Когда новые атаки обгоняют старые защиты: почему пришло время для проактивной защиты на основе ИИ

Если вы сейчас работаете в сфере безопасности, вам, вероятно, кажется, что вы постоянно наверстываете упущенное. В новостях сообщают о новой утечке данных, рассказывают о новой истории с программой-вымогателем и о ещё одном хитром трюке, которого защитники не предвидели. В то же время многие решения по защите всё ещё опираются на идеи старого интернета, где сети имели чёткие границы, а злоумышленники действовали медленнее.

Цифры говорят, что это не просто ощущение. Последние данные Отчет IBM о стоимости утечки данных Согласно данным, средний размер утечек в мире в 2024 году составил 4.88 млн долларов США, что на 4.45 млн долларов США годом ранее. Этот 10%-ный скачок стал самым значительным с момента пандемии, и он происходит даже на фоне того, что службы безопасности увеличивают инвестиции в инструменты и персонал.

The Отчет о расследовании утечки данных Verizon В отчёте за 2024 год рассматривается более 30 000 инцидентов и более 10 000 подтверждённых нарушений. В нём подчёркивается, как злоумышленники используют украденные учётные данные, эксплойты веб-приложений и социальные действия, такие как предлог, и отмечается, что организациям в среднем требуется около 55 дней, чтобы устранить лишь половину критических уязвимостей после выпуска исправлений. Эти 55 дней — весьма комфортный период для злоумышленника, который постоянно проводит сканирование.

В Европе Ландшафт угроз ENISA В отчёте за 2023 год также указывается на активное сочетание программ-вымогателей, атак типа «отказ в обслуживании», атак на цепочки поставок и социальной инженерии. Другое исследование ENISA, посвящённое инцидентам в цепочках поставок, показало, что в 2021 году таких атак, вероятно, было в четыре раза больше, чем в 2020 году, и эта тенденция продолжает расти. 

Итак, картина простая, но неприятная. Взломы становятся всё более распространёнными, дорогостоящими и сложными, даже несмотря на совершенствование инструментов. Что-то структурно не так в том, как многие организации всё ещё защищают себя.

Почему классическая модель безопасности отстает

Долгое время представление о киберзащите было простым. Необходимо было чётко определить, что происходит внутри и снаружи. Необходимо было построить надёжный периметр с брандмауэрами и фильтрами. Необходимо было установить антивирус на конечных точках и искать известные вредоносные сигнатуры. Необходимо было настраивать правила, следить за оповещениями и реагировать на очевидные угрозы.

В современном мире эта модель имеет три большие проблемы.

Во-первых, периметр практически исчез. Люди работают отовсюду, используя как управляемые, так и неуправляемые устройства. Данные хранятся на общедоступных облачных платформах и в инструментах, предлагаемых в виде программного обеспечения как услуги. Партнеры и поставщики подключаются напрямую к внутренним системам. Такие отчёты, как исследование цепочки поставок ENISA, показывают, что вторжения теперь чаще начинаются через доверенного партнёра или обновление программного обеспечения, а не через прямую лобовую атаку на центральный сервер.

Во-вторых, ориентация на известные сигнатуры оставляет огромную «слепую зону». Современные злоумышленники сочетают пользовательское вредоносное ПО с тем, что защитники называют «жизнью на земле». Они полагаются на встроенные инструменты для написания скриптов, агентов удалённого управления и повседневные административные действия. Каждый шаг, рассматриваемый отдельно, может казаться безобидным. Простой подход, основанный на сигнатурах, не позволяет увидеть общую картину, особенно когда злоумышленники меняют мелкие детали в каждой кампании.

В-третьих, люди перегружены. Отчёт Verizon показывает, что эксплуатация уязвимостей стала основным способом проникновения в сети, и многим организациям сложно устанавливать исправления достаточно быстро. Исследование IBM добавляет, что длительное время обнаружения и локализации является основной причиной роста расходов на устранение нарушений. Аналитики работают с горой оповещений, журналов и ручной сортировки, в то время как злоумышленники максимально автоматизируют процессы.

Итак, есть атакующие, которые действуют быстрее и более автоматизировано, и защитники, которые всё ещё в значительной степени полагаются на ручное расследование и старые шаблоны. Этот пробел заполняет искусственный интеллект.

Злоумышленники уже рассматривают ИИ как своего союзника

Когда говорят об ИИ в сфере безопасности, часто представляют себе защитные инструменты, помогающие поймать злоумышленников. В действительности злоумышленники так же охотно используют ИИ для облегчения своей работы.

The Отчет Microsoft Digital Defense В 2025 году описывается, как поддерживаемые государством группы используют ИИ для создания синтетических медиа, автоматизации отдельных этапов кампаний по проникновению и масштабирования операций по оказанию влияния. В отдельном Обзор информации об угрозах от Microsoft, предоставленный Associated Press сообщается, что с середины 2024 года по середину 2025 года число инцидентов, связанных с поддельным контентом, созданным с помощью ИИ, возросло до более чем 200, что более чем вдвое больше, чем годом ранее, и примерно в 10 раз больше, чем в 2023 году.

На практике это выглядит как фишинговые сообщения, которые читаются так, будто их написал носитель языка, на любом языке. Это похоже на поддельные аудио- и видеоматериалы, которые позволяют злоумышленникам выдавать себя за руководителей высшего звена или доверенных партнёров. Похоже, что системы искусственного интеллекта перебирают огромные объёмы украденных данных, чтобы найти наиболее ценную информацию о вашем окружении, ваших сотрудниках и третьих лицах.

В недавнем Статья Financial Times об использовании искусственного интеллекта в кибератаках В нём даже описывается практически автономная шпионская операция, в которой ИИ-кодировщик выполнял большую часть этапов — от разведки до кражи данных — при ограниченном участии человека. Как бы вы ни относились к этому конкретному случаю, направление развития событий очевидно. Злоумышленники вполне рады доверить ИИ рутинную часть работы.

Если атакующие используют ИИ для более быстрого передвижения, лучшего встраивания в окружение и поражения большего количества целей, то обороняющимся не следует рассчитывать на то, что традиционных инструментов периметра и ручной сортировки оповещений будет достаточно. Либо вы внедряете в свою оборону аналогичные интеллектуальные технологии, либо разрыв продолжает увеличиваться.

От реактивной защиты к проактивному мышлению в области безопасности

Первый настоящий сдвиг не технический, а ментальный.

Реактивная позиция основана на идее, что можно дождаться явных признаков проблемы, а затем отреагировать. Обнаружен новый двоичный файл. Срабатывает оповещение, если трафик соответствует известному шаблону. Учётная запись демонстрирует явный признак компрометации. Команда вмешивается, проводит расследование, устраняет проблему и, возможно, обновляет правило, чтобы предотвратить повторное срабатывание именно этого шаблона.

В мире с медленными и редкими атаками это может быть приемлемо. В мире с постоянными проверками, быстрой эксплуатацией и кампаниями, поддерживаемыми ИИ, уже слишком поздно. К моменту срабатывания простого правила злоумышленники часто уже изучают вашу сеть, получают доступ к конфиденциальным данным и готовят запасные пути.

Проактивная позиция начинается с другого. Она предполагает, что вы постоянно сталкиваетесь с враждебным трафиком. Она предполагает, что некоторые средства контроля могут дать сбой. Она учитывает, насколько быстро вы замечаете необычное поведение, насколько быстро вы можете его сдерживать и насколько последовательно вы извлекаете уроки из него. В этом контексте основные вопросы становятся очень практичными.

• Обеспечиваете ли вы постоянный контроль над своими ключевыми системами, идентификационными данными и хранилищами данных?

• Можете ли вы заметить небольшие отклонения от нормального поведения, а не только известные плохие признаки?

• Можете ли вы связать это понимание с быстрыми, повторяемыми действиями, не выжигая при этом свою команду?

ИИ сам по себе не является решением, но это мощный способ ответить на эти вопросы в масштабах, которых требуют современные условия.

Как выглядит система кибербезопасности на основе искусственного интеллекта

ИИ помогает перейти от простого представления об угрозах, основанного на «да» или «нет», к более содержательной картине, основанной на поведении. Что касается обнаружения, модели могут отслеживать активность идентификационных данных, телеметрию конечных точек и сетевые потоки, а также анализировать, что выглядит нормально для вашей среды. Вместо того, чтобы просто блокировать известный вредоносный файл, они могут предупреждать об этом, когда учётная запись входит в систему из необычного места в необычное время, переходит в систему, с которой она ранее не работала, и затем начинает передавать большие объёмы данных. Каждое отдельное событие может быть легко пропущено. Совокупная картина интересна.

Что касается уязвимости, инструменты на базе ИИ могут определить реальную поверхность атаки. Они могут сканировать учётные записи публичных облаков, сервисы с доступом в интернет и внутренние сети, чтобы обнаружить забытые тестовые системы, неправильно настроенные хранилища и уязвимые панели администратора. Они могут сгруппировать эти результаты в практические истории рисков, а не в простые списки. Это особенно важно, поскольку внутри организаций растёт теневой ИИ, и команды создают собственные модели и инструменты без централизованного контроля — тенденция, о которой IBM пишет в своих последних публикациях. Стоимость утечки данных работа как зона серьезного риска. 

Что касается реагирования, ИИ может помочь вам действовать быстрее и согласованнее. Некоторые центры безопасности уже используют системы на базе ИИ, чтобы рекомендовать меры сдерживания в режиме реального времени и суммировать длительные сроки расследования для аналитиков. Агентство США по кибербезопасности и безопасности инфраструктуры описывает несколько таких применений в своей работе. ресурсы искусственного интеллекта, демонстрируя, как ИИ может помочь обнаружить необычную сетевую активность и проанализировать большие потоки данных об угрозах в федеральных системах.

Ничто из этого не устраняет необходимость человеческого суждения. Вместо этого ИИ становится фактором повышения эффективности. Он берёт на себя постоянное наблюдение, выявление закономерностей и часть ранней сортировки, чтобы специалисты по защите могли уделять больше времени глубокому расследованию и решению сложных вопросов проектирования, таких как стратегия идентификации и сегментация.

Как начать двигаться в этом направлении

Если вы отвечаете за безопасность, всё это может показаться громоздким и абстрактным. Хорошая новость в том, что переход от реактивного подхода к проактивному обычно начинается с нескольких последовательных шагов, а не с масштабной трансформации.

Первый шаг — упорядочить потоки данных. ИИ полезен ровно настолько, насколько полезны сигналы, которые он видит. Если ваш поставщик удостоверений, инструменты для конечных точек, сетевые контроллеры и облачные платформы отправляют журналы в отдельные хранилища, у каждой модели будут «слепые зоны», а у злоумышленников — укрытия. Инвестиции в централизованное представление наиболее важной телеметрии редко бывают привлекательными, но именно они обеспечивают эффективную поддержку ИИ.

Второй шаг — выбрать конкретные сценарии использования, а не пытаться разбросать ИИ повсюду. Многие команды начинают с поведенческой аналитики для учётных записей пользователей, обнаружения аномалий в облачных средах или более интеллектуального обнаружения электронной почты и фишинга. Цель — выбрать области, где вы уже знаете о наличии риска и где распознавание закономерностей в больших наборах данных может быть явно полезным.

Третий шаг — связать каждый новый инструмент с поддержкой ИИ с чётким набором ограничений. Это включает в себя определение того, что модель может делать самостоятельно, что всегда должно включать участие человека и как вы будете оценивать честность и полезность системы с течением времени. Здесь мышление в Структура искусственного интеллекта NIST а рекомендации таких агентств, как CISA, могут уберечь вас от необходимости придумывать все заново самостоятельно.

Почему проактивная безопасность с использованием искусственного интеллекта не может ждать

Кибератаки превращаются скорее в постоянное фоновое явление, чем в редкую чрезвычайную ситуацию, и злоумышленники с радостью доверяют искусственный интеллект выполнению значительной части тяжёлой работы. Стоимость растёт, точек входа становится всё больше, а инструменты злоумышленников становятся всё более интеллектуальными с каждым годом. Реактивная модель, которая ждёт громких сигналов тревоги, а затем срывается с места, просто не создана для такого мира.

Проактивная позиция, основанная на ИИ, заключается не столько в погоне за модными трендами, сколько в тихой, неприметной работе по упорядочиванию данных, добавлению поведенческой аналитики и установлению чётких границ для новых систем ИИ, чтобы они помогали вашим защитникам, а не заставали их врасплох. Разрыв между атакующими и защитниками реален, но он не решён, и ваш текущий выбор в отношении использования ИИ в системе безопасности определит, какая сторона будет двигаться быстрее в ближайшие несколько лет.