Индустрия безопасности переживает дежавю, и большинство команд этого еще не осознали.
Если вы были в окопах в начале 2000-х, вы помните гонку вооружений в сфере антивирусов. IT-команды, заваленные обновлениями сигнатур. Базовые конфигурации, проверяемые до одержимости. Циклы установки патчей, считавшиеся основной защитой. Тем временем злоумышленники меняли тактику. Они писали вредоносное ПО, не соответствующее ни одной известной сигнатуре, и проходили через парадную дверь, пока охранники проверяли устаревшие удостоверения личности.
Подход, ориентированный на состояние (posture-first), выявил свои ограничения по мере взрывного роста поверхности атак на конечных точках. Отрасль столкнулась с пробелами в видимостью и осознала, что нельзя укрепить то, что нельзя полностью увидеть. Подход, ориентированный на состояние, не был ошибочным. Он был неполным. По мере взрывного роста поверхности атак на конечных точках индустрия поняла, что нельзя укрепить то, что нельзя полностью увидеть. Ограниченная видимость препятствовала эффективному укреплению, что обусловило переход к поведенческому обнаружению как к операционной необходимости.
Безопасность ИИ находится в начале той же траектории. Команды, которые осознают это сейчас, смогут пропустить болезненную среднюю главу.
Труднодобытый урок эпохи конечных точек
Первое поколение средств защиты конечных точек задавало вопросы, на которые можно было ответить: Установлен ли антивирус? Актуальны ли патчи? Соответствует ли конфигурация базовому уровню? Какое-то время ответы на эти вопросы казались достаточными.
Затем поверхность расширилась. Ноутбуки покинули периметр. Уязвимости нулевого дня сделали сигнатуры неактуальными в самый важный момент. Отрасль отреагировала, создав инструменты, которые перестали спрашивать: «Выглядит ли этот файл вредоносным?» и начали спрашивать: «Что на самом деле делает этот процесс?».
Эта смена фокуса изменила всё. Вместо сопоставления со списками известного вредоносного ПО защитники начали отслеживать деревья процессов, последовательности вызовов API, шаблоны бокового перемещения и цепочки повышения привилегий. Поведение стало сигналом. Проверки состояния говорят вам, что должно быть истинным. Поведенческое обнаружение говорит вам, что происходит на самом деле.
Большая часть безопасности ИИ все еще находится на этапе состояния
Посмотрите, на каком этапе находится большинство организаций в области безопасности ИИ сегодня. Карты моделей, SBOM, специфичные для ИИ, фильтры ввода и вывода, защитные механизмы от внедрения промптов (prompt injection) и элементы управления доступом к API моделей. Это ценные средства контроля, но они отражают подход, основанный на состоянии. Чтобы по-настоящему повысить безопасность, организациям необходимо осознать важность перехода к стратегиям, основанным на поведении, которые отслеживают фактические действия системы.
Они также хрупки по тем же причинам. Поверхность ИИ расширяется быстрее, чем любая команда успевает ее укрепить: модели LLM с открытым исходным кодом, развернутые без проверки закупок, сторонние API ИИ, встроенные в SaaS-инструменты, автономные агенты, которым предоставлен широкий доступ к системе, конвейеры RAG, работающие поверх конфиденциальных внутренних данных. Фраза «теневой ИИ» существует по той же причине, по которой раньше существовал «теневой IT». Люди быстрее осваивают возможности, чем политика успевает за ними.
Список OWASP Top 10 for Agentic Applications 2026 — это долгожданный и необходимый фреймворк. Но если внимательно его прочитать, вы заметите, что большинство его средств контроля ориентированы на состояние: ограничение области действия, проверка вводимых данных, обеспечение минимальных привилегий. Это правильные первые шаги, но не полная стратегия. Мы это знаем, потому что мы уже пережили версию этой истории.
Основное напряжение идентично тому, с которым столкнулись защитники конечных точек два десятилетия назад. Вы не сможете исправить патчами систему, которую не контролируете полностью. В случае с ИИ поверхность более динамична, более непрозрачна и глубже встроена в бизнес-логику, чем когда-либо были конечные точки. Агент ИИ не просто находится на устройстве. Он вызывает API, извлекает внутренние данные, выполняет действия в различных системах и генерирует результаты, которые распространяются дальше по цепочке. Радиус поражения скомпрометированного или некорректно работающего агента — это проблема, совершенно иная, чем у скомпрометированного ноутбука.
Почему поведенческое обнаружение становится рычагом
Хотя вы можете не контролировать всю поверхность ИИ, мониторинг того, что на самом деле делают эти системы, дает вашей команде возможность опережать угрозы и чувствовать себя уверенно в управлении рисками ИИ.
Поведенческие сигналы уже генерируются в средах, которые не оснащены для их обнаружения. К ним относятся необычные шаблоны доступа к данным из конвейера RAG, артефакты внедрения промптов, проявляющиеся в результатах работы модели, неожиданные вызовы инструментов от агента, действующего за пределами своей предполагаемой области, аномалии скорости токенов, указывающие на автоматизированное злоупотребление, и дрейф вывода, предполагающий, что что-то выше по цепочке изменилось.
Ничто из этого не является гипотетическим. Это наблюдаемо уже сегодня. Параллель с EDR прямая: так же как инструменты поведенческого анализа конечных точек отслеживают деревья процессов и цепочки вызовов API, поведенческий мониторинг ИИ отслеживает последовательности действий, какие данные были извлечены, какие инструменты были вызваны, что было сгенерировано и в каком порядке. Один аномальный результат — это шум. Последовательность аномальных действий стоит расследования.
Это дает командам SOC нечто, на основе чего можно работать. Состояние — это контрольная точка аудита. Поведение дает вам очередь для триажа. Существует реальная разница между тем, чтобы сказать аналитику: «Этот агент имеет широкие разрешения», и сказать ему: «Этот агент запросил конфиденциальные документы, отформатировал вывод и инициировал исходящее соединение в последовательности, которую он никогда ранее не выполнял». Первое — это находка. Второе — это инцидент.
Конкретный путь вперед
Эпоха конечных точек предлагает практическую последовательность, а не просто поучительную историю.
Не отказывайтесь от работы по контролю состояния. Это базовые требования, а не стратегия. Поддерживайте актуальность инвентаризации моделей, обеспечивайте контроль доступа и внедряйте защитные механизмы OWASP. Просто не позволяйте состоянию стать потолком вашей программы.
Начните логировать поведение систем ИИ уже сейчас, даже если вы еще не анализируете его в полной мере. Накопление данных усугубляется, и наличие поведенческой базы данных имеет решающее значение для будущей логики обнаружения. Раннее создание поведенческой базы помогает устранить пробелы и готовит вашу организацию к проактивным мерам безопасности ИИ.
Определите приоритеты для поверхностей с наибольшей агентностью — автономные агенты с широким доступом к системе, конвейеры RAG, подключенные к конфиденциальным внутренним данным, любые функции LLM, ориентированные на внешних пользователей или запускающие последующие автоматизации — это ваши поверхности с наибольшим риском, и с них следует начинать.
Думайте последовательностями, а не только отдельными событиями. Это основной урок, который уже преподал EDR. Необычный вызов API интересен, но агент, извлекающий конфиденциальные документы, форматирующий вывод и совершающий неожиданный исходящий вызов, складывается в историю. Последовательность действий обеспечивает истинный сигнал для обнаружения.
Наконец, устраните разрыв между вашей программой безопасности ИИ и вашим SOC. Большая часть работы по безопасности ИИ сегодня находится в рамках функции управления ИИ или команды данных. Это не то место для поведенческого обнаружения. SOC обладает мощностью для триажа, наборами процедур реагирования на инциденты и интеграциями инструментов. Передача телеметрии поведения ИИ аналитикам SOC — это отчасти технологическая проблема. В большей степени это организационная проблема.
Сигнал уже здесь
История безопасности конечных точек не закончилась плохо. Она созрела. Команды, которые инвестировали в поведенческую телеметрию до того, как она им понадобилась, создали программы, которые выдержали сдвиг в модели угроз. Те, кто удвоил усилия по статическому контролю, были вынуждены перестраиваться с нуля, когда реальность настигла их.
Поведение ИИ уже генерирует сигналы в вашей среде. Вопрос не в том, произойдет ли сдвиг от состояния к поведенческому обнаружению в безопасности ИИ. Он произойдет по тем же причинам, по которым это произошло на конечных точках. Вопрос в том, будет ли ваша команда готова действовать на основе этих сигналов, когда это будет важно.
Окно открыто. Оно не будет оставаться таким вечно.
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Amir Khayat
