Компания Waymo недавно достигла важной вехи: пройдено более 170 миллионов миль в автономном режиме без единой серьезной аварии или травмы. Годами автономное вождение считалось обещанием, которое всегда оставалось недостижимым — слишком сложным, слишком рискованным и не готовым к реальному миру. Этот аргумент больше не состоятелен. Автономные системы теперь превосходят людей в условиях высокой скорости и большого трафика. И это не потому, что они идеальны, а потому, что они быстрее в те моменты, которые имеют значение.
Это статья не об автономных автомобилях. Безопасность приближается к такому же переходу.
Проблема никогда не заключалась в обнаружении
Последнее десятилетие индустрия безопасности сосредоточивалась на обнаружении. Акцент делался на генерации большего количества оповещений, улучшении качества сигнала и расширении покрытия. Эти усилия были значимыми, но мы приближаемся к точке насыщения. Несмотря на постоянный прогресс в обнаружении, защитники по-прежнему отстают, в то время как злоумышленники сохраняют преимущество.
По данным CrowdStrike, боковое перемещение теперь может произойти в среднем всего за 29 минут. В течение этого промежутка времени разница между пониманием и неопределенностью определяет, будет ли инцидент локализован или обострится. Видимость остается важной, но способность проходить цикл OODA — понимать, ориентироваться, принимать решения и действовать — в условиях все более сжатого временного окна имеет большее значение.
Команды безопасности ограничены не нехваткой оповещений или данных; они ограничены нехваткой ответов. Каждое оповещение инициирует процесс, требующий от аналитиков переключаться между инструментами, собирать фрагментированный контекст, реконструировать события и определять влияние. Этот процесс по своей сути ограничен по времени, и в большинстве сред он по-прежнему занимает часы.
Злоумышленники действуют в гораздо более сжатые сроки, создавая структурную асимметрию, с которой не может сравниться расследование, управляемое человеком. Индустрия не потерпела неудачу в улучшении обнаружения; она неверно определила основное ограничение. Скорость расследования является лимитирующим фактором.
Безопасность по-прежнему работает со скоростью человека
Несмотря на достижения в области инфраструктуры, облачных технологий и ИИ, базовая схема работы операций безопасности фундаментально не изменилась. По своей сути, безопасность по-прежнему функционирует как процесс, управляемый человеком: генерируются оповещения, аналитики проводят расследования, контекст собирается вручную, а решения принимаются под давлением. Эта модель была достаточной, когда среды были меньше, а скорость атак ниже, но она рушится в современных условиях.
Современные среды генерируют такой объем и разнообразие сигналов, который превышает возможности ручного расследования в пределах значимого временного окна. Ограничением является не доступ к данным, а способность достаточно быстро собрать и интерпретировать их для принятия мер. В результате команды с трудом переходят от наблюдения к ориентации вовремя, задерживая последующие решения и реагирование.
Сжатие наблюдения и ориентации
В традиционном рабочем процессе оповещение о необычном доступе к рабочей нагрузке в продакшене инициирует последовательность действий — аналитики запрашивают журналы, сопоставляют активность идентификаторов, просматривают изменения системы и пытаются построить хронологию. Каждый шаг вносит задержку, замедляя переход от наблюдения к ориентации.
В современных системах расследование может начинаться со структурированного понимания самого события. Последовательность расследования поглощается системой. К тому моменту, когда оповещение представлено, соответствующий контекст уже собран: задействованный идентификатор, путь доступа, внесенные изменения и то, соответствует ли поведение установленным шаблонам или представляет риск.
Роль аналитика соответствующим образом меняется. Вместо реконструкции событий аналитик оценивает завершенный анализ и определяет соответствующий ответ. Это сжимает первую половину цикла OODA, позволяя командам переходить от наблюдения к принятию решений со значительно меньшим трением. Это снижает задержку, повышает согласованность и приводит скорость принятия решений в соответствие со скоростью среды.
От решения к действию без задержек
Ускорение расследования решает лишь часть проблемы. Оставшаяся задача — завершить цикл OODA. Даже когда команды быстро приходят к решению, действие часто задерживается из-за ручных процессов. Устранение последствий требует координации между системами, проверки влияния и тщательного выполнения. На практике это вносит задержку между решением и реагированием.
Устранение последствий на основе агентов устраняет эту задержку. Системы могут действовать напрямую под контролем человека. Как только достигается порог принятия решения, агенты могут изолировать рабочие нагрузки, отзывать учетные данные, блокировать пути доступа или обеспечивать соблюдение политики в режиме реального времени под надзором человека для обеспечения контроля. Эти действия основаны на том же контекстном понимании, которое генерируется во время расследования, что снижает риск чрезмерной реакции при одновременном увеличении скорости.
Это замыкает вторую половину цикла OODA, где решения не только принимаются быстрее, но и выполняются быстрее и более последовательно.
ИИ еще больше сжимает временные рамки
По мере того как организации внедряют ИИ, это ограничение становится более серьезным. Эти риски не создают новой проблемы; они ее ускоряют. Приложения на базе ИИ работают со скоростью взаимодействия, а не со скоростью инфраструктуры. Среда теперь состоит не только из рабочих нагрузок, но и из взаимодействий между пользователями, моделями и данными.
Риски, такие как инъекция промптов, неправильное использование моделей и непреднамеренное раскрытие данных, разворачиваются быстро и на распределенных поверхностях. Эти риски требуют быстрого понимания и реагирования, часто в рамках одного взаимодействия. Управление ими требует той же возможности: способности выполнять цикл OODA быстрее, чем угроза.
При внедрении ИИ системы безопасности должны наблюдать за взаимодействиями, ориентироваться на намерение и контекст, определять риск и действовать в режиме реального времени. Традиционные подходы, такие как периодическое тестирование или поверхностное наблюдение за поведением, недостаточны. Появляются модели непрерывной проверки, где системы безопасности активно ищут уязвимости и проверяют защиту на постоянной основе.
Скорость становится преимуществом
Автономное вождение добилось успеха не потому, что достигло совершенства — оно добилось успеха, потому что продемонстрировало лучшие результаты в критических сценариях. Waymo победила не за счет того, что видела больше данных или генерировала лучшие оповещения; она победила, сократив время между восприятием, решением и действием быстрее, чем это мог сделать водитель-человек.
Безопасность переживает тот же переход. В средах, где злоумышленники действуют в минутных временных рамках, рабочие процессы, зависящие от завершения цикла OODA со скоростью человека, структурно невыгодны. Будущее безопасности будет определяться не лучшей видимостью или более точным обнаружением. Оно будет определяться системами, которые могут наблюдать, ориентироваться, действовать и принимать решения — от начала до конца — быстрее, чем злоумышленники смогут использовать уязвимости в среде.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Chris Lentricchia
