В DXC Technology глобальный CISO Майк Бейкер создал один из крупнейших в мире агентных центров мониторинга безопасности (SOC). Чтобы повысить квалификацию персонала в рамках этого процесса, он внедрил экспертов от поставщика агентных SOC-решений 7AI в свои команды безопасности.
Когда Деймон Макдугалд, руководитель глобальных услуг кибербезопасности в Accenture, решил переобучить свою команду для работы с агентным ИИ, первым делом он погрузился в саму технологию. Он записался на буткемп Anthropic, прошел курсы для ознакомления с технологией, а затем отправил туда же и членов своей команды.
Джон Уайт, один из первых, кто начал использовать агентный ИИ, будучи CISO в Virgin Atlantic, рассказал CSO, что намеренно дал новый инструмент агентного ИИ младшему сотруднику своей команды в Virgin Atlantic, предоставив ему минимальные инструкции, и велел «поиграть» с этим инструментом. «Через пару дней он уже создавал собственные рабочие процессы, не имея никакого опыта работы с этим инструментом», — говорит Уайт, который недавно перешел из Virgin Atlantic на должность полевого CISO в Torq.
Хотя существует множество путей переобучения команд безопасности для работы с агентным ИИ — от практического обучения до экспериментов без прямого руководства — есть несколько общих принципов, которым следует придерживаться CISO.
Принять агентный императив
Первый принцип, которым должны руководствоваться CISO при обеспечении будущего своих SOC, заключается в том, что агентный ИИ, реальность которого может пока не соответствовать ожиданиям, станет неотъемлемой частью этой трансформации.
«Каждый руководитель службы безопасности должен начать планировать агентное будущее, потому что наши противники будут действовать со скоростью машины, а процессы, основанные на человеческом труде и ограниченные нашей биологией, не смогут масштабироваться в соответствии с потребностями будущего», — заявляет Бейкер в интервью CSO.
Уайт добавляет: «Главный риск — это недостаточно быстрая адаптация. Многие CISO ждут появления идеального решения или платформы, которая сделает все. Сама по себе эта задержка создает риск для организации. Бездействие — это риск».
Крис Кокрейн, полевой CISO и вице-президент по безопасности ИИ в SANS Institute, говорит CSO: «Я только что организовал ужин с 30 руководителями служб безопасности, и половина из них назвали себя скептиками в отношении ИИ. Проблема в том, что нерешительность — это стратегический недостаток. Противники агрессивно и постоянно используют ИИ. Команды безопасности, которые не движутся с той же скоростью, отстают».
Задайте тон сверху
Второй принцип переподготовки команд безопасности для работы с агентным ИИ связан с лидерством.
Как говорит Бейкер, CISO должны задавать тон. Это означает создание культуры быстрого экспериментирования, итераций и инноваций. «Быстро ошибайтесь и двигайтесь вперед», — утверждает он.
Ключевой аспект лидерства CISO — это понимание потребностей бизнеса, добавляет Бейкер.
«Сложность передисциплинирования команд безопасности и руководителей, управляющих этими командами, в значительной степени зависит от их способности учитывать потребности бизнеса, становиться его катализаторами, принимая ИИ и все, что он может предложить», — отмечает он. «Более масштабная переподготовка заключается в способности службы безопасности работать со скоростью бизнеса и позволять бизнесу трансформироваться, используя ИИ безопасным и надежным образом».
Максимальное использование агентного ИИ для кибербезопасности — это в равной степени изменение мышления, как и технологический сдвиг, добавляет Уайт.
«Как лидер, вы должны четко объяснить, как все изменится, и перестроить мышление на то, что вам не нужно делать все самостоятельно», — объясняет он. «Большая часть исполнения будет осуществляться агентно; роли сместятся в сторону определения результатов, проектирования рабочих процессов, способности формулировать намерения с помощью естественного языка и обладать некоторой долей суждения относительно полученных результатов».
Уважайте сопротивление, но работайте над его преодолением
Как и при любом технологическом сдвиге, необходимо учитывать сопротивление изменениям, особенно в отношении технологии, которая угрожает вытеснить роли в сфере безопасности — в частности, аналитиков SOC первого и второго уровней.
«В сообществе безопасности существует реальное культурное сопротивление. Некоторые специалисты не доверяют результатам работы ИИ. Другие не хотят менять рабочие процессы, которые работали годами», — говорит Кокрейн.
Он утверждает, что агентный ИИ на самом деле создаст новые роли: «Появятся по-настоящему новые специализации: безопасность ИИ (защита систем ИИ от атак), безопасность ИИ (обеспечение надежного и ограниченного поведения агентов) и управление ИИ».
Уайт говорит, что в Virgin Atlantic «сначала была некоторая нервозность; люди думали, что их роли заберут с помощью ИИ, но это не так». Тот младший сотрудник, который отправился экспериментировать с инструментом Torq, вернулся и заявил, что хочет сменить роль и стать специалистом по автоматизации рабочих процессов. «Это показывает, как быстро может измениться мышление человека», — говорит Уайт.
«Вокруг перемен всегда есть некоторое сопротивление», — говорит Бейкер из DXC. «Нам пришлось пройти через процесс роста и обучения. Но за короткое время люди в команде получают этот момент „эврика“. Мы смогли переквалифицировать наших сотрудников для выполнения задач с дополнительной ценностью. Мы можем делать удивительные вещи с людьми с точки зрения их перераспределения; это почти как ускорение их карьеры».
Действуйте активно и целенаправленно
Критически важно, чтобы CISO выделяли время для перегруженных и находящихся в стрессе специалистов по безопасности, чтобы они могли поиграть с агентными инструментами в безопасной «песочнице». Бейкер сообщает, что DXC предлагает площадку под названием LabX, где специалисты по безопасности могут экспериментировать с агентным ИИ в безопасной и контролируемой манере.
Чтобы помочь повысить квалификацию сотрудников DXC, Бейкер также создал трек обучения ИИ на корпоративной платформе управления обучением, поощряя сотрудников кибербезопасности уделять время не только экспериментам, но и более формальному развитию своих навыков.
Макдугалд из Accenture отмечает, что учебные курсы Anthropic предлагают собственные среды «песочницы», где специалисты по безопасности могут вводить промпты, анализировать ответы, а затем уточнять и настраивать результаты работы агента.
Он также советует CISO разрабатывать формальные планы обучения и освобождать специалистов по безопасности, чтобы гарантировать, что у них есть необходимое время для освоения новой технологии.
Делайте упор на управление и человека в контуре
Агентный ИИ может делать удивительные вещи, но «практики должны понимать, что ИИ недетерминирован. Он может ошибаться. Он может дрейфовать. Он может быть непреднамеренно обманчивым. Это означает, что обучение должно охватывать не только то, как использовать ИИ, но и то, как ИИ может потерпеть неудачу и как это обнаружить», — говорит Кокрейн из SANS. «Основной принцип: дайте ИИ пространство для масштабирования, но никогда полностью не убирайте человека».
Он рекомендует командам безопасности выстраивать пути эскалации, определять полномочия на отмену действий, создавать аудиторские следы и устанавливать регулярные циклы обзора, в ходе которых люди оценивают производительность агентов.
В DXC Бейкер говорит, что агенты взяли на себя базовую сортировку и расследование оповещений, но на уровне L3 все еще присутствует человек, который получает анализ от агентов ИИ. «У нас всегда есть человек в контуре», — заявляет он.
Аналогично, Макдугалд из Accenture говорит, что развернул агентов на уровнях L1 и L2, но «это все равно должно управляться человеком». Специалисты по безопасности должны постоянно проверять результаты работы агентов и предоставлять обратную связь в рамках непрерывного итеративного процесса.
Переосмыслите кибернетическую организацию
В SOC, где функции L1 и L2 являются агентными, организационные изменения неизбежно произойдут. «Вы должны понимать, что это в равной степени организационное изменение, как и технологическое», — говорит Уайт.
Агентный ИИ повлияет на «то, как мы проектируем команды, как мы управляем людьми, как развиваются роли», — говорит он. Традиционная карьерная лестница с продвижением по уровням больше не применима, когда начальные роли являются агентными. «Новым людям, приходящим в службу безопасности, придется выбирать другой путь», — отмечает он.
Уайт добавляет, что традиционные команды безопасности были разделены на дисциплины и силосы, но «теперь эти роли начинают перемещаться, сливаться и становиться скорее целостной возможностью, чем изолированной».
Развивайте навыки, оптимизирующие сотрудничество человека и ИИ
Внедрение агентных систем неизбежно трансформирует набор навыков в сфере кибербезопасности.
Джош Тейлор, ведущий аналитик по кибербезопасности в Fortra, говорит: «Работа аналитика SOC всегда заключалась в обработке сигналов, сортировке оповещений, корреляции событий, эскалации. Агентный ИИ не устраняет эту работу; он переместит аналитика изнутри процесса над ним. Основная задача переподготовки будет не столько технической, сколько когнитивной».
Он добавляет: «Когда агент сортирует 200 оповещений и представляет пять на рассмотрение человека, аналитик должен оценить, было ли рассуждение агента обоснованным. CISO следует инвестировать в обучение, которое развивает „интуицию модели“ — способность распознавать, когда результат работы агента кажется правильным, но структурно неверен».
Тейлор также советует CISO делать упор на обучение, которое учит аналитиков устанавливать политики и определять ограничения на то, что агентам разрешено или запрещено делать, например, блокировать производственный трафик или отправлять внешние сообщения. «Команды SOC должны строить границы принятия решений так же, как они строят планы реагирования на инциденты».
Уайт добавляет: «Прелесть агентного ИИ в том, что все, что вам нужно, — это четко сформулированное заявление о том, чего вы пытаетесь достичь, а агент сделает все остальное за вас. Этот тип интент-ориентированного, автоматизированного, основанного на ИИ инжиниринга доступен уже сейчас».
Но люди должны оценивать, достиг ли новый рабочий процесс или процедура желаемой цели, принес ли ожидаемую ценность, и они должны понимать, как вернуться к агенту, уточнить промпты и добиться более благоприятного результата, говорит он.
Переосмыслите свою операционную модель
Имея 120 000 конечных пользователей, Бейкер понимал, что его команды безопасности погрязли в оповещениях, данных и телеметрии. Сегодня роли его аналитиков SOC первого и второго уровней являются агентными, но SOC — это только начало. Его дорожная карта включает роль агентного ИИ в управлении уязвимостями, тестировании на проникновение, установке исправлений и других функциях безопасности.
Дорожная карта Уайта следует схожему пути. «Я полагаю, что мы будем использовать ИИ все больше и больше». Его приоритеты в области агентных технологий включают управление уязвимостями, тестирование на проникновение, установку исправлений и соответствие требованиям.
Уайт говорит, что преимущества агентного SOC выходят за рамки технологий и затрагивают человеческий аспект безопасности. «Лучшими лидерами будут те, кто развил целевую операционную модель. Делая это, вы сделаете свою рабочую силу более счастливой. Ваш SOC будет выглядеть как спокойное место, а не хаос с повсеместными оповещениями».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Neal Weinberg
