Компании в сфере кибербезопасности увлеклись ИИ. Разбираемся, где искусственный интеллект является полезным дополнением, а где представляет потенциальные риски. — computerweekly.com
За последний год ажиотаж вокруг искусственного интеллекта (ИИ) достиг новых высот: компании наводнили ИИ-решениями, а руководители стремятся использовать его преобразующий потенциал для стимулирования инноваций и роста. Элли Хёрст, коммерческий директор Advent IM, отмечает, что отделы закупок добавляют ИИ-оговорки, а директора по информационной безопасности (CISO) находятся под давлением «что-то сделать с ИИ». По словам Хёрст, это создает благодатную почву для маркетинга: больше вебинаров, больше белых книг, более смелые заявления и новая волна предложений «мы можем автоматизировать ваш центр управления безопасностью (SOC)». Она также говорит о страхе, неуверенности и сомнениях (FUD), связанных с кибератаками с использованием ИИ. Хотя злоумышленники действительно используют автоматизацию и все чаще применяют ИИ, она считает, что этот риск используется для того, чтобы подтолкнуть ИТ-покупателей к приобретению инструментов, которые еще не доказали свою способность снижать риски в корпоративных ИТ-средах.
Где ИИ имеет смысл для кибербезопасности
Хёрст призывает руководителей ИТ-безопасности, которым представляют так называемые новейшие и лучшие ИИ-улучшения для инструментов безопасности, оценивать, достаточно ли зрелы ИИ-функции конкретного продукта, чтобы помочь их организации, не создавая новых рисков. «Некоторые ИИ-функции действительно экономят время аналитиков или улучшают обнаружение. Другие — не более чем чат-боты, прикрепленные к панелям управления», — говорит она.
По мнению Ричарда Уотсона-Брюна, эксперта по кибербезопасности PA Consulting, инструменты кибербезопасности, предлагающие ИИ-ускорители для помощи ИТ-командам в сокращении времени, затрачиваемого на повторяющиеся рабочие нагрузки, обычно поставляются как дополнения в виде программного обеспечения как услуги (SaaS). Другая категория ИИ-кибербезопасности ориентирована на покупателей, ищущих продукт, соответствующий требованиям корпоративного ИИ. Уотсон-Брюн говорит, что такой тип инструмента является хорошим выбором, когда ИТ-лица, принимающие решения, требуют надежных выходных данных и проверяемых источников, которые могут быть произведены полностью внутри корпоративной сети. «Используйте корпоративный ИИ, когда работа охватывает несколько команд, затрагивает конфиденциальные данные или ваши политики требуют, чтобы он работал одинаково каждый раз», — добавляет он.
Поскольку инструменты кибербезопасности на базе ИИ или с его улучшением теперь кажутся повсюду, Адитья К. Соод, вице-президент по инжинирингу безопасности и ИИ-стратегии Aryaka, говорит, что для CISO задача состоит не только в том, чтобы оценить, принадлежит ли ИИ ИТ-безопасности, но и в том, как выявить практики, которые действительно приносят пользу, когда ИИ продается как часть набора функций в продукте кибербезопасности. Соод призывает CISO и ИТ-покупателей убедиться, что они отличают адекватную ИИ-безопасность от маркетингового ажиотажа. Соод отмечает, что ИИ в кибербезопасности — не новое явление. Машинное обучение (ML) уже более десяти лет лежит в основе спам-фильтров, обнаружения аномалий, анализа поведения пользователей и систем обнаружения мошенничества. Но новым, по его мнению, является появление больших языковых моделей (LLM) и более доступных ИИ-инструментов, которые поставщики программного обеспечения для кибербезопасности быстро добавляют к существующим продуктам. «Этот сдвиг изменил то, как команды безопасности взаимодействуют с данными: сводки вместо необработанных журналов, диалоговые интерфейсы вместо языков запросов и автоматизированные рекомендации вместо статических панелей управления», — говорит он. Хотя это может быть действительно полезно, Соод считает, что это также создает иллюзию интеллекта, даже если фундаментальные основы безопасности не изменились. «Ошибка многих организаций заключается в предположении, что больше ИИ автоматически означает лучшую безопасность. Это не так», — предупреждает он. По опыту Соода, один урок постоянно повторяется: надежная архитектура ИТ-безопасности превосходит функции. «ИИ, прикрепленный к слабой основе безопасности, вас не спасет», — говорит он. «Если идентификация нарушена, управление данными неясно или сетевая видимость фрагментирована, ИИ просто работает на плохих входных данных и дает ненадежные выходные». Соод призывает CISO и ИТ-покупателей учитывать тот факт, что ИИ не заменяет основы хорошей кибербезопасности — он их усиливает.
Наращивание корпоративной основы ИТ-безопасности
Хёрст из Advent IM рекомендует ИТ-покупателям начинать с рассмотрения желаемых результатов и моделей угроз, а не фокусироваться на функциях конкретного продукта. «Привязывайте решения к вашим основным рискам», — говорит она. К ним могут относиться злоупотребление идентификационными данными, программы-вымогатели, утечка данных, раскрытие информации третьими сторонами, операционные технологии и ограничения критически важной национальной инфраструктуры. Хёрст предлагает руководителям ИТ-безопасности определить, какие средства контроля им необходимы, чтобы помочь их организации снизить эти риски и ограничить уязвимость. Большинство организаций имеют небольшое количество повторяющихся проблем, таких как перегрузка оповещениями, медленные расследования инцидентов кибербезопасности, отставание в устранении уязвимостей, пробелы в журналировании, разрастание идентификационных данных, плохая видимость активов, подверженных воздействию Интернета, или соединения с поставщиками, которые они не полностью понимают. «Не покупайте «ИИ-инструмент для кибербезопасности», потому что он звучит умно. Покупайте что-то, потому что это решает реальную проблему, которая у вас уже есть», — говорит она. Вместо того чтобы быть очарованной эффектной демонстрацией возможностей ИИ от поставщика инструментов кибербезопасности, Хёрст рекомендует ИТ-лицам, принимающим решения, сосредоточиться на выявленных областях слабости в стратегии кибербезопасности организации, чтобы принимать решения о наиболее полезной функциональности.
ИИ-агенты в операциях ИТ-безопасности
Аналитическая компания Gartner прогнозирует, что к 2028 году 70% крупных центров управления безопасностью (SOC) протестируют ИИ-агентов для улучшения операций, но только 15% достигнут измеримых улучшений без структурированных оценок. По словам вице-президента Gartner Крейга Лоусона, потенциал ИИ-агентов для преобразования операций безопасности и облегчения рабочей нагрузки реален, но только при подходе с строгостью и оценке с точки зрения результатов. Как Лоусон отметил в недавней статье Computer Weekly, ИИ-агенты могут автоматизировать объемные задачи, что снижает ручную рабочую нагрузку и освобождает аналитиков ИТ-безопасности для сосредоточения на сложных расследованиях и стратегических приоритетах. Эти агенты обеспечивают большую согласованность процессов, устраняя пробелы в навыках, так что даже менее опытные члены команды могут выполнять более сложные задачи на основе коллективных знаний, накопленных ИИ-агентами SOC. Однако он считает, что идея о том, что ИИ-агенты SOC могут полностью заменить человеческий опыт в операциях безопасности, является мифом. «Сегодняшняя реальность — это сотрудничество: ИИ-агенты становятся мощными помощниками, а не автономными заменами. Будущее операций безопасности будет определяться тем, насколько хорошо организации сочетают усиление на базе ИИ с квалифицированным человеческим суждением».
Многочисленные барьеры препятствуют развертыванию ИИ-агентов для ИТ-безопасности. Gartner прогнозирует, что к 2027 году 45% SOC пересмотрят свои решения о покупке или разработке собственных технологий обнаружения на базе ИИ, с акцентом на расширение возможностей аналитиков. Лоусон отмечает, что модели ценообразования могут быть привязаны к использованию или требовать соглашений «принеси свой ИИ», а определенные функции могут быть ограничены или сокращены по мере роста операционного спроса. Кроме того, он говорит, что плохая интероперабельность с существующими инструментами или неэффективность рабочего процесса могут создавать новые силосы в операциях безопасности или требовать дорогостоящей реархитектуры.
Приоритеты при выборе инструментов
Из этих обсуждений ясно, что ИТ-покупатели должны быть осторожны, когда к ним обращаются компании, занимающиеся кибербезопасностью, продающие ИИ-функциональность, и должны избегать технологической зависимости или единой точки отказа. Хёрст рекомендует ИТ-лицам, принимающим решения, убедиться, что у них есть план выхода. «Убедитесь, что вы можете извлечь свои данные, избежать проприетарных черных ящиков и вернуться к предыдущим процессам без шестимесячного проекта по спасению», — говорит она.
Лоусон из Gartner советует ИТ-покупателям уделять первостепенное внимание бесшовной интеграции с существующим стеком технологий SOC организации при оценке продуктов кибербезопасности, предлагающих агентные ИИ-возможности. «Каждая инвестиция должна быть связана с измеримыми результатами, такими как улучшение среднего времени восстановления (MTTR), среднего времени до локализации (MTTC), сокращение ложных срабатываний или рабочей нагрузки аналитиков», — говорит он. Надежная стратегия кибербезопасности не должна полагаться на непроверенные ярлыки, и ИТ-руководители, рассматривающие новую ИИ-функциональность, появляющуюся в инструментах кибербезопасности, должны убедиться, что компании, продающие эти инструменты, способны доказать ценность ИИ-функциональности. Хёрст призывает организации убедиться, что они контролируют данные, используемые ИИ-инструментами. Она рекомендует, чтобы решения, принимаемые этими ИИ-инструментами, были объяснимыми. «Держите людей в процессе, пока доверие не будет заслужено», — говорит она. В целом, эти ИИ-инструменты кибербезопасности должны соответствовать тому, как осуществляется ИТ-безопасность.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cliff Saran