73% директоров по информационной безопасности склоняются к выбору защитных решений с поддержкой AI

ии,безопасность,ciso,угрозы,данные,автоматизация

Руководители служб безопасности (CISO) всё чаще внедряют ИИ для усиления киберзащиты, поскольку 73% лиц, принимающих решения, готовы рассматривать такие решения. Эксперты советуют фокусироваться на снижении шума и автоматизации реагирования, но предупреждают о рисках, связанных с качеством данных и чрезмерной зависимостью от технологий.

Директора по информационной безопасности (CISO) всё чаще обращаются к технологиям безопасности на базе искусственного интеллекта (ИИ) для усиления киберзащиты своих организаций и расширения возможностей команд.

Согласно последнему исследованию «Security Priorities Study» от Foundry, 73% лиц, принимающих решения в сфере безопасности, теперь с большей вероятностью рассмотрят решение по безопасности, использующее искусственный интеллект. Это на 59% больше, чем годом ранее.

CISO планируют использовать ИИ в ряде функций безопасности, включая обнаружение вредоносного ПО, выявление угроз, обнаружение аномалий, прогнозирование рисков в реальном времени, а также аудит и соответствие требованиям. Они также рассматривают ИИ для автоматизации реагирования на инциденты безопасности, выполнения аутентификации, обеспечения предотвращения утечек данных и улучшения видимости корпоративных систем.

Респонденты опроса отметили преимущества решений на базе ИИ, такие как более быстрое обнаружение неизвестных угроз, ускорение времени реагирования и автоматизация задач безопасности для снижения нагрузки на сотрудников. Эти выводы согласуются с исследованием консалтинговой компании PwC от октября 2025 года, согласно которому ИИ опередил облачную безопасность и защиту данных в качестве главного приоритета инвестиций в кибербезопасность для предприятий на ближайшие 12 месяцев.

Однако проблема заключается в том, чтобы отделить реальную пользу от ажиотажа, обеспечив максимальную отдачу от инвестиций в ИИ. Эксперты, опрошенные CSO, считают, что в ближайшие 12–18 месяцев руководителям служб безопасности следует отдать приоритет инвестициям в ИИ для усиления обнаружения аномалий, улучшения управления идентификацией и доступом, а также автоматизации реагирования. При этом им следует помнить о потенциальных ловушках, таких как «галлюцинации» ИИ, чрезмерная зависимость от него и пробелы в управлении при внедрении ИИ в стратегии безопасности.

Отсекая шум

Оливер Ньюбери, директор по стратегии в компании по киберустойчивости Halcyon и бывший CISO в Barclays, заявляет CSO, что «наиболее эффективное применение ИИ в безопасности — это то, что улучшает видимость и снижает уровень шума».

«Командам нужны более чёткие сигналы, ранние предупреждения и более быстрые пути к определённости в процессе развития инцидента, — говорит Ньюбери. — ИИ, способный обрабатывать большие объёмы активности, выделять значимые закономерности и представлять их в форме, на основе которой аналитики могут немедленно действовать, — это то, где организации видят реальную выгоду».

Ньюбери добавляет: «Эти возможности помогают сократить время расследования и способствуют принятию более быстрых и уверенных решений в стрессовых ситуациях».

Многие эксперты по безопасности утверждают, что подход, основанный исключительно на человеческом труде, более не достаточен для борьбы с возросшей сложностью и объёмом угроз. Стратегическое использование технологии ИИ способно распознавать схемы атак и давать аналитикам возможность отсеивать информационный шум, принимая более взвешенные решения. Это освобождает время и ресурсы для работы над задачами с более высокой ценностью и позволяет перейти от постоянного «тушения пожаров».

«Большинство групп безопасности перегружены, и не потому, что им не хватает инструментов, а потому, что им не хватает времени и чётких сигналов, — отмечает Ньюбери. — ИИ оправдывает себя в тех областях, где скорость и распознавание образов действительно превосходят ручной труд: обнаружение поведенческих аномалий, индикаторы угроз на ранних стадиях и незаметная активность, связанная с идентификацией, которая часто предшествует атаке программ-вымогателей».

Проверка на соответствие

Дэвид Тайлер, основатель технологической консалтинговой компании Outlier Technology, предупреждает, что некоторые поставщики просто навешивают ярлык «ИИ» на уже существующие функции, при этом устанавливая более высокую цену, в то время как другие демонстрируют солидную разработку продуктов и реальные достижения.

«Многое из того, что продаётся как прорывной ИИ, на самом деле является технологией, которой уже несколько десятилетий, и которую, наконец, начали правильно внедрять; это не обязательно плохо, поскольку качественное управление продуктом имеет не меньшее значение, чем новые алгоритмы, — говорит Тайлер. — Но если «решение безопасности на базе ИИ» от поставщика появилось в одночасье за последние пару лет, вы, вероятно, имеете дело с ребрендингом, а не с реальным наращиванием возможностей».

По словам Тайлера, CISO следует интересоваться, как долго поставщик инвестирует в эти возможности и как выглядит эволюция его продукта.

«Компании, которые десятилетие занимаются разработкой графовой корреляции, адаптивного базового анализа и поведенческой аналитики, сильно отличаются от тех, кто просто добавил функцию чата с ИИ в свой пользовательский интерфейс и назвал это инновацией», — утверждает Тайлер.

Доктор Эндрю Болстер, старший менеджер по исследованиям и разработкам в компании по безопасности приложений Black Duck, также предостерегает CISO от поставщиков, которые просто «прикручивают» нейронные сети к существующим инструментам, не устраняя при этом проблемы с качеством исходных данных.

«Ваша система аутентификации на базе ИИ хороша настолько, насколько гигиеничны ваши данные об идентификации, — говорит доктор Болстер. — Ваша система обнаружения вредоносного ПО на базе ИИ хороша настолько, насколько качественны ваши образцы и точность их маркировки».

Доктор Болстер добавляет: «Прежде чем подписывать контракты на платформы безопасности с ИИ, проведите аудит зрелости вашего управления данными».

Болстер также утверждает, что сами CISO должны больше фокусироваться на том, как построить платформу безопасности, готовую к работе с ИИ, а не на том, какие инструменты безопасности им необходимо приобрести.

«CISO следует инвестировать в архитектуры data mesh, которые рассматривают телеметрию безопасности как первоклассный продукт данных с определённой ответственностью, соглашениями об уровне обслуживания (SLA) по качеству и стандартизированными схемами», — говорит он.

Создание платформы безопасности на базе ИИ

Мерлин Джиллеспи, операционный директор провайдера управляемых услуг безопасности Cybanetix, видит, как рынок безопасности на базе ИИ созревает — и отходит от точечных решений, обещающих снижение операционных расходов, в сторону более интегрированного подхода. Джиллеспи предупреждает, что этот сдвиг создаёт новые проблемы для руководителей служб безопасности.

«В наши дни каждый инструмент безопасности имеет слой «помощи» от ИИ, но вместо упрощения операций это порождает дублирование инструментов, несогласованную отчётность и неясное происхождение данных, — отмечает Джиллеспи. — Вывод заключается в том, что инструменты с маркировкой ИИ полезны, но сами по себе не являются решением».

Джиллеспи советует, что организациям предстоит задача классифицировать, какие процессы пригодны для автоматизации, и какие из них выигрывают от детерминированности и логики ИИ.

«Команды безопасности должны применять тот же анализ «сверху вниз», который используется во всём бизнесе для повышения эффективности программного обеспечения и персонала, а не руководствоваться инструментарием поставщиков, что может привести к дальнейшей изоляции процессов», — считает Джиллеспи.

Потенциальные ловушки

Ньюбери из Halcyon предупредил, что эти проблемы далеко не единственные потенциальные ловушки, связанные с развёртыванием систем ИИ. Например, чрезмерная зависимость от систем ИИ может привести к увеличению рисков.

«ИИ не должен заменять основы, такие как управление активами, установка исправлений, управление идентификацией, правильная сегментация или протестированные планы восстановления, — говорит Ньюбери. — Эти дисциплины становятся ещё более важными по мере того, как злоумышленники быстро осваивают ИИ».

Проблемы, унаследованные от неадекватного обучения систем ИИ, также могут создавать трудности.

«Системы ИИ могут легко наследовать «слепые зоны», если они обучены на узких или нереалистичных наборах данных, — отмечает он. — CISO должны понимать, как обучаются модели и где их предположения дают сбой».

Ньюбери утверждает, что программы-вымогатели остаются самым явным тестом на то, правильно ли расставлены приоритеты инвестиций в ИИ.

«Большинство современных инцидентов с программами-вымогателями, по сути, являются атаками, основанными на идентификации, — говорит Ньюбери. — Злоумышленники входят в систему, а не «взламывают» её, часто используя учётные данные, собранные в больших масштабах с помощью инфостилеров».

Ньюбери добавляет: «По мере того как противники интегрируют ИИ в свои операции, вы увидите, что больше таких атак будут наноситься быстрее и сильнее. Это делает вопрос киберустойчивости гораздо более насущным».

Ньюбери заключает: «ИИ стоит инвестиций, но только там, где он обостряет принятие решений, уменьшает шум и даёт командам время и ясность для действий до того, как проблема перерастёт в кризис».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: