Марк Ніколсон, керівник напрямку кібермодернізації Deloitte в США – Серія інтерв’ю: Повторна розмова

Марк Ніколсон, керівник напрямку кібермодернізації Deloitte в США, є партнером у Deloitte з більш ніж двадцятирічним досвідом на перетині кібербезпеки, штучного інтелекту та корпоративних ризиків. Він очолює ініціативи Cyber AI та комерційну стратегію кібернаправи Deloitte, допомагаючи великим організаціям модернізувати свої системи безпеки та узгоджувати кіберінвестиції з еволюціонуючим ландшафтом ризиків. До приходу в Deloitte він був співзасновником і виконував обов’язки операційного директора Vigilant, Inc., консалтингової компанії в галузі інформаційної безпеки, що спеціалізувалася на розвідці загроз і моніторингу зловмисних подій. Його рання кар’єра на посадах у сфері продажів і розвитку бізнесу в різних технологічних компаніях заклала міцну основу як у технічних, так і в комерційних аспектах кібербезпеки.

Deloitte — одна з найбільших у світі професійних сервісних компаній, яка надає послуги з аудиту, консалтингу, оподаткування та консультування організаціям майже в усіх галузях. Її кібернапрямок зосереджений на допомозі підприємствам у навігації в дедалі складнішому середовищі загроз, одночасно забезпечуючи цифрову трансформацію за допомогою таких технологій, як штучний інтелект. Компанія надає послуги в галузі кіберстратегії, стійкості, управління ризиками та корпоративної безпеки, позиціонуючи кібербезпеку як захисну функцію та стратегічний каталізатор інновацій і зростання.

Це продовження попереднього інтерв’ю, опублікованого в 2025 році.

Ви займаєтеся кібербезпекою з ранніх днів сучасного моніторингу загроз, включаючи співзаснування Vigilant та допомогу у виведенні на ринок ранніх можливостей SIEM (Security Information and Event Management) та розвідки загроз. Як еволюція від тих ранніх систем моніторингу до сучасних платформ кіберзахисту на основі ШІ змінила спосіб виявлення та реагування на загроз організаціями?

Коли ми вперше почали будувати платформи моніторингу на ранніх етапах розвитку SIEM, основним викликом було зібрати дані в одному місці та зрозуміти їх. Я пам’ятаю, як аналітики щоранку роздруковували логи файрволів і вручну перевіряли їх, намагаючись знайти аномалії. Навіть зі зрілістю SIEM виникла проблема масштабу. Швидкість людини не могла впоратися з величезною кількістю виявлених подій. Незважаючи на використання автоматизації, захисники все ще мали проблему з кореляцією даних та аналітикою, постійно працюючи над створенням нових правил, часто у відповідь на невдачі моніторингу.

Одна з надій полягає в тому, що ШІ фундаментально змінить цю динаміку. Окрім розгортання агентських можливостей для автоматизації операцій безпеки першого рівня, ШІ обіцяє допомогти перевести виявлення та реагування зі стану “після факту” набагато ближче до “під час події” завдяки використанню динамічного машинного налаштування алгоритмів моніторингу. У деяких випадках кіберпідрозділи також почнуть довіряти ШІ ініціювати дії з відновлення.

Але складність не зникає, а зміщується. У міру того, як системи стають більш автономними та складними, довіра та спостережуваність стають полем бою: Що робить система, чому вона це робить і як ми знаємо, що нею не маніпулювали? Можливості з ШІ величезні, але це також підвищує ставки, коли середовище функціонує на машинній швидкості.

Ви зазначали, що ШІ дозволяє противникам автоматизувати розвідку, генерувати експлойти та прискорювати цикли атак. Практично, наскільки ШІ скоротив час між виявленням вразливості та її використанням?

Історично часто існувало вікно між виявленням вразливості та її використанням. Безумовно, була терміновість, але зазвичай, якщо ви не стали жертвою zero day, був час зрозуміти загрозу, встановити латки та вжити заходів до того, як зловмисник зможе масштабно застосувати експлойти. ШІ практично ліквідував це вікно.

Противники можуть автоматизувати розвідку, безперервно сканувати на наявність вразливостей та використовувати інструменти на основі ШІ для прискорення частини процесу розробки експлойтів та цілевизначення. У багатьох випадках те, що раніше розгорталося протягом тижнів, тепер може стиснутися до годин, а у високоавтоматизованих сценаріях це може відбуватися швидше, ніж розраховано більшість програм безпеки.

Висновок простий: командам безпеки потрібна автоматизація та ШІ на стороні захисту, поєднані з сильними контролями, якщо вони хочуть встигати.

Команди безпеки дедалі частіше переходять від моделей нагляду “людина в контурі” до “людина над контуром”. Як цей перехід виглядає операційно всередині сучасного Центру операцій безпеки (SOC) і як організаціям слід переосмислити ролі аналітиків, коли ШІ бере на себе більше автономних завдань?

У традиційному SOC аналітики знаходяться в центрі кожної точки прийняття рішень. Надходять сповіщення, аналітики їх пріоритезують, розслідують та визначають, які дії слід вжити. Такий підхід працював, коли обсяг сповіщень і темп атак були керованими. Але в сучасному середовищі масштаб активності просто занадто великий, щоб люди могли бути “воротарями” для кожного рішення.

Перехід до моделі “людина над контуром” означає, що системи ШІ можуть виконувати багато рутинних завдань, які раніше виконували аналітики, наприклад, пріоритезацію сповіщень, збір контексту, кореляцію даних та виконання певних дій з відновлення. Роль людини стає роллю нагляду та валідації, а не ручного виконання.

Операційно це зміщує час аналітиків від “переробки сповіщень” до роботи з більшою цінністю, такої як полювання на загрози, інжиніринг виявлення, імітація дій противника та вдосконалення архітектури захисту. Люди залишаються невід’ємними, але їхня роль еволюціонує у бік нагляду, прийняття рішень та стратегії, а не бути основним обробником даних безпеки.

Ми часто чуємо про “Безпечний ШІ за дизайном”. На вашу думку, чому ця концепція має поширюватися за межі безпеки моделі на системи ідентичності, архітектуру дозволів та шари оркестрації?

Багато дискусій про безпечний ШІ зосереджуються на самій моделі, наприклад, на захисті навчальних даних, запобіганні отруєнню моделі або захисту від атак ін’єкції запитів. Це реальні проблеми, але вони є лише частиною ризику.

На практиці системи ШІ функціонують як частина набагато більших цифрових екосистем. Вони отримують доступ до даних, взаємодіють з API, запускають робочі процеси та все частіше працюють через агенти, які можуть діяти з певним ступенем автономності.

Коли це відбувається, ідентичність та дозволи стають площиною управління. Агентні системи ШІ фактично є новими цифровими ідентичностями всередині підприємства. Якщо цими ідентичностями не керувати належним чином, вони можуть створити значні ризики.

Тому безпечний ШІ за дизайном має поширюватися на управління ідентичністю, контроль доступу, шари оркестрації та системи моніторингу, які відстежують дії цих агентів. Організації повинні ставитися до агентів ШІ майже як до користувачів-людей, з визначеними дозволами, аудитом та наглядом, інакше поверхня атаки швидко розширюється.

Багато підприємств нашаровують інструменти ШІ поверх застарілих робочих процесів безпеки, які були розроблені для людської швидкості. Які найбільші архітектурні зміни потрібно зробити організаціям, щоб реально скористатися перевагами ШІ в кіберзахисті?

Поширеною практикою є приєднання ШІ до успадкованих процесів і робочих потоків, розроблених для операцій, керованих людиною. Це непоганий перший підхід, особливо з огляду на те, що комп’ютерний зір став реальністю. Наприклад, Deloitte створила агента, якого можна навчити замінити людину в процесі управління ідентичністю та адміністрування, не відмовляючись від існуючих спеціалізованих програмних рішень, які було б складно вивести з експлуатації. Це може забезпечити значну економію коштів.

Однак майбутня вигода полягає в тому, що підприємства, ймовірно, почнуть переосмислювати робочі процеси безпеки від початку до кінця: модернізувати основу даних, щоб інструменти безпеки могли надійно отримувати доступ до якісної, добре структурованої телеметрії; побудувати оркестрацію, щоб функції виявлення, реагування та управління ідентичністю працювали як узгоджена система, а не роз’єднані інструменти.

Ідентичність залишається одним з найкритичніших контролів. У міру впровадження більшої автоматизації та агентів ШІ кількість нелюдських ідентичностей значно зростає. Ефективне управління цими ідентичностями стає необхідним для підтримки контролю.

Нативна для ШІ безпека в кінцевому підсумку є поєднанням кращих даних, кращої оркестрації та управління, яке враховує як людських, так і машинних учасників.

У міру того, як системи ШІ стають більш автономними, поверхня атаки розширюється на такі області, як оркестрація агентів, ланцюжки API та автоматизовані конвеєри прийняття рішень. Яка з цих нових поверхень хвилює вас найбільше?

Якби мені довелося вибрати одну область, яка потребує негайної уваги, це було б управління ідентичністю та дозволами на доступ до даних у системах, керованих агентами.

Впроваджуючи більше агентного ШІ, організації створюють зростаючу популяцію автономних учасників, які діють всередині підприємства. Ці агенти можуть мати доступ до даних, API та робочих процесів, які надзвичайно потужні, і це робить їх привабливим шляхом для зловмисника, якщо дозволи не розроблені, не контролюються та не аудитуються ретельно. Важливо ставитися до кожного агента як до нового співробітника: назвати його, визначити його сферу діяльності, контролювати його та мати можливість швидко відключити його за потреби.

Ланцюжки API та автоматизовані конвеєри прийняття рішень також створюють ризик, але управління ідентичністю часто є основним контролем. Якщо ви не можете чітко відповісти, хто такий агент, до чого він може отримати доступ і що він зробив, ви ним насправді не керуєте.

З точки зору ради