Подпишитесь на наши ежедневные и еженедельные рассылки, чтобы получать последние обновления и эксклюзивный контент о ведущих в отрасли материалах об ИИ. Узнать больше
Генеративный ИИ — это технология настоящего момента — и будущего — но лидеры кибербезопасности еще не задействовали ее по-настоящему. Трудно определить «лучшие практики», когда так много людей хватаются за «новые практики», которые еще не доказали свою эффективность и окупаемость инвестиций.
Поставщики все чаще делают заявления и обещают преимущества ИИ — стимулируют инновации, предлагают прирост скорости и производительности — но эта революционная технология пока не продемонстрировала реальной жизнеспособности в плане кибербезопасности.
Однако, по данным Gartner, 2024 год станет годом, когда наконец появятся продукты безопасности на базе искусственного интеллекта, а в 2025 году эти инструменты начнут давать реальные результаты в управлении рисками.
Этот прогноз входит в число главных тенденций в области кибербезопасности на 2024 год по версии консалтинговой ИТ-компании (среди прочих, рассматриваемых ниже).
«Директора по информационной безопасности обеспокоены тем, как дать своим организациям возможность безопасно, надежно и этично внедрять ИИ-технологии и использовать эту технологию для достижения или ускорения достижения своих стратегических целей», — рассказал Ричард Аддискотт, старший директор-аналитик Gartner, в интервью VentureBeat.
Директора по информационной безопасности одновременно скептически и с оптимизмом относятся к генеративному ИИ
Эддискотт отметил, что в недалеком будущем искусственный интеллект может помочь службам безопасности повысить свои оборонительные возможности, в том числе в таких областях, как управление уязвимостями, а также сбор и обработка информации об угрозах.
«Искусственный интеллект также может помочь команде по обеспечению безопасности повысить эффективность работы, что является ключевым фактором развития бизнеса, учитывая нынешний глобальный дефицит специалистов по кибербезопасности», — сказал он.
Однако сейчас сотрудники, скорее всего, будут испытывать быструю усталость, а не рост производительности, отметил он. Однако организации все равно должны поощрять эксперименты и управлять ожиданиями — как внутри отдела безопасности, так и за его пределами.
В конечном итоге, хотя многие организации изначально настроены скептически, «на эту технологию возлагаются большие надежды в долгосрочной перспективе», — отметил Эддискотт.
Программы по поведению и культуре безопасности укореняются
Культура имеет решающее значение для любой программы кибербезопасности. По данным Gartner, CISO все чаще принимают эту идею и принимают программы поведения и культуры безопасности (SBCP).
Компания прогнозирует, что к 2027 году 50% руководителей служб информационной безопасности на крупных предприятиях будут применять методы обеспечения безопасности, ориентированные на человека.
«SBCP представляют собой более комплексный и интегрированный подход, цель которого — поощрять и внедрять более безопасные модели поведения и методы работы во всех подразделениях организации», — пояснил Эддискотт.
Эта тактика предполагает более целостный взгляд на все роли и функции предприятия, а не просто фокусируется на действиях конечного пользователя.
Чтобы помочь организациям перейти к этой модели, компания Garter разработала PIPE (практики, влияния, платформы, средства реализации) — структуру, определяющую практики, которые традиционно не используются в программах повышения осведомленности в области безопасности, такие как управление организационными изменениями, практики проектирования, ориентированные на человека, маркетинг и связи с общественностью, а также коучинг по вопросам безопасности.
PIPE также призывает организации включать демографические данные сотрудников, бюджеты предприятий, культуру рисков руководителей и цифровую и киберграмотность в свои программы кибербезопасности. Более того, их следует персонализировать, включив данные об использовании сотрудниками различных инструментов безопасности (и здесь может помочь ИИ-ген).
Эддискотт отметил, что SBCP позволяют организациям проводить глубокий анализ данных, чтобы определить, какое поведение сотрудников стало причиной определенных инцидентов безопасности. Например, если они скомпрометировали учетные данные, нажали на небезопасные ссылки или неправильно использовали электронную почту. Затем они могут использовать более сбалансированный подход в дальнейшем.
Он сказал, что поддержка руководства имеет основополагающее значение, как и видение того, как «хорошо выглядит», которое могут понять сотрудники. Лидеры должны понимать, что не существует «универсального» подхода к обучению, и должны также регулярно оценивать эффективность программы.
«SBCP — это гораздо более масштабное мероприятие, чем традиционные программы обучения по вопросам безопасности», — признал Эддискотт, — «и не все организации обладают возможностями, зрелостью или способностью масштабироваться за пределы того, чем они занимаются в настоящее время».
Тем не менее, подчеркнул он, не обязательно придерживаться подхода «все или ничего».
Устранение пробелов в коммуникациях в зале заседаний с помощью показателей
Gartner подчеркивает, что в то время как регуляторы по всему миру стремятся ужесточить правила в отношении кибербезопасности, советы директоров должны будут лучше ознакомиться с организационными рисками в 2024 году. Однако проблема заключается в том, что у советов директоров часто нет «глубоких знаний в области кибербезопасности», сказал Эддискотт.
Он отметил, что «технологически-ориентированные, ориентированные на операционную деятельность и отстающие» показатели эффективности кибербезопасности для них — тарабарщина, и они не помогают им по-настоящему понять риски компании и способы их устранения.
Это приводит к появлению показателей, ориентированных на результат (ODM), которые по сути проводят прямую линию между инвестициями в кибербезопасность и защитой, которую они обеспечивают. Руководители по безопасности могут продемонстрировать эффективность своей программы в «прямой видимости» и показать, достигаются ли результаты (или нет) на основе готовности организации к риску.
«ODM играют центральную роль в создании надежной инвестиционной стратегии в сфере кибербезопасности, отражающей согласованные уровни защиты с мощными свойствами и изложенной простым языком, понятным не только руководителям ИТ-отделов», — утверждает Gartner.
Обязательное управление рисками третьей стороны
Цепочка поставок программного обеспечения постоянно подвергается атакам, поэтому практически неизбежно, что рано или поздно третьи стороны столкнутся с инцидентом кибербезопасности.
В результате руководители служб информационной безопасности больше внимания уделяют «инвестициям, ориентированным на обеспечение устойчивости», а не «предварительной комплексной проверке», отметил Эддискотт.
Он посоветовал усилить планы действий в чрезвычайных ситуациях для сторонних обязательств, которые представляют высокий риск кибербезопасности. Также следует создать планы действий для инцидентов, связанных с третьими лицами, проводить настольные учения и определить четкую стратегию вывода из эксплуатации (например, своевременный отзыв доступа и уничтожение данных).
«Создание надежной и устойчивой цепочки поставок для ваших цифровых возможностей имеет решающее значение для более широкой организационной устойчивости», — сказал Эддискотт.
Переподготовка в области кибербезопасности
Нет сомнений, что существует нехватка талантов в области кибербезопасности. Gartner сообщает, что только в США квалифицированных специалистов по кибербезопасности достаточно лишь для того, чтобы удовлетворить 70% текущего спроса.
Миграция в облако, внедрение генеративного ИИ, трансформация операционной модели, расширение ландшафта угроз и консолидация поставщиков только усугубляют эту тенденцию и требуют множества новых навыков.
В результате руководители по кибербезопасности должны отойти от устаревших практик, требующих «X» лет опыта или определенных типов навыков (поскольку их можно изучить). Вместо этого им следует искать наем для «смежных навыков»; «мягких навыков», таких как деловая хватка, вербальное общение и эмпатия; и новых навыков, которые будут частью совершенно новых ролей в кибербезопасности.
Gartner советует организациям разработать план рабочей силы по кибербезопасности, который документирует необходимые навыки и показывает, как будут меняться роли. Они также должны поощрять культуру обучения, которая включает практическое развитие навыков посредством «итеративных, коротких всплесков» в отличие от обучения на основе «водопада».
В частности, «нанимайте для будущего, а не для прошлого», подчеркивает Gartner. Описания вакансий должны исключить язык, описывающий «единорогов» — или «идеальных кандидатов, которых не существует или которых практически невозможно найти, нанять и удержать».
Развитие IAM; непрерывное управление воздействием угроз (CTEM) набирает обороты
В связи с тем, что в последние годы поверхности атак значительно расширились — из-за ускоренного внедрения SaaS, расширения цифровых цепочек поставок, удаленной работы и других факторов — у организаций остается много слепых зон. У них ограниченная видимость, а их технологии часто разрознены.
Чтобы решить эту проблему, многие предприятия внедряют непрерывное управление воздействием угроз (CTEM), утверждает Gartner. Вместо того чтобы пытаться найти и исправить каждую уязвимость, CTEM помогает группам безопасности оценивать и управлять воздействием на постоянной основе. Это позволяет им устранять уязвимости на основе ландшафта угроз своей организации.
Gartner прогнозирует, что к 2026 году организации, отдающие приоритет CTEM, заметят сокращение количества нарушений на две трети.
В то же время управление доступом к идентификации (IAM) становится все более важным. Gartner советует организациям «удвоить усилия по внедрению гигиены идентификации собственности». Им также следует расширить обнаружение и реагирование на угрозы идентификации (IDTR), внедрить оценки состояния безопасности и «рефакторинг» инфраструктуры идентификации путем «эволюции в сторону структуры идентификации».