В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный сюжетом рассказа Дика Стивен Спилберг снял одноименный фильм. В рассказе описывается мир, в котором существует система "Прекрайм" (Precrime), которая с помощью трёх мутантов-"прекогов" (предвидящих) может предсказывать убийства ещё до их совершения. Полиция арестовывает будущих преступников на основе этих предсказаний, не давая им совершить преступление. Доказательством эффективности такой системы считают отсутствие убийств за последние несколько лет. Главный герой оказывается обвинённым в будущем убийстве человека, о котором он никогда не слышал, и вынужден бежать, пытаясь доказать свою невиновность.
Уже в наше время, где-то с 2023, от Gartner-а все чаще слышится термин "Preemptive Cyber Defense". В частности, про это в 2024 году был выпущен документ "Emerging Tech: Top Use Cases in Preemptive Cyber Defense".
Ключевые моменты этой концепции:
- Сдвиг от реактивной к превентивной защите - современные инструменты SOC реагируют на угрозы постфактум, а упреждающая защита использует предиктивную аналитику, ИИ и автоматизацию для выявления угроз до эксплуатации уязвимостей
- Ключевые технологии превентивной защиты - все, что мы любим: Расширенная аналитика угроз (Threat Intelligence Platforms), Attack Surface Management (ASM), Автономные системы киберзащиты (AI-driven SOAR/XDR), контекстно-зависимая безопасность (Zero Trust и UEBA)
Ключевые сценарии:
- Прогнозирование атак с помощью ИИ – анализ поведения злоумышленников и предсказание их следующих шагов
- Автоматическое исправление уязвимостей – установка исправлений и изменение конфигурации до эксплуатации
- Дезинформация и ловушки для злоумышленников (honeypots, honeytokens, deception и т.п.)
- Пресечение атак на ранних стадиях, например, блокировка фишинговых кампаний до их запуска
Gartner подчеркивает, что будущее кибербезопасности – в предугадывании атак, а не в борьбе с последствиями, что организации должны внедрять технологии, которые позволяют нейтрализовать угрозы до того, как они будут реализованы .
Много слов, но давайте рзбираться!
Для того, чтобы нам отличить вредоносное поведение от легитимного, оно должно проявиться, т.е. атакующие уже должны начать генерить такую цепочку техник, которая может быть идентифицирована как вредоносная. Если наша упреждающая безопасность блокирует атакующего еще до того, как он начал генерить вредоносноую цепочку (интересно, на каком основании мы считаем его атакующим?), то мы повторяем успех героев антиутопических произведений, и наплевав на презумпцию невиновности.
Ну а если мы блокируем атаку на ранних стадиях, до того, как атакующий начал наносить нам ущерб, то это ничем не отличается от того, что мы уже которое десятилетие делаем. Сюда же относятся все сценарии, пришедшие из TI, типа, обнаружение продажи аккаунтов в дарквебе означает, что аккаунты скопрометированы и их аутентификационные данные надо сменить и т.п.
В общем, все это выглядит со стороны уважаемого Gartner-а как генерация идей с помощью ИИ, что приводит к новым терминам для уже существующих явлений.
