На протяжении 30 лет кибербезопасность функционировала как отделение неотложной помощи. Реактивно. Управляемая кризисами. Постоянно занимающаяся сортировкой. Мы исключительно хороши в этом — наше обнаружение стало быстрее, наши планы реагирования отточеннее, наши группы по инцидентам компетентнее, чем когда-либо. Когда что-то идет не так, современная служба безопасности с подлинным мастерством устремляется к очагу возгорания.
Но вот неудобная правда, которую искусственный интеллект (ИИ) теперь выводит на свет: отделение неотложной помощи не создает здоровое население. Здравоохранение создает его — посредством профилактики, непрерывного мониторинга, ранней диагностики и модели всего пациента.
Кибербезопасность никогда не создавала такой модели. Мы построили травматологию и назвали это профессией.
Долгое время нам это сходило с рук. Среда угроз развивалась со скоростью человеческой реакции. Пробелы в нашем мышлении были терпимы. ИИ положил конец этому льготному периоду. Он не создал новой слабости, а скорее высветил самую старую — и теперь она движется быстрее, чем наша реактивная позиция способна ее поглотить.
У нас нет проблемы с инструментарием. У нас проблема с отсутствием модели. И пока мы не назовем ее, никакие инвестиции ее не решат.
Мы задавали — и давали ответы на — неверный вопрос
Зайдите почти в любой совет директоров, и вы услышите один и тот же обмен репликами. Директор спрашивает CISO: «Мы в безопасности?»
Это неверный вопрос, и большинство из нас знает об этом уже много лет.
«Безопасность» бинарна. Это снимок. Это ответ «да» или «нет» на то, что на самом деле является живым, постоянно меняющимся состоянием. Ни один врач не принял бы такой вопрос от пациента. Врач не спрашивает: «Вы здоровы?» и не ожидает полезного ответа. Он задает лучший набор вопросов: Как вы функционируете? Что говорят жизненно важные показатели? Что движется в неправильном направлении? Что требует внимания сейчас, прежде чем это станет кризисом?
Кибербезопасность никогда не принимала этот образ мышления, потому что у нее никогда не было модели, которая бы этого требовала. У нас есть фреймворки для контроля. У нас есть фреймворки для поведения противника. У нас нет общепринятого фреймворка для организационного здоровья — для того, чтобы понять, хорошо ли функционирует предприятие как единая живая система.
Этот пробел был терпим, когда угрозы были медленными. Сейчас он недопустим.
Почему ИИ разрушает реактивную модель
ИИ меняет три вещи одновременно, и каждая из них наказывает реактивную позицию в частности.
- Он сжимает временные рамки. Разведка, эксплуатация, боковое перемещение и эксфильтрация, которые когда-то занимали дни, теперь происходят за минуты. Модель неотложной помощи предполагает, что есть время между симптомом и вмешательством. ИИ сужает это окно. Нельзя провести сортировку атаки, которая завершается до того, как сортировка начнется.
- Он индустриализирует рутину. ИИ делает компетентные атаки дешевыми и многочисленными — фишинг, грамматически безупречный и контекстуально осведомленный, дипфейки руководителей, санкционирующих переводы, обнаружение уязвимостей в масштабе машин. Реактивная модель предполагает управляемый объем значимых событий. ИИ устраняет это предположение.
- Он вводит новый орган, за которым мы не знаем, как следить. Каждое предприятие теперь внедряет системы ИИ в свои операции — включая свои службы безопасности. Эти системы принимают решения, предпринимают действия и несут риски. Клинически говоря, они являются новым органом внутри тела. И большинство организаций внедрили их без оценки при поступлении, без мониторинга их состояния и без управления их поведением. Мы добавили орган пациенту и ни разу не проверили, здоров ли он.
Реактивная модель не имеет ответа ни на что из этого. Нельзя пересортировать скорость машины. Единственный жизнеспособный ответ — это переход от реакции к здоровью — построение адаптивной способности предприятия до кризиса, а не после него.
Как на самом деле выглядит модель здоровья
Вот мысль, лежащая в основе Клинического фреймворка кибербезопасности — модели, которую я разработал за два десятилетия на посту CISO, и которая получила такой сильный отклик среди коллег за последние месяцы, что убедила меня: она называет то, что индустрия уже чувствует.
Предпосылка проста. Предприятие следует рассматривать не столько как статическую инфраструктуру, сколько как живой организм — и как только руководители ясно увидят эту анатомию, весь разговор о безопасности изменится.
Каждое предприятие имеет одну и ту же основную анатомию:
Это не метафора ради метафоры. Это операционная модель, и она делает три вещи, которые не может сделать контрольный список.
- Она ставит диагностику перед лечением. Ни один компетентный клиницист не назначает лечение до осмотра. Однако кибербезопасность регулярно закупает инструменты до оценки пациента. Модель здоровья требует сначала клинического приема — честной базовой оценки того, как на самом деле функционирует организация — и только затем плана лечения, разработанного для этого конкретного пациента.
- Она делает здоровье измеримым и непрерывным. Жизненно важные показатели пациента отслеживаются непрерывно, на фоне известных здоровых диапазонов, причем направление движения имеет такое же значение, как и текущее значение. Модель здоровья предъявляет к кибербезопасности те же стандарты: не снимок ежегодного аудита, а непрерывный мониторинг реального состояния организации.
- Она дает каждому руководителю один общий вопрос. Ритм сердца универсально понятен — клиницист, администратор и встревоженный член семьи могут прочитать один и тот же монитор и понять один и тот же основной вопрос: ритм ровный, или что-то не так? У кибербезопасности никогда не было такого общего сигнала. Советы директоров получают количество угроз и процент исправленных уязвимостей; они не получают пульса. Модель здоровья дает технологам, руководителям и директорам один общий язык для одной и той же реальности.
Как это соотносится с фреймворками, которые у нас уже есть
Это не заменяет то, что работает. Это дополняет это.
NIST объясняет элементы управления — дисциплинированную архитектуру мер защиты. MITRE объясняет противников — как думают и действуют злоумышленники. Оба аспекта важны. Ни один из них не был создан для ответа на вопрос, хорошо ли функционирует организация в целом.
NIST говорит вам, существуют ли меры защиты. MITRE говорит вам, кто за ними придет. Клиническая модель говорит вам, сможет ли пациент выдержать столкновение — и оправиться от него. Третий вопрос — это тот, который ИИ задает сейчас с такой срочностью, с которой индустрия никогда не сталкивалась. Это недостающий уровень, и он находится над другими, а не в противовес им.
Почему это важно для CISO и совета директоров
Принятие модели здоровья меняет роль CISO и меняет ее к лучшему.
Это выводит CISO из позиции технического специалиста, сообщающего об инцидентах, в позицию клинициста, сообщающего о состоянии. На вопрос «Мы в безопасности?» нет хорошего ответа. «Вот наше организационное здоровье, вот жизненно важные показатели, которые меняются в неправильном направлении, вот план лечения и что он требует» — это разговор, которым совет директоров действительно может управлять.
Это также переосмысливает саму устойчивость. Устойчивость — это не резервная инфраструктура, восстанавливающая данные. Устойчивость, понятая правильно, — это процесс и результат успешной адаптации к сложным условиям — посредством умственной, эмоциональной и поведенческой гибкости. Резервные копии восстанавливают данные. Только адаптивные люди и хорошо управляемые системы восстанавливают организацию. Модель здоровья рассматривает эту адаптивную способность как нечто, что нужно строить и измерять, а не предполагать.
И это дает предприятию способ осмыслить ИИ, соответствующий ставкам. Если ИИ — это новый орган, он требует того, чего требует каждый орган: оценки при поступлении до развертывания, непрерывного мониторинга его состояния, определенных рабочих границ и управления клинического уровня. ИИ, развернутый без этого, — это не возможность. Это неконтролируемый риск внутри тела, которое он должен был защищать.
Пора перестать управлять отделением неотложной помощи
Реактивная эра кибербезопасности заканчивается — не потому, что она потерпела неудачу, а потому, что она никогда не была всей работой. Мы построили превосходное отделение неотложной помощи и приняли его за систему здравоохранения. ИИ — это сила, которая сделала недостающую часть невозможно игнорировать.
Организации, которые будут лидировать в следующем десятилетии, будут не те, у кого больше всего инструментов или самые громкие оповещения. Это будут те, кто сможет ответить на вопрос лучше, чем «Мы в безопасности?»
Они смогут сказать, подкрепляя доказательствами: мы знаем, как функционирует этот организм. Мы следим за его жизненно важными показателями. Мы лечим то, что выявила диагностика. И мы строим адаптивную способность, чтобы поглотить то, что произойдет дальше.
Пора перестать управлять отделением неотложной помощи и начать заниматься медициной.
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Patrick Doliny
