Кибербезопасность: больше профилактики, меньше лечения

кибербезопасность предотвращение обнаружение угрозы ии безопасность csoonline.com

Кибербезопасность перекосилась в сторону обнаружения, а не предотвращения. Эксперты призывают инвесторов и вендоров вернуть фокус на блокировку атак, а не только на реакцию. Узнайте, почему профилактика снижает затраты и риски эффективнее, чем оповещения и аналитика.

Спросите любого врача, и он скажет вам, что профилактика лучше лечения. Это более экономически эффективно и даёт лучшие результаты.

То же самое верно и в кибербезопасности. Но мы считаем, что наша индустрия слишком далеко отошла от этой простой концепции. Мы замечаем, что большинство новых инструментов ориентированы на обнаружение, и мы призываем кибериноваторов и венчурных инвесторов вновь сделать акцент и вложить ресурсы в блокировку, а не просто в выявление проблем.

Причины, по которым кибербезопасность опирается на обнаружение, понятны и основаны на истории сетевых систем. Ранние системы были хрупкими. Восстановление было медленным, а простои — дорогостоящими. Поэтому первые средства защиты были разработаны для ограничения несанкционированного доступа. Они блокировали выполнение и предотвращали эксплуатацию, потому что если бы атака удалась — например, компьютерный вирус успешно запустился, — последствия могли быть необратимыми.

Когда в 1990-х годах взорвался интернет, количество решений для предотвращения умножилось. Вендоры разрабатывали файрволы и антивирусные платформы, чтобы останавливать угрозы до того, как они начнутся.

Но, конечно, атакующие адаптировались, а сети стали более сложными. Периметровые средства защиты больше не были достаточными сами по себе. Киберотрасль ответила системами обнаружения вторжений, а позднее — Security Information and Event Management. Обнаружение получило импульс от крупномасштабной агрегации логов и аналитики.

Это было отличным дополнением к предотвращению. Но оно никогда не предназначалось для его замены.

Обнаружение не снизило риск

Безопасность сегодня сосредоточена на видимости, оповещении и реагировании. Руководители используют такие метрики, как среднее время обнаружения и среднее время реагирования, и компрометация часто считается неизбежной. Но по мере улучшения обнаружения это не привело к пропорциональному снижению уровня компрометаций.

Отчёт IBM Cost of a Data Breach Report последовательно показывает, что более быстрое выявление и сдерживание снижают финансовое влияние. Но средняя глобальная стоимость утечки по-прежнему составляет миллионы долларов — потому что обнаружение не предотвращает первоначальную компрометацию.

Первоначальная проблема продолжает исходить из обычных мест: известных уязвимостей, украденных учётных данных или неправильных конфигураций. Другими словами, обнаружение снижает краткосрочное влияние, но не уменьшает структурный риск.

Ограничения модели «сначала обнаружение»

Когда мы собираемся на отраслевые форумы, такие как RSAC Conference, темы включают автоматизацию, реагирование на основе ИИ и операционную устойчивость. Это, безусловно, важно, но у этого есть ограничения. Обнаружение порождает ложные срабатывания и шум. Объём оповещений начинает опережать способность человека обрабатывать их для выявления реальных проблем. Усталость от оповещений реальна, а нехватка кадров продолжается.

Мы замечаем, что соотношение инструментов обнаружения к инструментам предотвращения становится всё больше. RSAC Conference проводит крупнейший стартап-конкурс в сфере кибербезопасности. За последние три года в конкурсе приняли участие более 500 новых киберкомпаний, и мы оцениваем, что более 70% из них выпускают инструменты обнаружения, а не предотвращения.

Обнаружение активируется только после того, как произошёл сбой, и, к сожалению, современные злоумышленники теперь действуют на машинной скорости. Уязвимости атакуются через автоматизацию, а искусственный интеллект генерирует фишинговые кампании в огромных масштабах.

Поскольку ИИ снижает барьеры для входа и ускоряет возможности, поверхность атаки будет расширяться ещё больше. Достижения в некоторых передовых моделях ИИ, таких как Anthropic’s Mythos и OpenAI’s GPT-5.5, могут выявить ранее неизвестные риски нулевого дня, объединяя различные низкорисковые уязвимости.

Если этого недостаточно, квантовые вычисления вызывают опасения по поводу криптографической устойчивости. Полагаться в основном на более быстрое оповещение — не лучший ответ на все эти угрозы, которые будут лишь множиться быстрее.

Предотвращение меняет экономику

С другой стороны, предотвращение меняет оборонительную экономику. Чтобы сократить пространство проблем, специалист может предпринять следующие действия: внедрить устойчивую к фишингу многофакторную аутентификацию (MFA), блокировать вредоносное выполнение, сегментировать сети и проактивно управлять уязвимостями.

По мере снижения экспозиции объём оповещений уменьшается. Обнаружение становится более эффективным, поскольку снижается уровень шума.

Исследования показывают, что организации реже сталкиваются с высокоэффективными утечками, если у них есть зрелое управление идентификацией, проактивное исправление уязвимостей и принципы zero trust. Зрелость предотвращения коррелирует со снижением серьёзности инцидентов и долгосрочных затрат. Для ценности не требуется совершенства.

Мы считаем, что руководители по безопасности должны пересмотреть, как определять успех. Сокращение времени пребывания — времени, которое злоумышленник находится внутри ваших систем, — важно. Сокращение точек входа — фундаментально. Но когда бюджеты отдают предпочтение видимости после компрометации, а не архитектуре и управлению предотвращением, кибербезопасность не выполняет свою первоначальную миссию.

ИИ только усилит дисбаланс, поскольку возможности, которые раньше требовали многолетнего обучения, теперь могут быть развёрнуты быстро. Оффенсивные наборы инструментов легко доступны.

Достижение лучшего баланса

Мы считаем, что масштабируемые архитектуры и возможности предотвращения представляют собой лучший путь вперёд, чем расширение штата аналитиков.

Киберугрозы будут ускоряться, и обнаружение останется необходимым. Но наша профессия не должна определяться тем, насколько эффективно мы наблюдаем за компрометацией. Она должна определяться тем, насколько эффективно мы снижаем вероятность компрометации в первую очередь.

Эта статья опубликована в рамках сети экспертных участников Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: