Когда новая возможность ИИ попадает в заголовки новостей, я наблюдаю одну и ту же картину в залах заседаний советов директоров и на совещаниях высшего руководства. Технология представляется как надвигающийся прорыв для злоумышленников. Разговор быстро переходит к наихудшим сценариям. Затем руководителей по безопасности задают в той или иной форме один и тот же вопрос: не стали ли мы внезапно уязвимы так, как не были уязвимы ранее?
Мой ответ обычно отрицательный.
В большинстве организаций главная проблема не в том, что передовая модель, такая как Mythos, волшебным образом создаст новую категорию риска в одночасье. Проблема в том, что эти модели могут ускорить работу по обеим сторонам уравнения кибербезопасности. Злоумышленники могут использовать их для ускорения действий, но и защитники могут применять их для выявления, приоритизации и устранения уязвимостей, которые годами находились на виду.
Именно поэтому я рассматриваю Mythos как сигнал, а не как сирену. Он сигнализирует об изменении экономики кибератак и защиты. Он не сигнализирует о том, что основы безопасности перестали иметь значение. Скорее, он доказывает обратное. Организации, которые имеют четкую видимость активов, дисциплинированное применение исправлений, строгий контроль идентификации и устойчивые операционные модели, будут в гораздо лучшем положении, чтобы поглотить любые последующие изменения, связанные с ИИ.
Эта точка зрения важна, поскольку недавняя отчетность об утечках по-прежнему указывает на знакомые точки отказа. В Отчете об анализе утечек данных за 2025 год от Verizon показано, что злоупотребление учетными данными и эксплуатация уязвимостей остаются центральными темами компрометации организаций, при этом эксплуатация продолжает расти. Иными словами, путь внутрь предприятия по-прежнему прокладывается слабостями, о которых команды безопасности уже знают.
Настоящая проблема по-прежнему в основах
По моему опыту, у многих организаций не столько проблема со стратегией, сколько с исполнением. Руководители по безопасности знают основы. Их команды знают основы. Их аудиторы, регуляторы и комитеты совета директоров знают основы. Трудность заключается в поддержании этих основ на постоянной основе в условиях гибридных сред, устаревших систем, облачных платформ, удаленных пользователей и разрастающихся сторонних зависимостей.
Поэтому я с осторожностью отношусь к прогнозам о том, что ИИ фундаментально изменит актуальность мер контроля. Большинство успешных взломов по-прежнему начинаются с известной слабости, которая не была устранена, неправильно приоритизирована или изначально не была видна. Неисправленная система, доступная из интернета. Неправильно настроенная связь идентификации. Чрезмерные привилегии. Слабая сегментация. Сервисная учетная запись, которую никто не проверял годами. Критически важное для бизнеса исключение, которое незаметно стало постоянным.
Я видел, как программы безопасности теряют темп, когда они чрезмерно фокусируются на новейшем нарративе угроз. Они начинают финансировать периферийные сценарии использования, в то время как старые пробелы в контроле остаются открытыми. Они покупают больше инструментов, прежде чем наладить ответственность, дисциплину процессов и подотчетность. Они рассматривают зрелость кибербезопасности как набор проектов, а не как операционную модель. Такой подход был рискованным до появления передового ИИ, и он станет еще более рискованным, если эти модели еще больше сократят временные рамки для злоумышленников.
Если Mythos и изменит что-то для большинства предприятий, так это срочность наведения порядка в основах. Он увеличивает стоимость задержек. Он повышает цену технического долга в сфере безопасности. Он усиливает давление на команды, которые и так с трудом инвентаризируют активы, анализируют результаты и устраняют разрыв между тем, что они знают, и тем, что они фактически исправили.
Этот сдвиг должен также изменить наш подход к приоритизации работы. Во многих программах бэклог уязвимостей растет, потому что команды принимают решения фрагментарно. Инфраструктура отвечает за один фрагмент. Операции по безопасности — за другой. Команды по идентификации, облаку и приложениям видят разные срезы проблемы. Теряется полная картина риска. Вот почему многие организации чувствуют себя занятыми, но не становятся заметно безопаснее. Они устраняют проблемы, но не последовательно сокращают комбинации слабостей, которые на самом деле используют злоумышленники.
Практический вывод прост. Прежде чем руководители предположат, что Mythos создает совершенно новую модель угроз, им следует задать более простой вопрос: где мы все еще слабы таким образом, что злоумышленник немедленно это распознает? По моему опыту, этот вопрос приводит к более честному и продуктивному обсуждению, чем любые умозрительные дебаты о том, что в конечном итоге может сделать ИИ.
ИИ может помочь защитникам устранить пробелы, о которых они уже знают
Более конструктивный подход к осмыслению Mythos — спросить, где передовой ИИ может улучшить защитные возможности прямо сейчас. Я не имею в виду замену аналитиков или передачу конфиденциальных решений модели без надзора. Я имею в виду использование ИИ для решения проблем, которые команды безопасности давно поняли, но не имели масштаба или времени для их последовательного решения.
Управление идентификацией — хороший пример. NIST заявляет, что управление идентификацией и доступом является фундаментальной и критически важной возможностью кибербезопасности. Большинство CISO согласятся. Однако среды идентификации по-прежнему полны расхождений: вложенные группы, унаследованные права доступа, устаревшие учетные записи, несогласованные определения ролей и привилегированный доступ, который сохраняется долго после того, как деловая необходимость в нем отпала. Эти проблемы редко бывают невидимыми. Просто их трудно анализировать целостно в режиме реального времени.
Именно здесь ИИ может стать ценным. Он может помочь сопоставить взаимосвязи между каталогами, плоскостями управления облаком, заявками, журналами и хранилищами политик. Он может помочь выявить необычные комбинации доступа, определить вероятные пути атак и приоритизировать исправления на основе влияния на бизнес, а не на основе необработанного объема оповещений. Преимущество не в большем количестве шума. Преимущество в более быстром понимании.
Та же логика применима к управлению уязвимостями и установке исправлений. У большинства предприятий уже есть сканеры, системы заявок и информационные панели. Чего им часто не хватает, так это последовательного способа определить, какие уязвимости наиболее важны в контексте возможности эксплуатации, подверженности, компенсирующих мер контроля и критичности активов. Передовой ИИ может помочь командам перейти от длинного списка результатов к более короткому списку действий, которые существенно снижают риск.
Я также вижу возможности в управлении конфигурацией и разработке систем обнаружения. Команды безопасности тонут в фрагментированных данных. ИИ может помочь нормализовать доказательства из нескольких источников, выявить отклонения в конфигурации и связать кажущиеся изолированными сигналы в более реалистную картину операционного риска. Для малочисленных команд это особенно важно. Это может означать трату большего времени на снижение риска и меньшего времени на сверку электронных таблиц, дублирующихся оповещений и несвязанных рабочих процессов.
Ничто из этого не устраняет необходимость в квалифицированных специалистах. Это просто дает им рычаг воздействия. А в области, где объем угроз постоянно превышает доступный персонал, рычаг воздействия имеет значение.
Самое важное, что это не призыв передать управление модели. Это призыв использовать ИИ там, где отдача наиболее очевидна: ускорение анализа, улучшение приоритизации и помощь командам в устранении давних пробелов в контроле. Иными словами, самая большая возможность заключается не в создании футуристического театра безопасности. Она в том, чтобы наконец-то операционализировать основы со скоростью, которую может поддерживать бизнес.
Разговор с советом директоров должен сместиться от страха к устойчивости
Самый важный сдвиг, который должен спровоцировать Mythos, возможно, вообще не технический. Он должен изменить то, как CISO общаются с советами директоров, генеральными директорами и операционными руководителями.
Слишком часто новые технологии вынуждают руководителей по безопасности участвовать в реактивных беседах, основанных на страхе. Подразумеваемое сообщение заключается в том, что появилась новая возможность для злоумышленников, поэтому организации теперь нужен новый бюджет, еще одна платформа или очередной раунд срочных исключений. Иногда это правда. Часто это не так. Чаще лучше отреагировать, связав новое развитие с существующими приоритетами риска и подкрепив инвестиции, которые повышают устойчивость в различных сценариях.
Когда я обсуждаю с руководителями риски кибербезопасности, обусловленные ИИ, я стараюсь сосредоточить разговор на трех моментах:
- Большинство потерь от кибератак по-прежнему происходят из-за предотвратимых слабостей. Это не утешительное сообщение, но оно действенное.
- Улучшения в области идентификации, управления активами, дисциплины установки исправлений, надзора за третьими сторонами и готовности к реагированию приносят пользу, выходящую за рамки любого отдельного цикла угроз.
- Организации, которые лучше всего управляют сложностью, как правило, превосходят те, которые реагируют наиболее драматично.
Такая формулировка также помогает советам директоров задавать более правильные вопросы. Вместо того чтобы спрашивать: «Что мы делаем по поводу Mythos?», им следует спросить: «Где ИИ сделает наши текущие слабости более дорогостоящими или более эксплуатируемыми?». Вместо того чтобы запрашивать точечное решение, им следует спросить, согласована ли безопасность и ИТ-операции по работе с наиболее рискованными работами по устранению последствий. Вместо того чтобы измерять активность, им следует измерять, сокращается ли технический долг в сфере безопасности.
Для CISO это возможность. Mythos можно использовать для оправдания очередного раунда паники или для повышения качества обсуждения рисков. Я считаю, что лучший путь очевиден. Используйте внимание, чтобы укрепить основы. Используйте технологию для улучшения приоритизации. Используйте этот момент, чтобы устранить хронические сбои в контроле, которые злоумышленники эксплуатируют десятилетиями.
Вот почему я не рассматриваю Mythos как сирену, требующую чрезмерной реакции. Я вижу в нем сигнал о том, что предприятия, наиболее подготовленные к эпохе ИИ, будут теми, кто наконец-то приведет в действие то, о чем руководители по безопасности говорят годами: устойчивость строится на дисциплинированном исполнении, а не на импровизации, вызванной заголовками новостей.
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Nick Britton
