Gartner: эпоха ИИ-хаоса наступила — и CISO, которые не перестроятся, просто не выживут
NewsMakerПериметр сломан, алгоритмы неуправляемы, атаки масштабируются… Что делать?
Директорам по информационной безопасности придётся быстрее менять работу из-за ИИ. Gartner считает , что новые инструменты уже помогают атакующим масштабировать действия, а защитным командам нужно использовать ту же технологию для автоматизации, анализа и реагирования.
На Gartner Security & Risk Management Summit аналитик Ли Макмаллен выделил три задачи для CISO : привести в порядок управление доступом, оценивать кибербезопасность через устойчивость бизнеса к инцидентам и дать командам безопасный способ проверять ИИ на реальных задачах.
Первый блок связан с IAM, управлением идентификацией и доступом. Раньше такие системы в основном работали с людьми: сотруднику выдавали учётную запись, назначали роль, меняли права при переходе в другой отдел и закрывали доступ после увольнения. Облака, DevOps и автоматизация уже усложнили эту схему. ИИ-агенты добавили ещё больше машинных идентификаторов: сервисные аккаунты, рабочие нагрузки, ботов, скрипты и автономные процессы.
Старые правила доступа плохо подходят для среды, где действия выполняют не только люди. ИИ-агент может получить задачу, обратиться к инструменту, взять данные из нескольких систем и выполнить операцию от имени пользователя или сервиса. Если компания не знает, какие машинные учётные записи уже существуют, кому принадлежат и какие права имеют, риск быстро растёт.
Gartner прогнозирует, что к 2028 году 25% взломов будут проходить через поверхности атаки, связанные с ИИ-агентами. Причины: слабый контроль машинных идентификаторов и нехватка правил доступа, которые учитывают контекст. Проблема возникает не из-за самого факта использования агента, а из-за лишних прав, плохого учёта и слабого контроля действий.
Инвестиции в ИИ могут ускорить обновление IAM. Компаниям всё равно придётся подключать автоматические процессы, сервисные учётные записи, внешних партнёров, клиентские системы и внутренних ИИ-помощников. Чем точнее компания выдаёт права машинным сущностям, тем проще запускать новые интеграции без лишнего риска.
Второй блок касается оценки кибербезопасности. Аналитики предлагают меньше опираться на идею полного предотвращения атак и больше смотреть на устойчивость бизнеса . Инциденты уже стали обычным риском для компаний, поэтому важны не только меры защиты до атаки, но и способность ограничить ущерб, сохранить критические процессы и быстро восстановить работу.
Такой подход проще проверять. Компания может заранее определить, какие системы нельзя надолго останавливать, какой простой допустим, где ущерб станет критическим и сколько времени займёт восстановление. Эти параметры можно отрабатывать на учениях, измерять после тестов и улучшать вместе с ИТ, бизнес-подразделениями и руководством.
Третий блок связан с экспериментами внутри служб безопасности. Команды часто воспринимают новые ИИ-проекты как дополнительную нагрузку. При этом многие улучшения уже рождаются в ежедневной работе: специалисты связывают разные инструменты, автоматизируют проверки, дорабатывают сценарии реагирования, готовят тестовые среды и упрощают разбор инцидентов.
ИИ может ускорить такую работу. С его помощью можно быстрее собрать тестовую среду, подготовить сценарий атаки, создать черновик правила обнаружения, описать восстановление или набросать автоматизацию. Главное, чтобы эксперимент решал конкретную задачу: уменьшал число ручных действий, ускорял расследование, помогал выпускать правила или снижал нагрузку на аналитиков.
К 2028 году организации, которые эффективно внедрят ИИ в центрах мониторинга безопасности , сократят число инцидентов с ручной обработкой на 30%. Роль аналитика при этом сместится от постоянного ручного реагирования к контролю автоматизированных действий, проверке решений и работе со сложными случаями.
Для этого руководителям нужно выделять время на проверку новых подходов, а не ждать, что команда займётся ими после основной работы. Результат стоит измерять сразу: сколько ручных операций исчезло, насколько быстрее разбирается инцидент, как изменилось время восстановления и какие правила или сценарии можно использовать повторно.
Практический вывод для CISO сводится к трём действиям: навести порядок в доступах людей и машин, заранее определить допустимые последствия атак и встроить ИИ в реальные процессы безопасности там, где результат можно измерить.
Директорам по информационной безопасности придётся быстрее менять работу из-за ИИ. Gartner считает , что новые инструменты уже помогают атакующим масштабировать действия, а защитным командам нужно использовать ту же технологию для автоматизации, анализа и реагирования.
На Gartner Security & Risk Management Summit аналитик Ли Макмаллен выделил три задачи для CISO : привести в порядок управление доступом, оценивать кибербезопасность через устойчивость бизнеса к инцидентам и дать командам безопасный способ проверять ИИ на реальных задачах.
Первый блок связан с IAM, управлением идентификацией и доступом. Раньше такие системы в основном работали с людьми: сотруднику выдавали учётную запись, назначали роль, меняли права при переходе в другой отдел и закрывали доступ после увольнения. Облака, DevOps и автоматизация уже усложнили эту схему. ИИ-агенты добавили ещё больше машинных идентификаторов: сервисные аккаунты, рабочие нагрузки, ботов, скрипты и автономные процессы.
Старые правила доступа плохо подходят для среды, где действия выполняют не только люди. ИИ-агент может получить задачу, обратиться к инструменту, взять данные из нескольких систем и выполнить операцию от имени пользователя или сервиса. Если компания не знает, какие машинные учётные записи уже существуют, кому принадлежат и какие права имеют, риск быстро растёт.
Gartner прогнозирует, что к 2028 году 25% взломов будут проходить через поверхности атаки, связанные с ИИ-агентами. Причины: слабый контроль машинных идентификаторов и нехватка правил доступа, которые учитывают контекст. Проблема возникает не из-за самого факта использования агента, а из-за лишних прав, плохого учёта и слабого контроля действий.
Инвестиции в ИИ могут ускорить обновление IAM. Компаниям всё равно придётся подключать автоматические процессы, сервисные учётные записи, внешних партнёров, клиентские системы и внутренних ИИ-помощников. Чем точнее компания выдаёт права машинным сущностям, тем проще запускать новые интеграции без лишнего риска.
Второй блок касается оценки кибербезопасности. Аналитики предлагают меньше опираться на идею полного предотвращения атак и больше смотреть на устойчивость бизнеса . Инциденты уже стали обычным риском для компаний, поэтому важны не только меры защиты до атаки, но и способность ограничить ущерб, сохранить критические процессы и быстро восстановить работу.
Такой подход проще проверять. Компания может заранее определить, какие системы нельзя надолго останавливать, какой простой допустим, где ущерб станет критическим и сколько времени займёт восстановление. Эти параметры можно отрабатывать на учениях, измерять после тестов и улучшать вместе с ИТ, бизнес-подразделениями и руководством.
Третий блок связан с экспериментами внутри служб безопасности. Команды часто воспринимают новые ИИ-проекты как дополнительную нагрузку. При этом многие улучшения уже рождаются в ежедневной работе: специалисты связывают разные инструменты, автоматизируют проверки, дорабатывают сценарии реагирования, готовят тестовые среды и упрощают разбор инцидентов.
ИИ может ускорить такую работу. С его помощью можно быстрее собрать тестовую среду, подготовить сценарий атаки, создать черновик правила обнаружения, описать восстановление или набросать автоматизацию. Главное, чтобы эксперимент решал конкретную задачу: уменьшал число ручных действий, ускорял расследование, помогал выпускать правила или снижал нагрузку на аналитиков.
К 2028 году организации, которые эффективно внедрят ИИ в центрах мониторинга безопасности , сократят число инцидентов с ручной обработкой на 30%. Роль аналитика при этом сместится от постоянного ручного реагирования к контролю автоматизированных действий, проверке решений и работе со сложными случаями.
Для этого руководителям нужно выделять время на проверку новых подходов, а не ждать, что команда займётся ими после основной работы. Результат стоит измерять сразу: сколько ручных операций исчезло, насколько быстрее разбирается инцидент, как изменилось время восстановления и какие правила или сценарии можно использовать повторно.
Практический вывод для CISO сводится к трём действиям: навести порядок в доступах людей и машин, заранее определить допустимые последствия атак и встроить ИИ в реальные процессы безопасности там, где результат можно измерить.