5 трендов, которые должны быть в приоритете у CISO на RSA 2026

До конференции RSA 2026 еще несколько недель, а машина ажиотажа уже гудит. Тема этого года — «Сила сообщества» — несколько иронична, поскольку подавляющее большинство разговоров в Moscone Center в Сан-Франциско с 23 по 26 марта будут вестись об агентах ИИ, а не о людях.

Добро пожаловать в сообщество кибербезопасности, агенты, автоматы и роботы!

Хотя кибербезопасность — это чрезвычайно разнообразная область, охватывающая все: от людей до критически важной инфраструктуры, вот пять областей кибербезопасности, которым гарантированно отводится главная роль на RSA 2026 — и которые стоит включить в повестку дня любого CISO.

Рост AI-SOC

В 2026 году мы переходим от ИИ-копилотов к автономным агентам, выполняющим традиционные задачи центра мониторинга безопасности (SOC), такие как сортировка оповещений, расследование вредоносной активности, изоляция хостов и установка исправлений программного обеспечения от нашего имени. Ожидается, что эта тенденция изменит операции в SOC, даже если ранние реалии еще не полностью совпали с ожиданиями от агентов.

Тем не менее, наблюдается множество инноваций как от устоявшихся поставщиков (например, Cisco/Splunk, CrowdStrike, Google, Microsoft и др.), так и от стартапов (например, Andesite, Crogl, Prophet Security и др.). Хотя AI-SOC обладают потенциалом, специалисты по безопасности по-прежнему настороженно относятся к ИИ-галлюцинациям и инструментам «черного ящика», а успех или неудача агентов будет зависеть от основы точного и своевременного доступа к данным — разведывательной информации об угрозах, файлов журналов, интеграции инструментов и так далее.

Участникам RSA я рекомендую осторожный оптимизм. Так или иначе, AI-SOC наступает — и раньше, чем вы думаете. Но CISO должны приходить подготовленными с требованиями, множеством вопросов и готовностью охватить широкий спектр, а не просто полагаться на существующих поставщиков инструментов.

CTEM в центре внимания

В рамках другой эволюционной тенденции большинство организаций переходят от сканирования программных ошибок к непрерывному управлению подверженностью угрозам (CTEM). Делая это, команды безопасности надеются получить полную картину всех активов, а также их конфигураций, местоположений, уязвимостей программного обеспечения, владельцев и критичности для бизнеса.

Вооружившись этими данными, платформы CTEM анализируют разведывательную информацию об угрозах для оценки тактик, методов и процедур (TTP) противника, помогая организациям расставить приоритеты в отношении того, какие уязвимые активы представляют наибольший риск для бизнеса. Некоторые инструменты могут даже предсказывать, какие активы могут быть наиболее уязвимы для будущих эксплойтов.

Инструменты CTEM от таких поставщиков, как Nucleus Security, ServiceNow (Armis) и Tenable (Vulcan Security), будут в центре внимания на RSA, но в этой области царит запутанное множество предложений. Хотя это и многообещающе, неправильно реализованный CTEM просто добавит еще один инструмент в стек безопасности.

Прежде чем поддаться блестящим новинкам на RSA, командам безопасности следует провести аудит — и очистку — своих данных, определить активы «коронной драгоценности», создать собственную систему оценки рисков и разработать план мобилизации для экстренного и повседневного исправления уязвимостей между командами безопасности и ИТ.

Киберустойчивость выходит на сцену

Согласно Специальной публикации 800-160, Том 2 Национального института стандартов и технологий (NIST), киберустойчивость определяется как: «Способность предвидеть неблагоприятные условия, стрессы, атаки или компрометации систем, использующих или опирающихся на киберресурсы, выдерживать их, восстанавливаться после них и адаптироваться к ним».

Обратите внимание на широкое определение. Прогнозирование угроз требует анализа разведывательной информации об угрозах, надежного и непрерывного управления подверженностью, а также эффективного контроля безопасности. Выдерживание угроз и восстановление после них требуют быстрого обнаружения, реагирования на инциденты, надежного резервного копирования и восстановления данных, а также формального — и протестированного — плана обеспечения непрерывности бизнеса и аварийного восстановления. Адаптация включает настройку технологий безопасности, разработку правил обнаружения, целенаправленные инвестиции и лидерство CISO.

Очевидно, что не существует одного продукта, охватывающего весь спектр, но это не помешает некоторым поставщикам заявлять, что они занимаются киберустойчивостью. Caveat emptor, мои друзья по кибербезопасности.

Идентичность как «новый» периметр безопасности

Кто-нибудь помнит Jericho Forum примерно в 2004 году? Группа утверждала, что поскольку данные перемещаются за пределы корпоративной сети, безопасность должна быть привязана к данным и идентификатору пользователя, а не к физическому или логическому местоположению в сети. Двадцать два года спустя некоторые поставщики пережили подобное озарение в отношении управления идентификацией.

Ладно, отбросив сарказм, я воодушевлен акцентом на управлении идентификацией в таких областях, как улучшенное управление идентификацией (SailPoint, Saviynt), безпарольная аутентификация (Microsoft, Okta, Ping) и обнаружение угроз и реагирование на них, связанных с идентификацией (Grip Security, Permiso Security).

В области идентификации также широко используется ИИ для оценки прав пользователей, «живости» пользователя и настроек конфигурации идентификации. Отличные вещи, но я всегда считал, что управление идентификацией и доступом (IAM) — это область, где у всех есть доля владения, но никто на самом деле ею не владеет. CISO придется работать с владельцами бизнеса, CIO и разработчиками приложений для устранения рисков, связанных с идентификацией, что делает стратегические проекты длительными и сложными — сложная среда для стартапов в сфере безопасности.

Всеобъемлющий ИИ: Обеспечение будущего операций безопасности

Все вышеперечисленные области, конечно, имеют компонент ИИ, но стоит выделить обсуждение ИИ в этих и других категориях кибербезопасности, связанных с ИИ.

Во-первых, CISO сталкиваются со значительной проблемой в своей необходимости обеспечивать безопасность разработки и использования ИИ. Это включает в себя множество технологий, таких как безопасность протокола контекста модели (MCP), ИИ-файрволы, очистка контента, подлинность цифрового контента, управление положением безопасности ИИ (AI-SPM), AI-управляемый DevSecOps и так далее. Эти технологии должны поддерживать общую бизнес- и технологическую стратегию и структуру управления, связанную с ИИ.

Далее, RSA станет рассадником обсуждений угроз, связанных с ИИ, с тревожными дискуссиями о цепочках уязвимостей, полиморфных полезных нагрузках и обходе средств контроля безопасности — все это законные темы, но, как и защитники, противники в основном используют ИИ для исследований и автоматизации процессов.

Участникам следует сосредоточиться на релевантной разведывательной информации об угрозах, отбрасывая избыточный хайп. Существует слишком много подтем, связанных с ИИ, но, по моему скромному мнению, участникам RSA следует уделить особое внимание сессиям по навыкам и обучению, ориентированным на ИИ. Учитывая будущее, основанное на ИИ, организациям понадобятся инженеры по данным безопасности и специалисты по безопасности ИИ — на сегодняшний день редкие наборы навыков. И по мере того, как мы будем замещать функции аналитиков первого уровня с помощью ИИ, нам также потребуется повышать квалификацию младших специалистов по кибербезопасности, чтобы они стали ИИ-оркестраторами, преуспевающими в командной работе человека и агента. Развитие навыков и обучение в области ИИ должно быть главным приоритетом для CISO.  

Другие претенденты

Помимо моего личного топ-5, вот несколько почетных упоминаний для повесток дня CISO на RSA 2026:

1. Нулевое доверие (Zero trust). Эта область идет рука об руку со стратегиями управления идентификацией и киберустойчивости. Как таковое, нулевое доверие по-прежнему является главным приоритетом. CISO следует обратить внимание на инновации, основанные на ИИ, которые могут ускорить их внедрение ZT. 
2. Безопасность облачных сред. Учитывая мультиоблачность, SaaS и разработку ИИ, безопасность облачных сред остается сложной задачей. Организациям нужна органическая стратегия безопасности, которая растет вместе с их использованием облачных технологий. CISO следует использовать конференцию, чтобы помочь отточить свои растущие потребности в безопасности мультиоблачных сред/SaaS.
3. Платформы кибербезопасности. В этой области также много денег от поставщиков. Платформы безопасности, вероятно, подходят для большинства небольших фирм, но, возможно, не для крупных предприятий, где бизнес и ИТ развиваются намного быстрее, чем кибербезопасность. CISO должны взвешивать преимущества эффективности платформы против эффективности инструментов и боли от замены существующих решений.
4. *DR. CDR, EDR и XDR (и т. д.), о боже! Существует множество инноваций в области обнаружения и реагирования на периферии облака и сети, которые, вероятно, приведут к высокораспределенным операциям безопасности. CISO следует изучить, как эти смешивающиеся и развивающиеся пространства повлияют на будущую централизованную или распределенную архитектуру операций безопасности. 
5. Безопасность ИТ и ОТ. Да, мы говорим об этом годами, но ИИ станет мультипликатором силы для интеллектуальных устройств и периферийных вычислений. Например, в ближайшие пять лет здравоохранение претерпит трансформацию на основе носимых подключенных устройств для сбора данных и ухода за пациентами, поэтому доступность и целостность устройств могут означать вопросы жизни и смерти. Команды безопасности не могут отставать. Следите за эволюцией методов дальнейшего обеспечения безопасности слияния ИТ/ОТ и специализированных ИИ-агентов для безопасности IoT/OT.
6. Постквантовая криптография (PQC).  Для меня эта тема не всегда актуальна. CISO, работающим в разведывательных агентствах, подрядчиках по обороне или финансовых учреждениях, следует обратить внимание. Остальные, вероятно, могут пока отказаться от этой области — по крайней мере, в этом году. 
7. Сила сообщества. Снова эта тема, но это не преувеличение. Специалисты по кибербезопасности уже учатся друг у друга на RSA и Black Hat, а также в профессиональных группах, таких как Ассоциация по информационной безопасности систем (ISSA). Я надеюсь, что агенты смогут присоединиться к сообществу в эпоху коллективной защиты — когда многие организации объединяются в режиме реального времени для взаимной защиты.

Одно последнее замечание

С распространением ИИ на RSA в этом году будет больше «красивых безделушек», чем в прошлом. Поставщики платят миллионы долларов за возможность так чрезмерно стимулировать пользователей. Как всегда, специалисты по безопасности должны подходить к RSA со списком требований, которые поддерживают бизнес-стратегию и технические нужды. Отбросьте ИИ-ажиотаж и вспомните мудрые слова Брюса Шнайера: «Безопасность — это процесс, а не продукт».