Connect with us

Когда эволюционирующие атаки обгоняют старые защиты: почему пришло время для проактивной безопасности на основе ИИ

Лидеры мнений

Когда эволюционирующие атаки обгоняют старые защиты: почему пришло время для проактивной безопасности на основе ИИ

mm
Published
Updated

Если вы работаете где-нибудь рядом с безопасностью прямо сейчас, вы, вероятно, чувствуете, что всегда отстаете. В новостях появляется новый взлом, свежая история о вымогательском ПО, и еще один умный трюк, который защитники не увидели заранее. В то же время многое из защиты все еще опирается на идеи из старого интернета, где сети имели четкие границы и атакующие двигались медленнее.

Цифры говорят вам, что это не просто чувство. Последний отчет IBM о стоимости утечки данных устанавливает глобальный средний уровень утечки на 4,88 миллиона долларов в 2024 году, по сравнению с 4,45 миллионами долларов в предыдущем году. Этот рост на 10% является самым большим скачком с пандемических лет, и он происходит даже несмотря на то, что команды безопасности инвестируют больше в инструменты и персонал.

Отчет Verizon Data Breach Investigations за 2024 год рассматривает более 30 000 инцидентов и более 10 000 подтвержденных утечек. Он подчеркивает, как атакующие полагаются на украденные учетные данные, эксплуатацию уязвимостей веб-приложений и социальные действия, такие как предтекстинг, и отмечает, что организации в среднем тратят около 55 дней на исправление только половины своих критических уязвимостей после выпуска исправлений. Эти 55 дней являются очень комфортным окном для атакующего, который сканирует постоянно.

В Европе отчет ENISA Threat Landscape за 2023 год также указывает на тяжелую смесь вымогательского ПО, атак на отказ в обслуживании, атак на цепочку поставок и социальной инженерии. Другое исследование ENISA, посвященное инцидентам с цепочкой поставок, оценивает, что в 2021 году таких атак было в четыре раза больше, чем в 2020 году, и что эта тенденция продолжает расти вверх. 

Итак, картина проста, но неудобна. Утечки становятся более частыми, более дорогими и более сложными, даже когда инструменты улучшаются. Что-то структурное не так в том, как многие организации все еще защищают себя.

Почему классическая модель безопасности отстает

В течение долгого времени ментальная картина кибербезопасности была простой. У вас был четкий внутренний и внешний мир. Вы строили сильный периметр с помощью брандмауэров и фильтров. Вы развертывали антивирусное ПО на конечных точках и искали известные плохие сигнатуры. Вы настраивали правила, смотрели на оповещения и реагировали, когда что-то очевидное срабатывало.

У этой модели есть три большие проблемы в современном мире.

Во-первых, периметр в основном исчез. Люди работают из любого места на смеси управляемых и неуправляемых устройств. Данные находятся в публичных облачных платформах и инструментах программного обеспечения как услуги. Партнеры и поставщики подключаются напрямую к внутренним системам. Отчеты, такие как исследование цепочки поставок ENISA, показывают, как часто вторжения теперь начинаются через доверенного партнера или обновление программного обеспечения, а не через прямую фронтальную атаку на центральный сервер.

Во-вторых, фокус на известных сигнатурах оставляет огромную слепую зону. Современные атакующие смешивают настраиваемое вредоносное ПО с тем, что защитники называют “живущим на земле”. Они полагаются на встроенные инструменты скриптинга, агенты удаленного управления и повседневные административные действия. Каждый шаг, рассматриваемый отдельно, может выглядеть безобидным. Простой подход, основанный на сигнатурах, не видит более крупной картины, особенно когда атакующие меняют небольшие детали в каждой кампании.

В-третьих, люди перегружены. Отчет Verizon показывает, что эксплуатация уязвимостей теперь является основным способом проникновения в сети и что многие организации борются с применением исправлений достаточно быстро. Исследование IBM добавляет, что длительные время обнаружения и сдерживания являются основной причиной того, что затраты на утечки продолжают расти. Аналитики сидят под горой оповещений, журналов и ручной триаж, в то время как атакующие автоматизируют как можно больше.

Итак, у вас есть атакующие, которые быстрее и более автоматизированы, и защитники, которые все еще сильно полагаются на ручное расследование и старые закономерности. В этот разрыв входит искусственный интеллект.

Атакующие уже рассматривают ИИ как члена команды

Когда люди говорят об ИИ в безопасности, они часто представляют себе оборонительные инструменты, которые помогают поймать плохих актеров. Реальность такова, что атакующие столь же готовы использовать ИИ, чтобы сделать свою работу проще.

Отчет Microsoft Digital Defense Report 2025 описывает, как государственные группы используют ИИ для создания синтетических медиа, автоматизации частей кампаний проникновения и масштабирования операций по влиянию. Отдельный обзор Associated Press отчета Microsoft о разведке угроз сообщает, что с середины 2024 года до середины 2025 года инциденты, связанные с контентом, сгенерированным ИИ, выросли до более 200, более чем в два раза по сравнению с предыдущим годом и примерно в 10 раз больше, чем количество, зафиксированное в 2023 году.

На практике это выглядит как фишинговые сообщения, которые читаются как если бы их написал носитель языка, на любом языке, который вам нравится. Это выглядит как глубокие фальшивые аудио- и видеозаписи, которые помогают атакующим притворяться старшими руководителями или доверенными партнерами. Это выглядит как системы ИИ, которые сортируют огромные объемы украденных данных, чтобы найти наиболее ценные детали вашей среды, вашего персонала и ваших третьих сторон.

Недавний статья Financial Times о агентном ИИ в кибератаках даже описывает в значительной степени автономную операцию по шпионажу, где агент кодирования ИИ обрабатывал большинство шагов от разведки до эксфильтрации данных с ограниченным человеческим входом. Однако вы чувствуете себя по поводу этого конкретного случая, направление ясно. Атакующие очень рады позволить ИИ заниматься скучными частями работы.

Если атакующие используют ИИ, чтобы двигаться быстрее, сливаться лучше и поражать больше целей, то защитники не могут ожидать, что традиционные периметральные инструменты и ручная триаж оповещений будут достаточно. Вы либо вводите подобный интеллект в свою оборону, или разрыв продолжает расширяться.

От реактивной защиты к проактивному мышлению о безопасности

Первый реальный сдвиг не технический; это ментальный.

Реактивная позиция построена вокруг идеи, что вы можете ждать явных признаков проблем, а затем реагировать. Новый бинарный файл обнаружен. Оповещение срабатывает, потому что трафик соответствует известному шаблону. Аккаунт показывает явный знак компрометации. Команда прыгает в действие, расследует, очищает и, возможно, обновляет правило, чтобы предотвратить именно этот шаблон от работы снова.

В мире с медленными и редкими атаками это может быть нормально. В мире с постоянными пробами, быстрыми эксплуатациями и кампаниями, поддерживаемыми ИИ, это слишком поздно. К тому времени, когда простое правило срабатывает, атакующие часто исследовали вашу сеть, тронули чувствительные данные и подготовили запасные пути.

Проактивная позиция начинается с другого места. Она предполагает, что вы всегда касаетесь враждебного трафика. Она предполагает, что некоторые контроли могут не сработать. Ей важно, как быстро вы обнаруживаете необычное поведение, как быстро вы можете сдержать его и как последовательно вы учитесь на нем. В этом контексте основные вопросы становятся очень практичными.

  • У вас есть непрерывная видимость ваших ключевых систем, идентификаторов и хранилищ данных?

  • Можете ли вы заметить небольшие отклонения от нормального поведения, а не только известные плохие сигнатуры?

  • Можете ли вы связать эту информацию с быстрым, повторяемым действием без выгорания вашей команды?

ИИ не является решением сам по себе, но это мощный способ ответить на эти вопросы в масштабе, который требуют современные среды.

Как выглядит пост проактивную безопасность на основе ИИ

ИИ помогает вам перейти от простого да или нет взгляда на угрозы к более богатой, основанной на поведении картине. На стороне обнаружения модели могут наблюдать активность идентификаторов, телескопию конечных точек и потоки сети и учиться, что выглядит нормально для вашей среды. Вместо того, чтобы блокировать только известный вредоносный файл, они могут поднять флаг, когда аккаунт входит в систему с необычного местоположения в необычное время, поворачивает на систему, которую он никогда не трогал раньше, и затем начинает перемещать большие объемы данных. Каждое отдельное событие может быть легко упущено из виду. Объединенная картина интересна.

На стороне уязвимости инструменты, поддерживаемые ИИ, могут картографировать вашу реальную поверхность атаки. Они могут сканировать публичные облачные аккаунты, интернет-услуги и внутренние сети, чтобы найти забытые тестовые системы, неправильно настроенное хранилище и открытые панели администрирования. Они могут сгруппировать эти находки в практические истории рисков вместо сырых списков. Это особенно важно, поскольку тень ИИ растет внутри организаций, с командами, запускающими свои собственные модели и инструменты без центрального надзора, тенденцию, которую IBM называет серьезной зоной риска в своей более недавней работой по стоимости утечки данных. 

На стороне реагирования ИИ может помочь вам действовать быстрее и более последовательно. Некоторые центры безопасности операций уже используют системы, поддерживаемые ИИ, чтобы рекомендовать шаги по сдерживанию в реальном времени и суммировать длинные временные шкалы расследований для человеческих аналитиков. Агентство кибербезопасности и инфраструктуры США описывает несколько таких использований в своих ресурсах по искусственному интеллекту, показывая, как ИИ может помочь обнаружить необычную сетевую активность и проанализировать большие потоки данных о угрозах в федеральных системах.

Ни одно из этого не удаляет необходимость человеческого суждения. Вместо этого ИИ становится умножителем силы. Он берет на себя постоянное наблюдение, обнаружение закономерностей и часть ранней триаж, чтобы человеческие защитники могли тратить больше времени на глубокое расследование и на трудные вопросы дизайна, такие как стратегия идентификации и сегментация.

Как начать двигаться в этом направлении

Если вы отвечаете за безопасность, все это может показаться большим и абстрактным. Хорошая новость заключается в том, что сдвиг от реактивного к проактивному обычно начинается с нескольких обоснованных шагов, а не с гигантского преобразования.

Первый шаг – привести ваши потоки данных в порядок. ИИ так же полезен, как и сигналы, которые он может видеть. Если ваш поставщик идентификации, инструменты конечных точек, контроли сети и облачные платформы все отправляют журналы в отдельные силосы, каждая модель будет иметь слепые зоны, и атакующие будут иметь места для укрытия. Инвестиции в центральный вид вашей наиболее важной телеметрии редко бывают гламурными, но это основа, которая делает возможной значимую поддержку ИИ.

Второй шаг – выбрать конкретные случаи использования вместо того, чтобы пытаться посыпать ИИ повсюду. Многие команды начинают с аналитики поведения для учетных записей пользователей, обнаружения аномалий в облачных средах или более умной детекции электронной почты и фишинга. Цель – выбрать области, где вы уже знаете, что у вас есть риск, и где распознавание закономерностей на больших наборах данных может явно помочь.

Третий шаг – сопоставить каждый новый инструмент, поддерживаемый ИИ, с явным набором ограничений. Это включает определение того, что модель разрешена делать самостоятельно, что всегда должно включать человека, и как вы будете измерять, является ли система честной и полезной с течением времени. Здесь мышление в рамочном документе NIST по ИИ и руководстве из агентств, таких как CISA, может сэкономить вам от изобретения всего с нуля.

Почему проактивная безопасность на основе ИИ не может ждать

Кибератаки превращаются в нечто более похожее на постоянное фоновое условие, чем на редкий аварийный режим, и атакующие очень рады позволить искусственному интеллекту делать много тяжелой работы за них. Стоимость растет, точки входа умножаются, и инструментирование на стороне атакующего становится умнее каждый год. Реактивная модель, которая ждет громких оповещений и затем спешит, просто не предназначена для этого мира.

Проактивная позиция, поддерживаемая ИИ, менее похожа на преследование модной тенденции и более похожа на выполнение тихой, не гламурной работы по приведению ваших данных в порядок, добавлению информации, основанной на поведении, и установлению четких ограничений вокруг новых систем ИИ, чтобы они помогали вашим защитникам, а не удивляли их. Разрыв между атакующими и защитниками реален, но он не фиксирован, и выбор, который вы делаете сейчас о том, как вы используете ИИ в вашем стеке безопасности, решит, какая сторона будет двигаться быстрее в течение следующих нескольких лет.

mm

Mirgen Hoxha является CEO Motomtech, где он руководит командами, которые проектируют и разрабатывают программные продукты на основе ИИ для клиентов в Северной Америке и Европе. Он работает на пересечении стратегии продукта и прикладного машинного обучения, помогая организациям превращать реальные проблемы в практические решения ИИ.