Коли еволюціонуючи атаки випереджають старі засоби захисту: чому настав час для проактивної безпеки на основі штучного інтелекту

Якщо ви зараз працюєте десь поруч із безпекою, ви, ймовірно, відчуваєте, що завжди наздоганяєте. У новинах з'являється нове порушення безпеки, нова історія про програму-вимагача та ще один хитрий трюк, якого захисники не передбачали. Водночас значна частина захисту все ще спирається на ідеї зі старого Інтернету, де мережі мали чіткі кордони, а зловмисники рухалися повільніше.

Цифри показують, що це не просто відчуття. Останні Вартість звіту IBM про витік даних За даними експертів, середній світовий обсяг витоків даних у 2024 році склав 4.88 мільйона доларів, порівняно з 4.45 мільйона доларів роком раніше. Це 10% зростання є найбільшим з часів пандемії, і воно відбувається навіть попри те, що команди безпеки інвестують більше в інструменти та персонал.

Команда Звіт Verizon про розслідування витоку даних У звіті за 2024 рік розглядається понад 30 000 інцидентів та понад 10 000 підтверджених порушень. У ньому підкреслюється, як зловмисники покладаються на викрадені облікові дані, експлойти веб-додатків та соціальні дії, такі як передавання даних, а також зазначається, що організаціям потрібно в середньому близько 55 днів, щоб виправити лише половину своїх критичних вразливостей після випуску патчів. Ці 55 днів – дуже комфортне вікно для зловмисника, який постійно сканує.

У Європі Ландшафт загроз ENISA Звіт за 2023 рік також вказує на сильне поєднання програм-вимагачів, відмови в обслуговуванні, атак у ланцюгах поставок та соціальної інженерії. В іншому дослідженні ENISA, присвяченому інцидентам у ланцюгах поставок, було оцінено, що у 2021 році таких атак, ймовірно, було в чотири рази більше, ніж у 2020 році, і що ця тенденція продовжує зростати. 

Отже, картина проста, але неприємна. Порушення безпеки стають дедалі поширенішими, дорожчими та складнішими, навіть попри вдосконалення інструментів. Щось структурне не так у тому, як багато організацій досі захищаються.

Чому класична модель безпеки відстає

Довгий час уявлення про кіберзахист було простим. У вас була чітка ситуація всередині та зовні. Ви б побудували надійний периметр з брандмауерами та фільтрами. Ви б розгорнули антивірус на кінцевих точках та шукали відомі погані сигнатури. Ви б налаштовували правила, стежили за сповіщеннями та реагували б, коли щось очевидне спрацьовує.

Ця модель має три великі проблеми в сучасному світі.

По-перше, периметр практично зник. Люди працюють звідусіль на різних пристроях, як керованих, так і некерованих. Дані зберігаються на публічних хмарних платформах та в інструментах програмного забезпечення як послуги. Партнери та постачальники підключаються безпосередньо до внутрішніх систем. Звіти, такі як дослідження ланцюга поставок ENISA, показують, як часто вторгнення зараз починаються через довіреного партнера або оновлення програмного забезпечення, а не через пряму фронтальну атаку на центральний сервер.

По-друге, зосередження на відомих сигнатурах залишає величезну сліпу зону. Сучасні зловмисники поєднують користувацьке програмне забезпечення з тим, що захисники називають «живучи за рахунок землі». Вони спираються на вбудовані інструменти сценаріїв, агенти віддаленого керування та щоденні адміністративні дії. Кожен крок, розгляданий окремо, може здаватися нешкідливим. Простий підхід на основі сигнатур не бачить загальної закономірності, особливо коли зловмисники змінюють дрібні деталі в кожній кампанії.

По-третє, люди перевантажені. Звіт Verizon показує, що експлуатація вразливостей зараз є основним шляхом проникнення в мережі, і що багато організацій мають труднощі з достатньо швидким встановленням виправлень. Дослідження IBM додає, що тривалий час виявлення та стримування є основною причиною зростання витрат на порушення. Аналітики сидять під горою сповіщень, журналів та ручного сортування, тоді як зловмисники автоматизують роботу настільки, наскільки це можливо.

Отже, є зловмисники, які працюють швидше та автоматизованіше, та захисники, які все ще значною мірою покладаються на ручне розслідування та старі шаблони. Цю прогалину заповнює штучний інтелект.

Зловмисники вже сприймають ШІ як товариша по команді

Коли люди говорять про штучний інтелект у сфері безпеки, вони часто уявляють собі захисні інструменти, які допомагають викривати зловмисників. Насправді ж зловмисники так само охоче використовують штучний інтелект для полегшення своєї роботи.

Команда Microsoft Digital Defense Report У статті «2025» описано, як підтримувані державою групи використовують штучний інтелект для створення синтетичних медіа, автоматизації частин кампаній зі вторгнення та масштабування операцій впливу. Окрема стаття Огляд розвідки загроз Microsoft від Associated Press повідомляє, що з середини 2024 року до середини 2025 року кількість інцидентів, пов'язаних з фейковим контентом, створеним штучним інтелектом, зросла до понад 200, що більш ніж удвічі більше, ніж роком раніше, і приблизно в 10 разів більше, ніж у 2023 році.

На практиці це виглядає як фішингові повідомлення, які читаються так, ніби їх написав носій мови, будь-якою мовою. Це схоже на дипфейкові аудіо та відео, які допомагають зловмисникам видавати себе за керівників вищої ланки або довірених партнерів. Схоже, що системи штучного інтелекту сортують величезні обсяги викрадених даних, щоб знайти найцінніші деталі вашого середовища, ваших співробітників та третіх сторін.

Недавній Стаття Financial Times про агентний ШІ в кібератаках навіть описує значною мірою автономну шпигунську операцію, де агент кодування на основі штучного інтелекту виконував більшість кроків від розвідки до вилучення даних з обмеженим людським втручанням. Як би ви не ставилися до цього конкретного випадку, напрямок руху зрозумілий. Зловмисники цілком із задоволенням дозволять штучному інтелекту займатися нудними частинами роботи.

Якщо зловмисники використовують штучний інтелект для швидшого пересування, кращого злиття з навколишньою обстановкою та ураження більшої кількості цілей, то захисники не можуть очікувати, що традиційних інструментів периметра та ручного сортування за тривогами буде достатньо. Ви або залучаєте аналогічний інтелект до свого захисту, або розрив продовжує збільшуватися.

Від реактивної оборони до проактивного мислення в галузі безпеки

Перший справжній зсув не технічний; він ментальний.

Реактивна позиція побудована на ідеї, що ви можете чекати на явні ознаки проблем, а потім реагувати. Виявляється новий бінарний файл. Спрацьовує сповіщення, оскільки трафік відповідає відомому шаблону. Обліковий запис демонструє явні ознаки компрометації. Команда втручається, досліджує, очищає та, можливо, оновлює правило, щоб запобігти повторній роботі саме цього шаблону.

У світі з повільними та рідкісними атаками це може бути нормально. У світі з постійними зондуваннями, швидкоплинними експлуатаційними операціями та кампаніями, що підтримуються штучним інтелектом, вже занадто пізно. На момент спрацьовування простого правила зловмисники часто вже досліджують вашу мережу, торкаються конфіденційних даних та підготовлюють резервні шляхи.

Проактивна позиція починається з іншого місця. Вона передбачає, що вас постійно торкається ворожий трафік. Вона передбачає, що деякі засоби контролю не спрацюють. Вона дбає про те, як швидко ви помічаєте незвичайну поведінку, як швидко ви можете її стримувати та наскільки послідовно ви вчитеся з неї. У цьому контексті основні питання стають дуже практичними.

• Чи маєте ви постійний доступ до своїх ключових систем, ідентифікаційних даних та сховищ даних?

• Чи можете ви помітити невеликі відхилення від нормальної поведінки, а не лише відомі погані сигнатури?

• Чи можете ви пов'язати це розуміння зі швидкими, повторюваними діями, не виснажуючи свою команду?

Штучний інтелект сам по собі не є рішенням, але він є потужним способом відповісти на ці питання в масштабах, яких вимагають сучасні середовища.

Як виглядає кібербезпека на основі штучного інтелекту

Штучний інтелект допомагає вам перейти від простого «так» чи «ні» уявлення про загрози до більш повної картини, що базується на поведінці. З боку виявлення, моделі можуть відстежувати активність ідентифікації, телеметрію кінцевих точок та мережеві потоки, а також вивчати, що виглядає нормальним для вашого середовища. Замість того, щоб лише блокувати відомий шкідливий файл, вони можуть піднімати прапорець, коли обліковий запис входить з незвичного місця в незвичний час, переходить до системи, до якої він ніколи раніше не торкався, а потім починає переміщувати великі обсяги даних. Кожну окрему подію можна легко пропустити. Ця комбінована закономірність цікава.

Що стосується виявлення ризиків, інструменти на основі штучного інтелекту можуть відобразити реальну поверхню вашої атаки. Вони можуть сканувати облікові записи публічної хмари, сервіси з доступом до Інтернету та внутрішні мережі, щоб знайти забуті тестові системи, неправильно налаштоване сховище та виявлені адміністративні панелі. Вони можуть групувати ці висновки в практичні історії ризиків, а не в сирі списки. Це особливо важливо, оскільки тіньовий ШІ зростає всередині організацій, коли команди створюють власні моделі та інструменти без централізованого нагляду, тенденція, яку IBM відзначає у своїх нещодавніх дослідженнях. Вартість порушення даних робота як зона серйозного ризику. 

Щодо реагування, штучний інтелект може допомогти вам діяти швидше та послідовніше. Деякі центри операцій безпеки вже використовують системи на основі штучного інтелекту для рекомендацій щодо заходів стримування в режимі реального часу та узагальнення тривалих термінів розслідування для аналітиків-людей. Агентство США з кібербезпеки та безпеки інфраструктури описує кілька таких застосувань у своїй ресурси штучного інтелекту, що демонструє, як штучний інтелект може допомогти виявляти незвичайну мережеву активність та аналізувати великі потоки даних про загрози у федеральних системах.

Ніщо з цього не усуває потреби в людській оцінці. Натомість, ШІ стає множником сили. Він бере на себе постійне спостереження, виявлення закономірностей та частину раннього сортування, щоб захисники-люди могли витрачати більше часу на глибоке розслідування та складні питання дизайну, такі як стратегія ідентифікації та сегментація.

Як почати рухатися в цьому напрямку

Якщо ви відповідаєте за безпеку, все це може здатися масштабним та абстрактним. Гарна новина полягає в тому, що перехід від реактивного до проактивного зазвичай починається з кількох обґрунтованих кроків, а не з гігантської трансформації.

Перший крок – упорядкувати потоки даних. Штучний інтелект корисний лише настільки, наскільки корисні сигнали, які він може бачити. Якщо ваш постачальник ідентифікації, інструменти кінцевих точок, мережеві елементи керування та хмарні платформи надсилають журнали в окремі сховища, кожна модель матиме сліпі зони, а зловмисники – схованки. Інвестування в централізоване відображення вашої найважливішої телеметрії рідко буває привабливим, але саме це є основою, яка робить можливою змістовну підтримку ШІ.

Другий крок — вибрати конкретні варіанти використання, а не намагатися впровадити ШІ всюди. Багато команд починають з аналітики поведінки облікових записів користувачів, виявлення аномалій у хмарних середовищах або розумнішого виявлення електронної пошти та фішингу. Мета полягає у виборі сфер, де ви вже знаєте про ризик і де розпізнавання шаблонів у великих наборах даних може явно допомогти.

Третій крок — поєднати кожен новий інструмент на базі штучного інтелекту з чітким набором обмежень. Це включає визначення того, що модель може робити самостійно, що завжди має залучати людину, і як ви будете вимірювати, чи є система чесною та корисною з часом. Тут мислення в Структура штучного інтелекту NIST а рекомендації таких агентств, як CISA, можуть позбавити вас необхідності самостійно все перевинаходити.

Чому проактивна безпека на базі штучного інтелекту не може чекати

Кібератаки перетворюються на щось ближче до постійної фонової ситуації, ніж до рідкісної надзвичайної ситуації, і зловмисники дуже раді дозволити штучному інтелекту виконувати за них значну частину важкої роботи. Вартість зростає, точки входу множаться, а інструменти на боці зловмисника з кожним роком стають розумнішими. Реактивна модель, яка чекає на гучні сповіщення, а потім реагує, просто не створена для такого світу.

Проактивна позиція, заснована на штучному інтелекті, полягає не стільки в гонитві за яскравим трендом, скільки в тихій, невиразній роботі з упорядкування даних, додавання поведінкової аналітики та встановлення чітких бар'єрів навколо нових систем штучного інтелекту, щоб вони допомагали вашим захисникам, а не дивували їх. Розрив між зловмисниками та захисниками реальний, але він не виправлений, і вибір, який ви робите зараз щодо того, як використовувати штучний інтелект у своєму стеку безпеки, визначить, яка сторона рухатиметься швидше протягом наступних кількох років.