Kas skiria SOC, gaunančius rezultatus iš savo AI strategijų, nuo tų, kurios prasideda ne nuo CISO, kurios prisiima AI iniciatyvas ir anksti numato kliūtis, sistemingai griaunančias senas sienas, kurios trukdo.
Praėjusią savaitę vykusiame „Forrester“ 2025 m. saugumo ir rizikos aukščiausiojo lygio susitikime diskusijose dominavo AI pažado ir pristatymo atskyrimas. "Šiandien turime chaoso agentą," Per savo pagrindinį pranešimą sakė pagrindinė analitikė Allie Mellen. "Ir tas chaoso agentas – jūs atspėjote – generatyvus AI."
Jos pagrindinis pranešimas buvo skirtas faktui, kad daugelis organizacijų ir jų kibernetinio saugumo komandos yra įstrigusios už pačių sukurtų barjerų, ribojančių jų potencialą.
Atotrūkio tarp agentų AI nugalėtojų ir pralaimėtojų panaikinimas
Atotrūkis tarp DI nugalėtojų ir pralaimėtojų kibernetinio saugumo srityje nėra susijęs su technologijomis. Kalbama apie organizacinį pasirengimą.
Nors pirmaujančios organizacijos, įskaitant „Carvana“, „City of Las Vegas“, „Copperbelt Energy Corporation Plc“, „Inductive Automation“, „Salesforce“ ir daugelis kitų, fiksuoja efektyvumo padidėjimą, dauguma įmonių lieka spąstuose už per dešimtmečius susiformavusių kliūčių. Remiantis CrowdStrike 2025 m. visuotinių grėsmių ataskaita, priešininkai išsiveržia vos per 51 sekundę, o 80 % saugos komandų pirmenybę teikia į platesnę saugos platformą integruotą GenAI, todėl senų sienų išardymas yra ne tik strateginis, bet ir egzistencinis. Remiantis naujausiais SANS instituto išvadomis, daugiau nei 70 % įmonių vien per praėjusius metus patyrė bent vieną su dirbtiniu intelektu susijusį pažeidimą, o generatyvūs modeliai dabar yra pagrindinis tikslas.
Tačiau naujausi pramonės duomenys rodo nerimą keliantį paradoksą. Carnegie Mellon „AgentCompany“ etalonas rodo, kad dirbtinio intelekto agentams nepavyksta atlikti sudėtingų įmonės užduočių 70–90 % laiko. „Salesforce“ tyrimai patvirtina, kad vidinio agento gedimų dažnis viršija 90%, kai naudojami apsauginiai turėklai. Vis dėlto 79 % vadovų praneša apie reikšmingą produktyvumo padidėjimą pasitelkę dirbtinio intelekto agentus. Sprendimas slypi ne tobulinant AI, o pašalinant organizacines sienas, trukdančias veiksmingai diegti.
"Senasis SOC, kaip mes jį žinome, negali konkuruoti. Jis paverstas šiuolaikiniu ugniagesiu," perspėjo „CrowdStrike“ generalinis direktorius George’as Kurtzas per savo pagrindinį pranešimą „Fal.Con 2025“. "Pasaulis pradeda ginklavimosi varžybas dėl AI pranašumo, nes priešai naudoja AI, kad paspartintų atakas. Dirbtinio intelekto eroje saugumas priklauso nuo trijų dalykų: jūsų duomenų kokybės, atsakymo greičio ir vykdymo tikslumo."
Įmonių SOC vidutiniškai sudaro 83 saugos įrankius iš 29 skirtingų tiekėjų, kurių kiekvienas generuoja atskirus duomenų srautus, kurie nepaiso lengvos integracijos į naujausios kartos AI sistemas. Sistemos susiskaidymas ir integracijos trūkumas yra didžiausias AI pažeidžiamumas ir labiausiai išsprendžiama organizacijų problema.
Įrankių išsiplėtimo matematika pasirodė pražūtinga. Organizacijos, diegiančios dirbtinį intelektą suskaidytuose įrankių rinkiniuose, praneša apie gerokai padidėjusį klaidingų teigiamų rezultatų rodiklį. Tai prilygsta maždaug vienam iš keturių įspėjimų, kai kurios komandos susiduria su daugiau nei 30 % klaidingų pavojaus signalų ar daugiau. Dauguma įmonių, 74 %, remiasi kelių pardavėjų kibernetinio saugumo ekosistemomis, o 43 % teigia, kad kelių platformų integracijos trūkumas yra didelė veiklos našta.
Valdymo aklavietės pašalinimas naudojant vieno agento architektūrą
Tradicinis saugumo valdymas buvo sukurtas žmogaus greičiu atliekamoms operacijoms, kurias sudaro ketvirčio peržiūros, mėnesiniai auditai ir kasdieniai patvirtinimai. AI agentai veikia mašinos greičiu, priimdami milijonus sprendimų per sekundę. Šis greičio neatitikimas sukuria valdymo krizę, kuri paralyžiuoja dirbtinio intelekto pritaikymą.
Tinkamas valdymas yra vienas iš didžiausių CISO iššūkių ir dažnai apima ilgalaikių kliūčių pašalinimą, siekiant užtikrinti, kad jų organizacija galėtų prisijungti ir prisidėti prie verslo. CrowdStrike, Palo Alto Networks, SentinelOne, Trellix ir kiti imasi šio iššūkio savo platformų architektūriniu lygmeniu.
CISO sako „VentureBeat“, kad tobulėjimas valdymo srityje yra viena iš svarbiausių jų užduočių, norint tinkamai susitvarkyti. Reikia turėti centralizuotą platformą, kuri sujungia visus telemetrijos šaltinius, idealiu atveju vieno agento modelyje. SOC komandoms reikia naujausių telemetrijos duomenų, kad būtų galima atlikti realiojo laiko koreliaciją, mastelio aptikimą ir atsaką. Pavyzdžiui, „CrowdStrike“ platforma „Falcon“ sujungia galutinio taško, debesies, tapatybės ir grėsmių žvalgybos srautus į vieningą telemetrijos vamzdyną, todėl SOC komandos gali priimti valdymo sprendimus mašinos greičiu ir tiksliai. Valdymo požiūriu ši architektūra atrakina keletą svarbių galimybių.
-
AI agentų politikos kaip kodas: Apsauginiai turėklai (pvz., duomenų saugojimo taisyklės, priimtinas naudojimas, privilegijuotų veiksmų ribos) gali būti užkoduoti vieną kartą ir nuosekliai vykdomi visur, kur veikia agentai, o ne įdiegti iš naujo kiekvienam įrankiui.
-
Vienas tiesos šaltinis įrodymams ir auditui: Tyrimai, išimčių patvirtinimai ir dirbtinio intelekto veiksmai yra paremti ta pačia telemetrija ir žurnalų sistema, supaprastinant reguliavimo ataskaitas ir sumažinant audito išvadas.
-
Nuolatinis kontrolės stebėjimas: Užuot atrinkusi valdiklius kas ketvirtį, platforma gali nuolat tikrinti, ar tapatybės, galutinio taško ir darbo krūvio strategijos iš tikrųjų yra veiksmingos gyvojoje aplinkoje.
-
Uždarojo ciklo vykdymas: aptikti politikos pažeidimai gali automatiškai suaktyvinti kompensacinius valdiklius – nuo žetonų atšaukimo iki darbo krūvių izoliavimo – nelaukiant žmogaus patvirtinimo eilių, kai viršijami rizikos slenksčiai.
-
Nuoseklus į tapatybę orientuotas valdymas: Veiklos susiejimas su tapatybėmis, o ne tik įrenginiais ar IP, leidžia CISO įgyvendinti mažiausiai privilegijų, stebėti viešai neatskleistą riziką ir apriboti, ką AI agentai gali daryti žmonių vardu.
Šie projektavimo tikslai reiškia mažiau agentų, kuriuos reikia valdyti ir pataisyti, mažiau prieštaraujančių strategijų ir mažiau aklųjų zonų hibridinėje ir kelių debesų aplinkoje. CISO atveju tai reiškia kažką labai konkretaus: pagrįstas pasakojimas valdybai ir reguliavimo institucijoms, kad dirbtinio intelekto iniciatyvos nėra nesąžiningos automatizavimo priemonės, o veikia pagal įrodomą, stebimą ir įgyvendinamą valdymo sistemą, pagrįstą nuoseklia architektūra, o ne įrankių raizginiu.
Transformuoti kultūrą "ne" verčia CISO mąstyti strategiškai
CISO transformacija iš saugumo vartų sargo į verslo skatintoją ir strategą yra vienintelis geriausias žingsnis, kurį gali žengti bet kuris saugos specialistas savo karjeroje. CISOS interviu metu dažnai pažymi, kad jų karjeros katalizatorius buvo perėjimas iš programų ir duomenų drausmės į naujo augimo skatintoją, kurio galutinis tikslas – parodyti, kaip jų komandos padeda didinti pajamas.
Andrew Obadiaru, „Cobalt“ CISO, suvokia, kaip reikia skubiai: "Nieko nėra ypač naujo, galbūt dirbtinis intelektas yra naujesnis, o tempas, kuriuo visa tai vyksta, vis didėja, tačiau 2025 m. turime tai padaryti geriau."
"Mano komandų veiklos susiejimas su naujomis pajamomis, kurias įgalinome strategiškai mąstydami, yra geriausias sprendimas, kurį priėmiau dėl savo komandų ir karjeros." „VentureBeat“ sakė finansinių paslaugų įmonės CISO.
Pritesh Parekh, PagerDuty CISO, tai pabrėžia "kai saugumas yra tinkamai atliktas, mes iš tikrųjų pagreitiname verslą pašalindami rankinius patikrinimo punktus ir pakeisdami juos automatiniais apsauginiais turėklais." Šis metodas tiesiogiai įgalina automatinio greičio valdymą, kurio reikalauja AI agentai, o tai sutapimas yra ta pati valdymo architektūra, kurią CrowdStrike ir kiti kuria savo platformose.
Organizacijos, vykdančios suvienodintas saugos ir IT operacijas, paprastai puikiai valdo ir praneša apie 30 % mažiau reikšmingų saugumo incidentų, palyginti su tomis, kurių komandos yra uždarytos. Kai priešininkai išsiveržia per 51 sekundę, kultūriniai silosai tampa atakos vektoriais.
Pataisymas yra paprastas. Integruokite saugos komandas į plėtrą ir operacijas. Kurkite automatinius apsauginius turėklus, o ne rankinius patikrinimo punktus. Leiskite AI agentams saugiai prisijungti prie vieningų duomenų srautų, kad būtų galima akimirksniu reaguoti, kai jie stebi realiuoju laiku. Tokiu būdu saugumas nustoja būti departamentu, kuris viską sulėtina, ir tampa intelektu, kuris užtikrina automatizuotą gynybą.
