Connect with us

Марк Ніколсон, лідер кібербезпеки Deloitte у США – Інтерв’ю: Повернення до розмови

Інтерв’ю

Марк Ніколсон, лідер кібербезпеки Deloitte у США – Інтерв’ю: Повернення до розмови

mm
Published
Updated

Марк Ніколсон, лідер кібербезпеки Deloitte у США, є керівником у Deloitte з більш ніж двома десятилітнями досвіду на перетині кібербезпеки, штучного інтелекту та ризиків підприємств. Він очолює ініціативи з кібербезпеки штучного інтелекту та комерційну стратегію практики кібербезпеки Deloitte, допомагаючи великим організаціям модернізувати свої безпекові рамки та вирівнювати інвестиції у кібербезпеку з динамічними ризиками. До Deloitte він був співзасновником і виконавчим директором компанії Vigilant, Inc., компанії з інформаційної безпеки, що спеціалізується на загрозах інтелекту та моніторингу шкідливих подій. Його попередня кар’єра у сфері продажів та бізнес-розробки у декількох технологічних компаніях забезпечила сильну основу як у технічних, так і у комерційних аспектах кібербезпеки.

Deloitte є однією з найбільших професійних послугових компаній світу, яка пропонує аудит, консалтинг, податкові та консультативні послуги організаціям майже у кожній галузі. Її практика кібербезпеки зосереджена на допомозі підприємствам орієнтуватися у все більш складному середовищі загроз, одночасно забезпечуючи цифрову трансформацію за допомогою технологій, таких як штучний інтелект. Компанія пропонує послуги, що охоплюють стратегію кібербезпеки, стійкість, управління ризиками та безпеку підприємств, позиціонуючи кібербезпеку як захисну функцію та стратегічний драйвер інновацій та зростання.

Це інтерв’ю є продовженням попереднього інтерв’ю, яке було опубліковано у 2025 році.

Ви були залучені до кібербезпеки з ранніх днів модерного моніторингу загроз, включаючи співзаснування Vigilant та допомогу у впровадженні ранніх можливостей SIEM та загрозної розвідки на ринку. Як еволюція від тих ранніх систем моніторингу до сучасних платформ кібербезпеки, керованих штучним інтелектом, змінила спосіб, у який організації виявляють та реагують на загрози?

Коли ми вперше почали будувати платформи моніторингу у ранні дні SIEM, основною проблемою було отримання даних у одному місці та надання їм сенсу. Я пам’ятаю, коли аналітики друкували журнали брандмауера кожного ранку та ручним чином переглядали їх, щоб знайти аномалії. Навіть коли SIEM дозріла, була проблема масштабу. Людська швидкість не могла впоратися з величезною кількістю виявлених подій. Незважаючи на використання автоматизації, кібербезпекові захисники все ще мали проблему кореляції даних та аналізу, постійно працюючи над створенням нових правил, часто у відповідь на моніторингові невдачі.

Одна з надій полягає в тому, що штучний інтелект змінить цю динаміку фундаментальним чином. За допомогою агентських можливостей для автоматизації рівня 1 безпеки операцій штучний інтелект обіцяє допомогти перейти від виявлення та реагування “після факту” до моменту, коли це відбувається, використовуючи динамічну настройку алгоритмів моніторингу. У деяких випадках кібербезпекові організації також будуть комфортно відчувати себе, коли штучний інтелект ініціює дії з ліквідації.

Але складна частина не зникає, а зміщується. Коли системи стають більш автономними та складними, довіра та спостережливість стають полем битви: Що робить система, чому вона це робить, і як ми знаємо, що її не маніпулювали? Можливість штучного інтелекту величезна, але вона також підвищує ставки, коли середовище працює з швидкістю машини.

Ви зазначили, що штучний інтелект дозволяє противникам автоматизувати розвідку, генерувати експлойти та прискорювати цикли атак. У практичному сенсі, наскільки штучний інтелект стиснув час між відкриттям уразливості та її експлуатацією?

Історично існував вікно між відкриттям уразливості та її експлуатацією. Була певна терміновість, але зазвичай, якщо ви не були вражені нульовим днем, був час, щоб зрозуміти загрозу, виправити та пом’якшити до того, як противник міг розгорнути експлойти у великому масштабі. Штучний інтелект майже ліквідував це вікно.

Противники можуть автоматизувати розвідку, безперервно сканувати на предмет вразливості та використовувати інструменти, підкріплені штучним інтелектом, для прискорення частини розробки експлойтів та націлювання. У багатьох випадках те, що раніше розігрувалося протягом тижнів, тепер може стиснутися до годин, а у високоавтоматизованих сценаріях це може бути швидше, ніж більшість програм безпеки можуть впоратися.

Висновок простий: команди з кібербезпеки потребують автоматизації та штучного інтелекту на стороні захисту, у поєднанні з сильними контролями, якщо вони хочуть залишатися на рівні.

Команди з кібербезпеки все частіше переходять від моделей “людина у циклі” до моделей нагляду “людина на циклі”. Як виглядає цей перехід операційно всередині сучасного Центру операцій з безпеки (SOC), і як організації повинні переосмислити ролі аналітиків, коли штучний інтелект бере на себе більш автономні завдання?

У традиційному SOC аналітики сидять у центрі кожного рішення. Сповіщення надходять, аналітики тріажують їх, розслідують їх та визначають, які дії слід вирішити. Такий підхід працював, коли обсяг сповіщень та темп атак були керованими. Але у сучасному середовищі масштаб діяльності просто надто великий для людей, щоб вони могли діяти як ворота для кожного рішення.

Перехід до нагляду “людина на циклі” означає, що системи штучного інтелекту можуть виконувати багато рутинних завдань, які раніше виконували аналітики, таких як тріаж сповіщень, збір контексту, кореляція даних та виконання певних дій з ліквідації. Роль людини стає наглядом та валідациєю, а не ручною виконавчою.

Операційно це зсуває час аналітиків від “тертя сповіщень” до більш цінної роботи, chẳng hạn як полювання на загрози, інженерія виявлення, симуляція противника та поліпшення захисної архітектури. Люди залишаються важливими, але їх роль еволюціонує до нагляду, судження та стратегії, а не виконання ролі основного процесора даних безпеки.

Ми чуємо багато про “Безпеку штучного інтелекту за проектом”. З вашої точки зору, чому ця концепція повинна розширитися за межі безпеки моделі до систем ідентифікації, архітектури дозволів та шарів оркестрації?

Багато дискусій про безпеку штучного інтелекту зосереджені в основному на самій моделі, наприклад, захисту даних навчання, попередження отруєння моделі або захисту від атак ін’єкції запиту. Це реальні питання, але вони становлять лише частину ризику.

На практиці системи штучного інтелекту працюють як частина великих цифрових екосистем. Вони отримують доступ до даних, взаємодіють з API, запускають робочі процеси та все частіше працюють через агентів, які можуть діяти з певним ступенем автономії.

Коли це відбувається, ідентифікація та дозволи стають контрольною площиною. Агенти штучного інтелекту є ефективно новими цифровими ідентифікаціями всередині підприємства. Якщо ці ідентифікації не керуються належним чином, вони можуть вводити значні ризики.

Безпека штучного інтелекту за проектом повинна розширитися на управління ідентифікацією, контроль доступу, шари оркестрації та системи моніторингу, які відстежують дії цих агентів. Організації повинні ставитися до агентів штучного інтелекту так само, як до людей, з визначеними дозволами, аудитом та наглядом, інакше поверхня атаки розширюється швидко.

Багато підприємств накладають інструменти штучного інтелекту на традиційні робочі потоки безпеки, які були розроблені для людської швидкості. Які найбільші архітектурні зміни організації повинні зробити, щоб скористатися штучним інтелектом у кібербезпеці?

Поширений шаблон – накласти штучний інтелект на спадкові процеси та робочі потоки, які були розроблені для людських операцій. Це не поганий перший підхід, особливо з появою комп’ютерного зору. Наприклад, Deloitte створив агента, який може бути навчений замінити людину у процесі управління ідентифікацією та адміністрацією без викинення існуючих спеціальних програмних рішень, які були б складними для виведення з експлуатації. Це може забезпечити драматичні економії.

Будуща вигода полягає в тому, що підприємства, ймовірно, почнуть переосмислювати робочі потоки безпеки з кінця в кінець: модернізувати основу даних, щоб інструменти безпеки могли надійно отримувати доступ до високоякісних, добре структурованих телеметричних даних; будувати оркестрацію, щоб функції виявлення, реагування та ідентифікації працювали як координована система, а не відключені інструменти.

Ідентифікація залишається однією з найкритичніших контролів. Коли вводяться більше автоматизації та агентів штучного інтелекту, кількість нелюдських ідентифікацій зростає суттєво. Ефективне управління цими ідентифікаціями стає важливим для підтримання контролю.

Безпека, родина штучного інтелекту, в кінцевому підсумку є сумішшю кращих даних, кращої оркестрації та управління, яке враховує як людських, так і машинних акторів.

Когда штучний інтелект стає більш автономним, поверхня атаки розширюється на області, такі як оркестрація агентів, ланцюги API та автоматизовані рішення. Яка з цих нових поверхонь вас турбує найбільше?

Якщо мені доведеться вибрати одну область, яка заслуговує негайної уваги, це ідентифікація та дозволи доступу до даних всередині систем, керованих агентами.

Когда організації вводять більше агентських штучного інтелекту, вони створюють зростаюче населення автономних акторів, які працюють всередині підприємства. Ці агенти можуть мати доступ до даних, API та робочих процесів, які надзвичайно потужні, і це робить їх привабливим шляхом для противника, якщо дозволи не спроектовані, відстежені та аудитовані суворо. Важливо ставитися до кожного агента, як до нового працівника: назвати його, визначити його, відстежувати його та дозволити йому бути відключеним швидко, якщо це потрібно.

Ланцюги API та автоматизовані рішення також вводять ризик, але управління ідентифікацією часто є основним контролем. Якщо ви не можете чітко відповісти, хто є агентом, до чого він може торкатися та що він зробив, ви не контролюєте його.

З точки зору ради директорів, як зараз керівники та директори думають про кіберризик, керований штучним інтелектом, і де ви бачите найбільшу прогалину між технічною реальністю та розумінням ради?

Ради все частіше усвідомлюють, що хоча штучний інтелект приносить величезну можливість, він також може принести значний ризик. Більшість директорів розуміють, що штучний інтелект формуватиме бізнес-трансформацію, і вони починають ставити питання про управління, безпеку та стійкість.

Прогалина проявляється в тому, що багато розмов ради все ще спираються на традиційні кадри кібербезпеки – які залишаються важливими – але вони не завжди відображають, як швидко загрози, керовані штучним інтелектом, можуть еволюціонувати та масштабуватися.

Інша роз’єднана частина полягає в тому, що “Чи我们的 штучний інтелект безпечний?” звучить як одне питання, але відповідь живе через управління даними, цілісність моделі, управління ідентифікацією та оркестрацію через декілька систем. Ради, які закривають прогалину, тиснуть на звітність, засновану на контролі, яка робить ці рухомі частини видимими та тестируєми, і вкладають час у розвиток компетенцій директорів, щоб нагляд тримався врівні з технологією.

Штучний інтелект все частіше використовується з обох сторін кібервійни. Чи вступаємо ми у постійну гонку озброєння “штучний інтелект проти штучного інтелекту” у сфері кібербезпеки, і якщо так, які переваги мають захисники, яких противники можуть знайти складними для реплікації?

Ми явно перебуваємо в епоху, коли штучний інтелект використовується як захисниками, так і противниками. Протибори вже застосовують штучний інтелект для прискорення розвідки, виявлення уразливостей та автоматизації частини циклу атаки. Але захисники все ще мають реальні переваги, якщо вони вирішать їх використовувати.

Захисники мають видимість у своєму середовищі, доступ до внутрішньої телеметрії та можливість будувати шарові архітектури, які противники повинні пройти. Штучний інтелект може допомогти захисникам аналізувати величезні об’єми даних по мережах, кінцевим точкам та ідентифікаціям, надаючи їм потенціал для виявлення аномального поведінки набагато раніше.

Пастка полягає в тому, що якщо захисники залишаються в ручних робочих потоках, тоді як противники автоматизують, асиметрія стає жорстокою. Гонка озброєння реальна, і переможцями будуть ті, хто розгорне штучний інтелект з сильним управлінням, а не ті, хто просто протестує його.

У вашій роботі з великими підприємствами, які найпоширеніші помилки, які організації роблять, коли намагаються інтегрувати штучний інтелект до своєї стратегії кібербезпеки?

Одна з найпоширеніших помилок, яку ми бачимо, полягає в тому, що організації розглядають штучний інтелект як окремий інструмент, а не як архітектурний зсув. Команди проводять ізольовані експерименти без модернізації основи даних, моделі управління чи операційних процесів, необхідних для підтримки впливу, що призводить до плато в результатах.

Інша помилка полягає в тому, що організації розгортають можливості штучного інтелекту без повного обліку нових ризиків: нових ідентифікацій, нових потоків даних та автоматизованих рішень, які розширюють поверхню атаки. Якщо ці речі прикріплені без належних контролів, штучний інтелект може додати хрупкість замість стійкості.

Нарешті, багато організацій недооцінюють важливість участі робочої сили. Практики, які керують операціями з безпеки щоденно, знають, де є тертя, і що таке “добро”. Найсильніші трансформації залучають ці команди на початку, щоб технологія посилила їхнє судження, а не порушувала його.

Оглядаючись вперед на три-п’ять років, яким виглядатиме центр операцій з безпеки, родина штучного інтелекту, у порівнянні з сучасними середовищами SOC?

Ну, він, ймовірно, буде виглядати дуже інакше у багатьох аспектах, яких я не можу передбачити. Ймовірно, майбутній SOC буде працювати як гібридна людська та цифрова робоча сила. Системи штучного інтелекту будуть обробляти більшу частину даних, кореляції та первинної реакції. Агентські системи допоможуть автоматизувати робочі потоки по управлінню уразливостями, управлінню ідентифікацією, реагуванню на інциденти та безперервному моніторингу контролю.

Людські аналітики залишаються важливими, але центр тяжіння зсувається: нагляд за системами штучного інтелекту, валідування випадків виявлення (а не написання їх), розслідування складних загроз та поліпшення захисної архітектури. Метою не є видалення людей, а скоріше підвищення їхніх ролей. Замість того, щоб витрачати час на тріаж сповіщень та ручне збирання даних, аналітики будуть зосереджені на стратегічних аспектах кібербезпеки. Питання буде: “Як ми тренуватимемо наступне покоління фахівців з безпеки, коли рівень 1 і рівень 2 будуть повністю автоматизовані?” Можливо, відповідь лежить у драматичному поліпшенні технологій симуляції та навчання, яке штучний інтелект може нам допомогти розробити.

Організації, які успішно побудують гібридну робочу силу, поєднуючи людську експертизу з автоматизацією, керованою штучним інтелектом, ймовірно, будуть найкраще позиціоновані для роботи з швидкістю, необхідною у сучасному середовищі загроз.

Дякуємо за велике інтерв’ю, читачам, які бажають дізнатися більше, слід відвідати Deloitte або прочитати наше попереднє інтерв’ю.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.