На протяжении десятилетий кибербезопасность была битвой мастерства. Элитные злоумышленники против элитных защитников. Правила ведения боя были понятны, даже если условия игры не были равными. Если вы нанимали лучших аналитиков и приобретали лучшие инструменты, вы, как надеялись, достаточно укрепляли свои системы и создавали возможности обнаружения, которые истощали терпение противника.
Эта эра закончилась, и большинство программ безопасности еще не до конца осознали, что пришло ей на смену. Враждебный ИИ индустриализировал эксплуатацию уязвимостей. То, что раньше требовало скоординированной команды технически изощренных злоумышленников для проведения разведки, создания вредоносного ПО, бокового перемещения и закрепления, теперь может выполняться автономно, на машинной скорости, одновременно против тысяч сред. Злоумышленникам больше не нужны глубокие технические знания. Им нужны вычислительные мощности, капитал и доступ к инструментам ИИ — все это уже стало товаром.
Подумайте, на что раньше полагалась ваша команда. Злоумышленники оставляли следы, сигнализирующие об их присутствии — шаблоны, которые можно было изучить, сигнатуры, которые можно было обнаружить, а их кампании развивались достаточно медленно, чтобы их можно было отследить. Этого больше нет. Разведка, которая раньше занимала дни, теперь занимает минуты. Атаки, которые ваши инструменты были обучены распознавать, переписываются на лету. И скоординированные человеческие команды, которые когда-то ограничивали количество целей, которые противник мог поразить одновременно? Теперь их легко перехитрить одному актору с правильными инструментами ИИ. Ваша архитектура была разработана для угрозы, которой больше не существует.
Проблема носит структурный характер
Пробелы, которые используют противники с поддержкой ИИ, в основном не являются операционными сбоями. Это архитектурные проблемы. По мере расширения корпоративных сред в облаке, операционных технологиях (OT), инфраструктуре идентификации и сторонних интеграциях организации по безопасности реагировали путем наслоения инструментов. Каждая новая поверхность атаки получала новый контроль, новый сканер, новую панель мониторинга. Это создало архитектуру безопасности, которая одновременно сложна и фрагментирована — генерируя огромные объемы сигналов, но давая мало ясности относительно того, где находится реальный риск.
Конкретные сбои знакомы любому, кто проводил расследование реального взлома. Средства контроля, которые не обмениваются контекстом, означают, что сканер уязвимостей может пометить неверную конфигурацию, инструмент управления идентификацией может пометить учетную запись с избыточными привилегиями, а платформа конечных точек может сгенерировать оповещение — ни один из них не может ответить на вопрос, на который злоумышленник уже нашел ответ: можно ли связать эти уязвимости в жизнеспособный путь к чему-то критически важному?
Видимость в гибридных средах и средах с несколькими облаками остается в лучшем случае фрагментарной; злоумышленники свободно перемещаются через границы, которые защитники часто не видят. Угрозы для идентификационных данных — учетные записи служб с избыточными привилегиями, устаревшие учетные данные, неверно настроенные отношения доверия — создают пути бокового перемещения, которые остаются незамеченными, пока кто-то уже глубоко не проник в среду. Перегрузка оповещениями заставляет команды безопасности тратить непропорционально много времени на результаты, не имеющие реалистичного пути эксплуатации.
Ничто из этого не удивляет работающих специалистов по безопасности. Менее очевидно то, что это не проблема ресурсов. Больше аналитиков и больше изолированных инструментов, наложенных на фрагментированную архитектуру, производят больше того же самого. Инструменты безопасности созданы для обнаружения и оповещения. Они не были созданы для того, чтобы показать вам, что видит злоумышленник, глядя на вашу среду.
Злоумышленники уже использовали автоматизацию для расширения своего охвата. ИИ позволит им использовать пути атак с беспрецедентной скоростью. Поэтому, как бы клишированно это ни звучало, защитникам необходимо поставить себя на место злоумышленников и скорректировать свой подход, исходя из этого.
Как защитники могут изменить уравнение
Этот сдвиг мышления начинается с постановки других вопросов. Большинство программ безопасности строятся вокруг вопроса «какие уязвимости существуют?». Лучший вопрос: «что злоумышленник может реально сделать с тем, что есть в моей среде прямо сейчас?»
Это переосмысление имеет реальные последствия для того, как управляются программы. Скорость реагирования на инциденты имеет значение, но это последующая переменная. Первоочередной вопрос заключается в том, как сделать инциденты, вызванные структурными пробелами и недостатками, менее вероятными — а это требует понимания вашей среды так, как это делает злоумышленник, как сети взаимосвязей, которые можно объединить в цепочку, а не как набора независимых активов и средств контроля. Большинство команд безопасности никогда не составляли карту своей среды с этой точки зрения. Большинство злоумышленников это сделали.
Это также означает приоритизацию устранения уязвимостей на основе реальной возможности эксплуатации, а не оценки CVSS или критичности актива в изоляции. Это основы управления воздействием (Exposure Management) — «EM» в рамках фреймворка Gartner по непрерывному управлению воздействием угроз (Continuous Threat Exposure Management), который обеспечивает структуру для замены неработающих процессов управления уязвимостями. Управление воздействием операционализирует принцип «думай как злоумышленник» в масштабе.
Программы безопасности, которые отдают приоритет реальной возможности эксплуатации, работают над правильной проблемой. В отчете Verizon DBIR за 2025 год было установлено, что медианное время массовой эксплуатации уязвимостей периферийных устройств составляло ноль дней, в то время как организациям требовалось в среднем 32 дня для их полного устранения. И отдельно, среднее время установки исправлений для 17 известных уязвимостей периферийных устройств составило 209 дней. Вы не сможете устранить этот разрыв, занимаясь всем в равной степени.
Настоящее преимущество защитника: Знай свою среду
Существует версия текущего ландшафта угроз, которая ведет к фатализму. Зачем вступать в бой, который вы структурно проигрываете? Легко прийти к такому выводу, но это неверная трактовка. В конечном счете, я считаю, что защита станет столь же автоматизированной — настоящей битвой машин.
Но даже до того, как мы до этого дойдем, у защитников есть структурное преимущество, которое не устранит никакое количество враждебного ИИ: они действуют внутри среды, которую защищают. Они видят полную топологию, отношения идентификации, компенсирующие средства контроля, критически важные активы. Злоумышленник, каким бы изощренным ни было его инструментарий, должен обнаружить все это извне. Защитники уже знают это. По крайней мере, должны знать.
У большинства организаций есть базовые данные для понимания собственных уязвимостей. Задача состоит в том, чтобы синтезировать их во что-то действенное — непрерывно видеть то, что увидел бы злоумышленник, и какие пути действительно ведут к чему-то опасному.
Начните с видимости, которая действительно пересекает границы, которые ваш стек инструментов создал за годы реактивных покупок. Серьезно отнеситесь к приоритизации на основе того, что действительно может быть использовано в вашей среде, а не того, что имеет наивысший балл в электронной таблице. И перестаньте смешивать тесты, обусловленные соответствием требованиям, с вашей текущей позицией в отношении рисков — они говорят вам, как выглядели вещи в прошлом квартале, а не сегодня.
Обсуждения, которые руководители по информационной безопасности (CISO) должны вести на уровне совета директоров, должны быть сосредоточены на том, может ли текущая программа выявить, когда у злоумышленника, усиленного ИИ, есть четкий путь к самым ценным активам компании.
Индустриализация эксплуатации — это подлинный сдвиг в экономике и логистике противника. Но структура проблемы не изменилась. Защитники, которые понимают собственную среду лучше, чем злоумышленники, — и которые строят свои программы, опираясь на это преимущество, — находятся в более сильной позиции, чем предполагают заголовки о киберугрозах.
Используете ли вы преимущество защитника?
Самый быстрый способ это узнать — попросить вашу команду ответить на следующие вопросы:
- Сколько критически важных корпоративных активов имеют подтвержденный путь атаки от точки входа, доступной из интернета?
- Как это число изменилось поквартально?
- Какой процент наших усилий по устранению уязвимостей закрыл реальный путь, а не теоретическое замечание?
- Знаем ли мы способы, которыми злоумышленник может создать путь атаки к нашим критически важным активам?
- Оцениваем ли мы непрерывно все возможные пути атаки на наши критически важные активы?
Затем, если вам не нравятся ответы, пора пересмотреть архитектуру ваших средств контроля. Лучший способ избежать киберсбоев из-за враждебного ИИ — устранить структурные проблемы, чтобы эти пути атак не были реализованы в первую очередь.
Carpe Diem!
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jason Fruge




