На протяжении многих лет стратегия кибербезопасности строилась на простом предположении: злоумышленники и защитники действуют примерно с одинаковой скоростью. Люди принимают решения, инструменты помогают, а процессы разработаны так, чтобы у аналитиков было время обнаружить угрозу, расследовать ее и отреагировать. Это предположение теперь неверно. Последние достижения в области ИИ коренным образом меняют то, как обнаруживаются и осуществляются атаки. В контролируемых тестах современные модели уже способны выявлять уязвимости и генерировать рабочие эксплойты с минимальным участием человека. Автономность меняет кибербезопасность более фундаментально, чем любая другая тенденция за последнее время. И все же, именно здесь большинство организаций до сих пор не скорректировали свои подходы. Многие продолжают работать в рамках моделей «допущение взлома» (assume breach) или «проактивная безопасность» (proactive security), обе из которых были разработаны для противодействия человеку-противнику. Они предполагают, что есть время для проверки, эскалации и принятия решений. В среде, где обнаружение, эксплуатация и боковое перемещение могут быть объединены в автономную цепочку, эта задержка становится слабостью. Настоящий сдвиг носит концептуальный характер. Командам по безопасности необходимо перейти к мышлению «допущение автономности» (Assume Autonomy), проектируя свою архитектуру исходя из того, что как атака, так и защита будут все чаще осуществляться через автономные системы. Проблема заключается не только в скорости, но и в структуре. Многие организации вложили значительные средства в инструменты, но по-прежнему не имеют целостной операционной картины. Данные фрагментированы, видимость непостоянна, а самые сложные участки среды остаются наименее понятными: неуправляемые устройства, операционные технологии (OT) и удаленные активы. Это создает опасный разрыв между воспринимаемым контролем и фактическим уровнем подверженности угрозам. Автономность не решает эту проблему. Она ее усугубляет. Внутренняя угроза — это больше не только человек. Это все, что находится в пределах доверенного периметра и обладает разрешениями, контекстом и возможностью действовать. Если организация не имеет четкой видимости своей среды, она не может безопасно автоматизировать принятие решений внутри нее. Нельзя устранить уязвимости там, где их не видно, и нельзя обеспечить соблюдение политик там, где активы не поняты должным образом. В этом контексте защита, управляемая ИИ, без базовой видимости рискует превратиться в автоматизированное угадывание. Вот почему следующий этап безопасности заключается не просто в принятии ИИ, а в построении того, что можно назвать Интерактивной Безопасностью (Interactive Security). Это означает сочетание автоматизации с условиями, необходимыми для ее надежной работы в производственных средах. Именно так организации движутся к Доверенной Автономности (Trusted Autonomy): автономной защите, на которую можно положиться для работы на машинной скорости без создания большего риска, чем она устраняет. Важны четыре условия. Во-первых, контекст. Решения должны основываться на четком понимании актива, его зависимостей и его влияния на бизнес. Без этого автоматизация не сможет правильно расставить приоритеты. Во-вторых, ограничение. Автономные действия должны быть строго ограничены по объему и постепенно расширяться по мере накопления уверенности. Широкие, неконтролируемые действия — это то, где риск возрастает быстрее всего. В-третьих, обратимость. Возможность быстро отменить изменения — это то, что делает автоматизацию жизнеспособной в масштабе. Без нее каждое решение несет непропорциональный риск. В-четвертых, прозрачность. Команды должны понимать, почему система действует, а не только то, что она делает. Без объяснимости доверие разрушается, а человеческий надзор становится неэффективным. Если все это сделать правильно, произойдет нечто важное. Безопасность станет последовательной. Не идеальной, но предсказуемой. Это то, что позволяет организациям безопасно наращивать автономность с течением времени. Есть последний момент, который часто упускают из виду: неправильное определение роли человека. Незаинтересованный аналитик, одобряющий автоматизированные решения без контекста, — это не осмысленный надзор. Это операционная ответственность. Роль человека должна эволюционировать: от принятия каждого решения к определению границ, проверке результатов и вмешательству, когда системы действуют за пределами ожидаемого поведения. Направление движения очевидно. Злоумышленники уже движутся к автономным операциям. Вопрос больше не в том, меняет ли автономность кибербезопасность, а в том, готовы ли защитники управлять ею, прежде чем будут вынуждены доверять ей под давлением.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Rik Ferguson
