр операций безопасности, родной для ИИ, по сравнению с сегодняшними средами SOC?

Ну, он, вероятно, будет выглядеть очень по-другому, во многих отношениях я не могу предсказать. Вероятно, будущий SOC будет работать как гибридная человеческая и цифровая рабочая сила. Системы ИИ будут обрабатывать большую часть обработки данных, корреляции и первоначальной реакции. Агентские системы помогут автоматизировать рабочие процессы по управлению уязвимостями, управлению идентификацией, реагированию на инциденты и непрерывному контролю.

Аналитики человека остаются важными, но центр тяжести смещается: надзор за системами ИИ, проверка случаев обнаружения (а не написание их), расследование сложных угроз и улучшение защитной архитектуры.
Цель не состоит в том, чтобы удалить людей, а скорее повысить их роли. Вместо того, чтобы тратить время на сортировку тревог и ручное сбор данных, аналитики будут сосредоточены на стратегических аспектах кибербезопасности. Вопрос будет, “как мы будем обучать следующее поколение специалистов по безопасности, когда уровень 1 и 2 полностью автоматизированы?” Может быть, ответ лежит в значительном улучшении технологии симуляции и обучения, которую ИИ может нам помочь разработать.

Организации, которые успешно строят успешную гибридную рабочую силу, объединяющую человеческую экспертизу с автоматизацией, управляемой ИИ, вероятно, будут лучше всего подготовлены к работе на скорости, необходимой в современной среде угроз.

Спасибо за отличное интервью, читатели, которые хотят узнать больше, должны посетить Deloitte или прочитать наше предыдущее интервью.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.