Почему исправление архитектуры данных важнее обновления моделей обнаружения в сфере безопасности

ии кибербезопасность данные схемы телеметрия Soc csoonline.com

Руководители служб безопасности активно наращивают расходы на ИИ в кибербезопасности. Однако эффективность инструментов ИИ часто снижается из-за проблем с данными: фрагментированной телеметрии, дрейфа схем и устаревших базовых линий.

Руководители служб безопасности активно наращивают расходы. Мировой рынок ИИ в кибербезопасности оценивается в 44 миллиарда долларов к 2026 году и, по прогнозам, достигнет 213 миллиардов долларов к 2034 году. Эта траектория отражает искреннюю веру в то, что машинное обучение закроет разрыв между объемом угроз и пропускной способностью аналитиков-людей. Эта вера не ошибочна. Ошибочно то, на чем сосредоточено большинство организаций, когда инструменты перестают работать.

Когда обнаружение на основе ИИ показывает низкую эффективность, инстинкт подсказывает настроить алгоритм, переобучить модель или потребовать от поставщика лучший продукт. Настоящий виновник в большинстве случаев находится выше по потоку в конвейерах данных задолго до того, как какая-либо модель увидит событие. Фрагментированная телеметрия, несогласованные схемы и устаревшие поведенческие базовые линии незаметно снижают производительность систем безопасности на базе ИИ в масштабах предприятия. Исправление алгоритма без исправления данных сродни перекалибровке весов, когда входные данные постоянно меняются.

Проблема разрастания инструментов, о которой никто не говорит на уровне данных

Большинство крупных предприятий работают не с чистыми, унифицированными данными безопасности. Они работают с десятилетиями накопленных инфраструктурных решений. Исследования показывают, что среднее предприятие использует 83 различных продукта безопасности от 29 независимых поставщиков, а группы SOC обрабатывают почти 3000 оповещений в день, при этом 63 процента остаются без внимания. Каждый из этих инструментов генерирует собственную телеметрию в собственном формате, со своими правилами именования полей, стандартами временных меток и схемами метаданных.

Аналитики-люди вырабатывают интуицию для навигации в этой несогласованности. Модели машинного обучения — нет. Модель поведенческого обнаружения, обученная сопоставлять события аутентификации на вашей платформе идентификации, агенте конечной точки и брокере облачного доступа, даст ненадежные результаты, если эти три инструмента называют одно и то же поле тремя разными именами. Модель не сломана. Ей подают структурно несогласованные данные и просят найти закономерности в шуме.

Сколько на самом деле стоит дрейф схемы

Здесь проблема становится невидимой и дорогостоящей. Дрейф схемы, постепенное изменение форматов данных в конвейерах безопасности с течением времени, редко вызывает оповещение. Форматы журналов меняются, когда поставщики выпускают обновления. Новые источники телеметрии добавляют поля, которых ранее не существовало. Платформы идентификации переименовывают атрибуты, не уведомляя команду инженеров по безопасности. В течение месяцев статистические закономерности, на которых обучались ваши модели поведенческого обнаружения, перестают соответствовать данным, которые эти модели получают в рабочей среде.

Последствия в точности соответствуют тому, с чем сталкивается большинство CISO: повышенный уровень ложных срабатываний, усталость аналитиков и пробелы в обнаружении, которые становятся очевидными только после инцидента. Большинство руководителей служб безопасности не осознают, что эти симптомы прослеживаются до уровня данных, а не до уровня алгоритмов. Gartner прогнозирует, что к 2026 году организации откажутся от 60 процентов проектов ИИ из-за недостаточного качества данных, и эта закономерность проявляется в операциях безопасности так же очевидно, как и везде.

Устаревшие базовые линии — преимущество для злоумышленника

Проблема свежести данных недооценивается как риск безопасности. Модели поведенческого ИИ строят базовые линии на основе исторической активности. В быстро меняющихся корпоративных средах эти базовые линии устаревают быстрее, чем осознает большинство команд безопасности.

Переход на гибридную работу резко изменил модели доступа. Внедрение облачных технологий изменило ресурсы, с которыми пользователи взаимодействуют и когда. Слияния и поглощения приводят новые группы пользователей с совершенно разными поведенческими профилями. Когда модели ИИ оценивают сегодняшнюю активность по базовым линиям, построенным на основе рабочей силы и инфраструктуры, которых больше не существует, результаты предсказуемы: законный доступ вызывает оповещения об аномалиях, а изощренные злоумышленники, изучающие закономерности базовых линий, могут оставаться незамеченными именно потому, что предположения модели не успевают за изменениями в среде.

Исследование IBM о затратах на плохое качество данных оценивает среднюю годовую стоимость некачественных данных в 12,9 миллиона долларов на организацию. В контексте безопасности эта цифра не учитывает затраты на реагирование на инциденты, регуляторные риски или репутационный ущерб, которые следуют за сбоем обнаружения, укоренившимся в плохой архитектуре данных.

Организационный разрыв, который поддерживает эту проблему

Причина сохранения этой проблемы структурна. Конвейерами данных обычно управляют команды по работе с данными или инженерии инфраструктуры. Модели обнаружения принадлежат аналитикам SOC или командам по анализу угроз. Системы ИИ, находящиеся между этими двумя функциями, часто не принадлежат ни тем, ни другим. Когда качество обнаружения падает, команды безопасности настраивают параметры. Инженерные команды сосредоточены на стоимости и доступности конвейера. Никто не несет ответственности за аналитическую согласованность данных, проходящих через систему, потому что эта конкретная лакуна не входит ни в чье должностное описание.

Это проблема руководства в большей степени, чем техническая. CISO, желающие, чтобы инструменты безопасности на базе ИИ работали так, как заявлено, должны устранить этот разрыв в ответственности и относиться к телеметрии безопасности с той же строгостью, что и к другим критически важным для бизнеса активам данных.

Три приоритета для руководителей служб безопасности

Решение этой проблемы не требует замены платформы или многолетней программы трансформации. Оно требует целенаправленного внимания к трем областям:

  1. Стандартизируйте схемы телеметрии по всему стеку безопасности. Единая схема, даже несовершенная, дает моделям машинного обучения последовательную основу. Установите соглашения об именовании общих полей, нормализуйте форматы временных меток и документируйте отклонения, когда поставщики не могут соответствовать требованиям. Это не разовый проект. Это постоянное управление.
  2. Внедрите мониторинг качества данных в каждый конвейер приема. Прежде чем какое-либо событие достигнет системы машинного обучения, проверьте его на наличие отсутствующих полей, аномалий временных меток и отклонений схемы. Выявление дрейфа данных при приеме данных обходится намного дешевле, чем диагностика сбоев обнаружения после реального инцидента или после того, как злоумышленник уже совершил боковое перемещение.
  3. Применяйте дисциплину управления к данным безопасности, а не только к бизнес-данным. Отслеживание происхождения, правила проверки и схемы с контролем версий должны присутствовать в конвейерах безопасности так же, как и в конвейерах финансовой отчетности. Телеметрия безопасности является критически важным бизнес-активом и должна управляться соответствующим образом.

Инструменты безопасности на базе ИИ в вашем стеке способны обеспечить реальную ценность в борьбе с современными угрозами. Но эта возможность полностью зависит от качества, согласованности и актуальности данных, поступающих в них. Прежде чем ваша организация инвестирует еще один доллар в настройку моделей или обновление платформ, задайте более сложный и продуктивный вопрос: когда в последний раз кто-либо проводил аудит конвейеров, от которых на самом деле зависят эти модели?

Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: