Коли атаки еволюціонують швидше, ніж застарілі системи захисту: чому настав час для проактивної безпеки штучного інтелекту

Якщо ви працюєте в сфері безпеки, вам, ймовірно, здається, що ви завжди відстаєте. У новинах з’являється нова інформація про порушення безпеки, свіжі історії про вимагання викупу та ще одну хитру шутку, якої захисники не могли передбачити. Одночасно багато засобів захисту все ще спираються на ідеї старого Інтернету, де мережі мали чіткі кордони, а нападники рухалися повільніше.

Цифри свідчать про те, що це не просто відчуття. Останній IBM Cost of a Data Breach Report ставить середню вартість порушення безпеки у світі на рівні 4,88 мільйона доларів у 2024 році, що на 10% більше, ніж у попередньому році. Це зростання є найбільшим з часів пандемії, і воно відбувається навіть незважаючи на те, що команди з безпеки вкладають більше коштів у інструменти та штат.

Звіт Verizon Data Breach Investigations Report за 2024 рік розглядає понад 30 000 інцидентів та понад 10 000 підтверджених порушень безпеки. Він підкреслює, як нападники використовують викрадені облікові дані, експлойти веб-додатків та соціальні дії, такі як пре-текстінг, і відзначає, що організації витрачають у середньому близько 55 днів на виправлення лише половини критичних уразливостей після виходу патчів. Ці 55 днів є досить комфортним вікном для нападника, який постійно сканує.

У Європі звіт ENISA Threat Landscape за 2023 рік також вказує на велику кількість випадків вимагання викупу, відмова у наданні послуг, атаки на ланцюжки постачання та соціальної інженерії. Інше дослідження ENISA, присвячене інцидентам з ланцюжками постачання, оцінює, що таких атак у 2021 році було у чотири рази більше, ніж у 2020 році, і що ця тенденція продовжується. 

Таким чином, картина проста, але незручна. Порушення безпеки стають все більш поширеними, дорогими та складними, навіть незважаючи на те, що засоби захисту покращуються. Щось структуроване не так у тому, як багато організацій все ще захищають себе.

Чому класична модель безпеки відстає

Тривалий час наша умова про кібербезпеку була простою. У вас був чіткий внутрішній та зовнішній простір. Ви будували сильний периметр із брандмауерами та фільтрами. Ви розгортали антивірусні програми на кінцевих пристроях та шукали відомі шкідливі підписи. Ви налаштували правила, спостерігали за сигналами та реагували, коли щось очевидне спрацьовувало.

Ця модель має три великі проблеми у сучасному світі.

По-перше, периметр майже зник. Люди працюють з будь-якого місця на змішаних керованих та некерованих пристроях. Дані розміщені на публічних хмарних платформах та інструментах програмного забезпечення як послуги. Партнери та постачальники підключаються безпосередньо до внутрішніх систем. Звіти, такі як дослідження ланцюжків постачання ENISA, показують, як часто порушення починаються через довіреного партнера або оновлення програмного забезпечення, а не через прямий фронтальний напад на центральний сервер.

По-друге, акцент на відомих підписах залишає велику сліпу пляму. Сучасні нападники змішують спеціальне шкідливе програмне забезпечення з тим, що захисники називають життям на чужій території. Вони спираються на вбудовані інструменти скриптів, агенти віддаленого управління та звичайні адміністративні дії. Кожен крок, розглянутий окремо, може виглядати безневинним. Простий підхід, заснований на підписах, не бачить більшої картини, особливо коли нападники змінюють дрібні деталі в кожній кампанії.

По-третє, люди перевантажені. Звіт Verizon показує, що експлуатація уразливостей тепер є одним із основних способів проникнення у мережі, і що багато організацій борються з тим, щоб застосовувати патчі достатньо швидко. Дослідження IBM додає, що тривалі часи виявлення та ізоляції є однією з основних причин зростання витрат на порушення безпеки. Аналітики сидять під гірою сигналів, журналів та ручної тріажі, тоді як нападники автоматизують якомога більше.

Таким чином, у вас є нападники, які рухаються швидше та автоматизовані, і захисники, які все ще спираються сильно на ручне розслідування та старі закономірності. У цей розрив вступає штучний інтелект.

Нападники вже вважають штучний інтелект своїм партнером

Коли люди говорять про штучний інтелект у сфері безпеки, вони часто уявляють собі оборонні інструменти, які допомагають впіймати злих акторів. Реальність полягає в тому, що нападники також дуже хочуть використовувати штучний інтелект, щоб зробити свою роботу легшою.

Звіт Microsoft Digital Defense Report 2025 описує, як державні групи використовують штучний інтелект для створення синтетичних медіа, автоматизації частин кампаній проникнення та масштабування операцій впливу. Окремий Associated Press summary of Microsoft threat intelligence повідомляє, що з середини 2024 року до середини 2025 року кількість інцидентів, пов’язаних з штучним інтелектом, зросла до понад 200, що у два рази більше, ніж у попередньому році, і майже у десять разів більше, ніж у 2023 році.

На практиці це виглядає як фішингові повідомлення, які виглядають так, як ніби їх написав рідний мовець, будь-якою мовою. Це виглядає як глибокі фальшивки аудіо та відео, які допомагають нападникам видавати себе за старших керівників або довірених партнерів. Це виглядає так, як ніби системи штучного інтелекту сортують величезні об’єми вкрадених даних, щоб знайти найцінніші деталі вашої середовища, вашого персоналу та ваших третіх сторін.

Недавній Financial Times piece on agentic AI in cyberattacks навіть описує майже автономну операцію розвідки, де агент кодування штучного інтелекту обробляв більшість кроків від розвідки до витягування даних з обмеженим людським втручанням. Однак, як би ви не ставилися до цього конкретного випадку, напрямок руху ясний. Нападники дуже раді дозволити штучному інтелекту обробляти нудні частини роботи.

Якщо нападники використовують штучний інтелект, щоб рухатися швидше, краще маскуватися та вражати більше цілей, то захисники не можуть очікувати, що традиційні засоби захисту периметру та ручна тріаж сигналів будуть достатніми. Ви або вводите подібний інтелект у свою оборону, або розрив продовжує зростати.

Від реактивної оборони до проактивної безпеки

Перший справжній зсув не є технічним; це ментальний.

Реактивна позиція будується навколо ідеї, що ви можете чекати явних ознак проблем, а потім реагувати. Новий бінарний код виявляється. Сигнал спрацьовує, оскільки трафік відповідає відомому шаблону. Обліковий запис показує явний знак компрометації. Команда вступає у дію, розслідує, очищає та, можливо, оновлює правило, щоб запобігти тому самому шаблону в майбутньому.

У світі з повільними та рідкісними атаками це може бути нормально. У світі з постійними зондуваннями, швидкими експлуатаціями та кампаніями, підтримуваними штучним інтелектом, це вже запізно. До того часу, як просте правило спрацьовує, нападники часто已经 дослідили вашу мережу, торкнулися чутливої інформації та підготували запасні шляхи.

Проактивна позиція починається з іншого місця. Вона припускає, що ви завжди торкаєтеся ворожого трафіку. Вона припускає, що деякі засоби захисту можуть зазнати невдачі. Їй важливо, як швидко ви помітите незвичайну поведінку, як швидко ви можете її ізолювати та як послідовно ви будете вивчати її. У цьому контексті основні питання стають дуже практичними.

• Чи маєте ви безперервну видимість своїх ключових систем, облікових даних та сховищ даних?

• Чи можете ви помітити дрібні відхилення від нормальної поведінки, а не тільки відомі шкідливі підписи?

• Чи можете ви пов’язати цю інформацію з швидкими, повторюваними діями без спалювання вашої команди?

Штучний інтелект не є сам по собі рішенням, але він є потужним засобом для відповіді на ці питання у масштабі, який сучасні середовища вимагають.

Як виглядає проактивна позиція безпеки штучного інтелекту

Штучний інтелект допомагає вам перейти від простого да або ні погляду на загрози до багатшої, поведінкової картини. На стороні виявлення моделі можуть спостерігати діяльність облікових даних, телеметрію кінцевих пристроїв та потоки мережі та вивчити, що виглядає нормально для вашого середовища. Замість того, щоб блокувати тільки відомі шкідливі файли, вони можуть підняти прапор, коли обліковий запис реєструється з незвичайного місця в незвичайний час, переходить до системи, якої він ніколи не торкався раніше, та потім починає переміщувати великі об’єми даних. Кожна окрема подія може бути легко проігнорована. Комбінована картина є цікавою.

На стороні уразливості інструменти, підтримувані штучним інтелектом, можуть створити карту вашої реальної поверхні атаки. Вони можуть сканувати публічні хмарні облікові дані, інтернет-сервіси та внутрішні мережі, щоб знайти забуті тестові системи, неправильно налаштоване сховище та відкриті панелі адміністратора. Вони можуть згрупувати ці результати у практичні історії ризику замість сирого списку. Це особливо важливо, оскільки тіньовий штучний інтелект зростає всередині організацій, з командами, які запускають свої власні моделі та інструменти без центрального нагляду, тенденцію, яку IBM називає серйозною зоною ризику у своїй більш недавній Cost of a Data Breach роботі. 

На стороні реакції штучний інтелект може допомогти вам діяти швидше та більш послідовно. Деякі центри операцій безпеки вже використовують системи, підтримувані штучним інтелектом, щоб рекомендувати кроки ізоляції в реальному часі та підсумовувати тривалі розслідування для людських аналітиків. Агентство кібербезпеки та інфраструктури США описує кілька таких випадків у своїх ресурсах штучного інтелекту, показуючи, як штучний інтелект може допомогти виявити незвичайну мережеву діяльність та проаналізувати великі потоки даних про загрози по всім федеральним системам.

Нічого з цього не усуває потребу в людській оцінці. Замість цього штучний інтелект стає множником сили. Він бере на себе постійне спостереження, виявлення закономірностей та частину ранньої тріажі, щоб людські захисники могли витратити більше часу на глибоке розслідування та на складні питання дизайну, такі як стратегія ідентифікації та сегментація.

Як почати рухатися в цьому напрямку

Якщо ви відповідаєте за безпеку, все це може звучати велико та абстрактно. Добра новина полягає в тому, що зсув від реактивної до проактивної безпеки зазвичай починається з кількох ґрунтовних кроків, а не з гігантської трансформації.

Перший крок полягає в тому, щоб привести свої потоки даних у порядок. Штучний інтелект є тільки так корисним, як сигнали, які він може бачити. Якщо ваш постачальник ідентифікації, інструменти кінцевих пристроїв, засоби контролю мережі та хмарні платформи всі відправляють журнали в окремі сховища, кожна модель буде мати сліпі плями, а нападники матимуть місця, де можна сховатися. Інвестиції у центральний погляд на вашу найбільш важливу телеметрію рідко є привабливими, але це фундамент, який робить можливим значущу підтримку штучним інтелектом.

Другий крок полягає в тому, щоб вибрати конкретні випадки використання, а не намагатися посипати штучний інтелект всюди. Багато команд починають з поведінкової аналітики для облікових даних користувачів, виявлення аномалій у хмарних середовищах або розумнішої детекції електронної пошти та фішингу. Метою є вибрати області, де ви вже знаєте, що маєте ризик, і де розпізнавання закономірностей по великим наборам даних може явно допомогти.

Третій крок полягає в тому, щоб поєднати кожний новий інструмент, підтримуваний штучним інтелектом, з явним набором обмежень. Це включає визначення того, що модель дозволена робити самостійно, що завжди повинно включати людину, та як ви будете вимірювати, чи система чесна та корисна з часом. Тут думка у рамці штучного інтелекту NIST та керівництві з агентствами, такими як CISA, можуть врятувати вас від повторної винаходу всього.

Чому проактивна безпека штучного інтелекту не може чекати

Кібератаки перетворюються на щось ближче до постійної фонової умови, ніж на рідку надзвичайну ситуацію, і нападники дуже раді дозволити штучному інтелекту виконувати більшу частину важкої роботи за них. Вартість зростає, точки входу множаться, а інструменти на стороні нападника стають розумнішими кожен рік. Реактивна модель, яка чекає гучних сигналів та потім поспішає, просто не створена для цього світу.

Проактивна позиція безпеки штучного інтелекту менше про те, щоб гнатися за модною тенденцією, та більше про виконання тихої, непоказної роботи з приведення даних у порядок, додавання поведінкової інсайту та встановлення чітких обмежень навколо нових систем штучного інтелекту, щоб вони допомагали вашим захисникам, а не здивовували їх. Розрив між нападниками та захисниками є реальним, але він не фіксований, і вибір, який ви робите зараз про те, як ви використовуєте штучний інтелект у своєму стеку безпеки, вирішить, яка сторона рухається швидше протягом наступних кількох років.