Інтерв’ю
Liat Hayun, СВП управління продуктами та дослідженнями в Tenable – Серія інтерв’ю
Liat Hayun є віце-президентом з управління продуктами та дослідженнями в Tenable Cloud Security. До того, як приєднатися до Tenable, Liat була співзасновником і генеральним директором Eureka Security, компанії з безпеки даних, яку придбала Tenable. Перед тим, як заснувати Eureka Security, Liat понад десяти років очолювала зусилля з кібербезпеки в ізраїльському кіберкомандуванні та в компанії Palo Alto Networks. Як віце-президент з управління продуктами в Palo Alto Networks, Liat очолювала розробку Cortex XDR і служби керованого полювання на загрози компанії.
Tenable – це американська компанія з кібербезпеки, яка зосереджена на допомозі організаціям виявляти, розуміти, пріоритизувати та усунувати уразливості безпеки по всьому цифровому поверхню атаки. Найбільш відомою є її платформа управління уразливостями та інструменти, такі як широко використовуваний сканер уразливостей Nessus, які дозволяють підприємствам отримувати видимість загроз, що охоплюють інфраструктуру ІТ, хмару, OT/IoT та системи ідентифікації, та приймати рішучі дії для зниження ризику, який впливає на бізнес. Рішення Tenable забезпечують безперервне відкриття, пріоритезацію та аналіз загроз для підтримки активного управління кіберризиком для десятків тисяч клієнтів по всьому світу.
Що фундаментально робить автономні агенти штучного інтелекту більш небезпечними, ніж традиційні моделі штучного інтелекту, які реагують лише на запити користувача, а не діють незалежно?
Автономні агенти штучного інтелекту змінюють природу ризику, оскільки вони можуть ініціювати завдання, отримувати доступ до систем, приймати рішення та взаємодіяти з іншими службами без нагляду людини.
Ця незалежність розширює як швидкість, так і масштаб потенційного впливу, збільшуючи ймовірність витоку даних, порушення операцій та фінансових втрат. Агент штучного інтелекту може запитувати магазини даних, запускати робочі процеси, викликати API або змінювати інфраструктуру в режимі реального часу. Якщо агент буде неправильно сконфігурований або скомпрометований, він може рухатися по системах, використовуючи дозволи, які йому були надані, часто швидше, ніж людина могла б виявити або втрутитися.
Згідно з доповіддю Tenable про ризики хмари та штучного інтелекту 2026 року, 52% організацій вже мають нелюдські ідентифікатори з надмірними дозволами, і майже половина з них є неактивними, створюючи широкий незареджений доступ по всьому виробничому середовищу. Це означає, що багато процесів, керованих штучним інтелектом, вже мають доступ, який вони не активно використовують, але який можуть використовувати атакувальники.
Атакувальники все частіше використовують так звану проблему «збентеженого заступника». їм не потрібно компрометувати сам агент. Замість цього вони обманюють авторизований агент, щоб він виконував дії від їхнього імені, часто через непряме ін’єкцію запиту або маніпульовані входи. Агент виконує запит, використовуючи свої законні дозволи, ефективно роблячи роботу атакувальника. Коли автономні системи успадковують широкі дозволи або приймають надмірно привілейовані ролі, час між неправильною конфігурацією та експлуатацією фактично зникає, створюючи нульовий розрив у вразливості штучного інтелекту.
Багато підприємств експериментують з агентами штучного інтелекту неформально. Які перші конкретні кроки команд з безпеки повинні зробити, щоб оцінити, чи вже діють агентні штучного інтелекту всередині їхнього середовища?
Закриття розриву у вразливості штучного інтелекту починається з відкриття, яке виходить за рамки традиційних інвентаризацій активів. Фаза експериментів часто є найбільш небезпечною, оскільки організації не повністю знають, який штучний інтелект використовується, як він сконфігурований або які дозволи йому надані.
Агенти штучного інтелекту рідко живуть в одній, чітко позначеній системі. Багато з них працюють поза формальним управлінням. Вони з’являються в інструментах розробника, інтеграціях SaaS, робочих потоках автоматизації, розширеннях браузера та хмарних службах, що створює розподілену розгортку, яка збільшує сліпі плями та обмежує централізований контроль. Це вже поширене явище, оскільки понад 70% організацій інтегрували принаймні один пакет третіх сторін або пов’язаний з моделлю штучного інтелекту, часто вкладаючи штучний інтелект глибоко в додатки та інфраструктуру з обмеженим централізованим наглядом.
Недавні дослідження щодо Clawdbot показують, що експериментальні розгортання агентів можуть становити серйозні ризики, коли можливості розгортаються до того, як будуть повністю зрозумілі стандарти безпеки або конфігурації. Навіть після закінчення експериментів та прийняття організацією рішення про прийняття певних застосунків штучного інтелекту, їм все одно потрібно сильне управління тим, як ці системи використовуються, які дозволи вони мають та як вони взаємодіють з критичними активами.
Фаза відкриття повинна починатися з встановлення єдиного інвентаризаційного переліку того, де існує штучний інтелект по всьому кінцевим точкам, хмарній інфраструктурі та зовнішнім поверхням атаки. Це включає виявлення бібліотек штучного інтелекту, агентів, API, служб моделей та інтеграцій третіх сторін, не лише внутрішньо розгорнутих систем, а й всього, що можна досягти зовні.
Далі команди повинні відобразити, як ці агенти пов’язані та які дані вони доступають, які ідентифікатори вони використовують, які дозволи вони мають та які системи вони можуть досягти. Видимість вимагає контексту, оскільки ризик виникає з відносин.
Нарешті, після експериментів організації повинні визначити, які з цих зв’язків створюють досяжні шляхи до критичних активів та закрити розрив у вразливості штучного інтелекту.
Як порівняються ризики, такі як відкриті поверхні контролю або неверифіковані можливості третіх сторін, з більш знайомими загрозами, такими як атаки на ланцюг постачання або підвищення привілеїв?
Неверифіковані можливості третіх сторін та відкриті поверхні контролю розширюють подібні ризики, як компрометація ланцюга постачання та підвищення привілеїв, але з посиленим темпом, масштабом та підключенням.
П можливості третіх сторін функціонують подібно до залежностей ланцюга постачання програмного забезпечення, а поверхня вразливості вже має значний вагомий фактор. Вісімдесят шість відсотків організацій приймають пакети коду третіх сторін з уразливостями критичної важливості. Коли ці компоненти працюють всередині автономних агентів штучного інтелекту, виконання стає безперервним та автоматизованим, усуваючи час між компрометацією та впливом.
Відкриті поверхні контролю розширюють шар ідентифікації та доступу ризику, створюючи нові операційні інтерфейси, які несуть підвищені дозволи. Вісімнадцять відсотків організацій вже дозволяють службам штучного інтелекту приймати надмірно привілейовані ролі, надаючи автоматизованим системам широкий діапазон по всьому середовищу. Агентні штучного інтелекту пов’язують ці вразливості в єдину операційну ланцюг. Уразлива залежність, надмірні дозволи та відкриті інтерфейси поєднуються в досяжний шлях атаки. Організації працюють в середовищі з нульовим межею помилок, де вразливість та експлуатація майже миттєво збігаються.
З точки зору захисту, що виглядає «гарна гігієна» для організацій, які розгортають агентів штучного інтелекту з доступом до внутрішніх систем або чутливих даних?
Гарна гігієна починається з того, що агентів штучного інтелекту слід розглядати як привілейовані цифрові актори з реальною владою по всьому системам та даним. Організаціям потрібно безперервна видимість кожного агента, того, що він робить, та чого він може досягти. Команди повинні реалізовувати мінімальні привілеї для ідентифікаторів машин та служб, видалити сплячий доступ та щільно обмежити дозволи. Кожен агент повинен бути присвячений певному типу завдання, з дозволами та доступом, обмеженими строго до цієї функції.
Це має значення, оскільки незастосований доступ є поширеним. Понад половина ідентифікаторів з критичними надмірними дозволами є неактивними, а понад 70% ролей виконання штучного інтелекту за замовчуванням залишаються невикористаними. Ці умови створюють готові шляхи для підвищення привілеїв, які несуть ризик без надання цінності.
Команди з безпеки також повинні розуміти відносини по всій інфраструктурі, магазинах даних, API та додатках. Відображення цих зв’язків розкриває токсичні комбінації вразливості, такі як уразливі робочі навантаження, до яких можна досягти через надмірно привілейованих агентів з доступом до чутливих даних.
Сильна гігієна також вимагає безперервного управління. Організації повинні контролювати поведінку агентів, контролювати інтеграції, забезпечувати захист даних та регулярно перевіряти дозволи. Ці практики закривають розрив у вразливості штучного інтелекту та усувають досяжні шляхи атаки.
Що Ви радите організаціям зробити, щоб захистити поверхні атаки штучного інтелекту швидко без сповільнення інновацій?
Організації можуть захистити поверхні атаки штучного інтелекту, зменшуючи вразливість з темпом та точністю.
Для цього першим пріоритетом є визначення тих систем штучного інтелекту, які створюють досяжні шляхи до критичних активів. Більше 80% організацій виконують робочі навантаження з уразливостями, які вже були експлуатовані в дикій природі. Ризик вже існує всередині більшості середовищ. Команди з безпеки повинні зосередитися на зв’язках, які створюють реальний вплив.
Потім зрозумійте, що автоматизація дозволяє масштабуватися. Безперервне відкриття, контекстна пріоритезація та кероване усунення дозволяють командам зменшити ризик, зберігаючи швидкість розробки.
Хоча периметри політики охороняють прийняття, доступ у режимі реального часу, контрольовані потоки даних та керовані інтеграції допомагають організаціям керувати діяльністю штучного інтелекту, зберігаючи інновації.
Разом ці кроки зменшують розрив у вразливості штучного інтелекту, усуваючи високоризикований доступ та незахищені зв’язки. Швидке зменшення вразливості захищає системи, дозволяючи прийняттю штучного інтелекту рухатися вперед.
Як керівники з інформаційної безпеки повинні думати про ідентифікацію, дозволи та масштаб, коли надають агентам штучного інтелекту доступ до виробничих систем?
Керівники з інформаційної безпеки повинні розглядати агентів штучного інтелекту як високошвидкісні нелюдські ідентифікатори з операційною владою по всьому системам та даним.
Рішення щодо доступу повинні зосереджуватися на точності. Дозволи повинні відповідати конкретним завданням, залишатися обмеженими у часі та проходити безперервний огляд. Надмірні привілеї розширюють діапазон та збільшують вплив, коли системи взаємодіють з швидкістю машин.
Керівники з безпеки також потребують чіткого розуміння ефективного діапазону. Дозволи, у поєднанні з мережевими шляхами, доступом до даних та інтеграцією служб, визначають, що агент може фактично зробити. Поняття цих відносин розкриває потенційну вразливість до того, як вона стане впливом.
Ідентифікація пов’язує інфраструктуру, дані та додатки по всьому розриву у вразливості штучного інтелекту. Щільний дизайн дозволів обмежує радіус дії та підтримує контроль. Коли час від відкриття вразливості до експлуатації майже нульовий, управління ідентифікацією визначає, наскільки безпечно штучний інтелект працює у виробництві.
Чи очікуєте Ви, що агентні штучного інтелекту змусять переглянути існуючі кадри безпеки, або можна адаптувати сучасні моделі для обробки цих нових ризиків?
Принципи безпеки залишаються послідовними, але оперативні моделі еволюціонують. Агентні штучного інтелекту пов’язують системи, ідентифікатори та дані в динамічні середовища, які змінюються безперервно та працюють з швидкістю машин. На відміну від людських операторів, агенти не застосовують судження до своїх дій або не розрізняють відповідні та невідповідні запити. Вони виконують дії на основі інструкцій та дозволів, що збільшує важливість суворого контролю та управління.
Ризик виникає з відносин по всій інфраструктурі, ланцюгах постачання програмного забезпечення та шарах ідентифікації. Організації успадковують вразливість швидше, ніж цикли усунення можуть впоратися. Автоматичне розгортання та автоматична експлуатація стискають час відповіді та збільшують операційний тиск.
Кадри безпеки повинні зосередитися на видимості та зменшенні вразливості. Команди потребують безперервної інформації про те, що існує, як системи пов’язані та які шляхи ведуть до критичних активів.
Визначальною викликом є управління взаємопов’язаним ризиком по всьому розриву у вразливості штучного інтелекту. Програми безпеки успішно працюють, безперервно зменшуючи досяжну вразливість та підтримуючи контроль по всьому складним середовищам.
Оглядаючись вперед, які області досліджень безпеки агентних штучного інтелекту, на Вашу думку, заслуговують більшої уваги, оскільки ці інструменти переходять від експериментальних до критично важливих?
Декілька напрямків досліджень形成уть майбутнє безпеки агентних штучного інтелекту.
По-перше, зростання екосистем нелюдських ідентифікаторів потребує глибшого аналізу. Організації швидко розширюють ідентифікатори машин, які працюють по всій інфраструктурі, даним та службам. Поняття моделей привілеїв, поведінки та управління життєвим циклом буде важливим.
По-друге, дослідження повинні просунути моделювання багатокрокових шляхів атаки. Системи штучного інтелекту пов’язують ланцюги постачання програмного забезпечення, хмарну інфраструктуру та шари ідентифікації. Відображення того, як ці елементи взаємодіють, покращить передбачення та пріоритезацію ризику.
По-третє, управління автономним прийняттям рішень потребує більшої уваги. Команди з безпеки потребують видимості того, як агенти доступають, обробляють та передають чутливі дані з часом.
Нарешті, швидкість експлуатації продовжує прискорюватися. Дослідження того, як атакувальники та захисники працюють з швидкістю машин, сформує стратегії відповіді.
Майбутня безпека залежить від розуміння та зменшення розриву у вразливості штучного інтелекту. Дослідження повинні зосередитися на контролі взаємопов’язаної вразливості по всьому атакуваному поверху.
Дякую за велике інтерв’ю. Читачам, які бажають дізнатися більше, слід відвідати Tenable.
