Напоминаю: мы с вами строим технологии и процессы защиты в асимметричной среде. Асимметрия заключается в нашей прозрачности для атакующего. Как в дикой природе: хищника не видно, пока он изучает жертву и готовится напасть. Жертва изучает хищника только в момент нападения.
Сделаем прогноз о развитии киберугроз на горизонте одного года.
Генеративные сети значительно ускорят time-to-market разработчикам вредоносного кода. С одной стороны, это приведет к росту случайных атак и повысит вероятность обнаружения антивирусным ПО, а с другой — усложнит атрибуцию авторов вредоносного кода.
Вырастет количество фейковых «утечек», в которых для генерации синтетических данных использовались LLM. И в итоге в даркнете вырастет количество предложений о продаже фейковых данных.
Увидим больше имплантов, написанных на Go и Rust. И, как следствие, будет больше атак с использованием кросс-платформенных вредоносов.
Увеличится количество cloud-native ransomware: разработчики вредоносного кода будут внедрять функции инвентаризации storage-аккаунтов и поддержку API для манипуляции с облачным хранилищем данных.
Увидим больше фишинговых email, сгенерированных LLM. Больше аналогичного фрода в мессенджерах. Например, мошенники уже синтезируют голосовые сообщения в «Телеграме».
Технологические тренды: оптимизация и гиперавтоматизация в средствах защиты
Теперь подумаем о трендах в технологиях защиты. Опишу их двумя терминами — гиперавтоматизация и оптимизация. Во всех аспектах. От выявления аномалий до последующего реагирования на инциденты. И необязательно с использованием алгоритмов машинного обучения.
Коротко про оптимизацию. Ресурс всегда ограничен. Кто эффективнее работает с имеющимся аппаратным ресурсом, тот обрабатывает больше данных, делает это быстрее и в конечном итоге предоставляет лучший пользовательский опыт.
А вот с гиперавтоматизацией нужно разобраться. Некоторые технологические гиганты определяют гиперавтоматизацию как «концепцию автоматизации всего, что возможно автоматизировать в организации». Другими словами: исключить человеческий фактор из всех бизнес-процессов.
Еще в 2021 году Gartner утверждал, что внедрение подхода гиперавтоматизации превращается «из опционального требования в необходимое условие для выживания бизнеса». Только Gartner не уточнял формальные критерии для реализации этого подхода. И отличия между автоматизацией и гиперавтоматизацией все еще четко не определены.
В 2025 году у нас по-прежнему есть возможность определить эти критерии самостоятельно.
Описание абсолютно всех процессов жизненного цикла ИБ для заданной системы.
Технологическая возможность автоматизации всех описанных процессов.
При допустимой вариативности процесса система способна без участия человека определить эффективное решение (вариацию).
Эффективность решения — метрика, которую система способна определять самостоятельно на основе бизнес-показателей.
В этом году мы увидим больше вендоров, которые используют подход гиперавтоматизации для задач ИБ. Например, в январе очередной раунд инвестиций поднял стартап Torq. Теперь последим за секцией Innovation Sandbox на RSA Conference 2024 и посчитаем количество компаний, которые что-то «гиперавтоматизируют с использованием AI».
Прогноз на 3 года
Развитие угроз и технологий кибербезопасности на горизонте трех лет
Угрозы cloud-native и платформы обеспечения безопасности в облаке
Уже сегодня 77% компаний-разработчиков обновляют код своих продуктов еженедельно, а 38% доставляют обновления каждый день. Частота этих обновлений растет. Развитие И И ускоряет процесс создания кода, а облака позволяют разработчикам моментально собирать и доставлять свои приложения. На горизонте трех-пяти лет разработка и развертывание приложений будет целиком и полностью производиться в облачной среде.
“
Рост скоростей продуктовых изменений требует от команд безопасности соответствующий темп. Разработчики, DevOps-инженеры, команды product security — все делят между собой ответственность за безопасность продукта
При этом на каждом этапе его жизненного цикла на эту скорость влияет не только качество используемых инструментов, но и эффективность кросс-командного взаимодействия.
Другой вызов для команд безопасности заключается в широкой поверхности атаки. Пока разбираешь результаты анализа безопасности кода, кто-то из DevOps-инженеров собирает окружение с зараженным образом контейнера. Или другой пример: научившись внимательно следить за runtime развернутого приложения, по-прежнему не видишь скомпрометированную среду разработки.
Подход к защите cloud-native приложения должен быть целостным и сфокусированным на четырех объектах:
код приложения;
инфраструктура разработки;
продуктовое окружение (runtime);
данные.
Реализация этого подхода возможна при наличии единого «источника истины» для команд разработки и безопасности
Источник истины — это точка, в которой собираются актуальные артефакты приложения и его окружения, сходятся процессы и результаты. Интеграция процессов, ролей и инструментов в единую платформу позволяет получить этот источник.
Ключевое действие: интеграция. Аналитики Gartner даже придумали концепцию Cloud-Native Application Protection Platform (CNAPP), в рамках которой представили жизненный цикл приложений и интегрированный подход по обеспечению их безопасности от «кода до облака».
Бизнес унифицирует производство ПО так, чтобы вместо множества продуктов, собирающих данные, была одна платформа, собирающая множество данных. И уже после на этом множестве будут эффективно тренировать ИИ и эволюционировать в автоматизации.
Автономные системы поиска и эксплуатации уязвимостей
Агенты LLM демонстрируют признаки автономной эксплуатации известных уязвимости. И делают это с вероятностью успеха 87%. Исследователи собрали набор из 15 известных уязвимостей и скормили их описание из CVE агенту на базе разных генеративных моделей. В результате агент с GPT-4 успешно построил последовательность шагов для эксплуатации уязвимостей. А для некоторых веб-уязвимостей (XSS, SQL-inj) успешно сделал это без описания из CVE.
При этом в настоящее время LLM стал более эффективным инструментом для помощи в процессе поиска уязвимостей. Но до состояния автономной системы пока еще далеко. Данное исследование подтверждает, что способности LLM подтолкнут развитие систем поиска уязвимостей, генерации эксплойтов, а также поспособствуют развитию автономных систем симуляции атак.
Развитие технологий, в которых ИБ появляется как неотъемлемая часть
Квантовые вычисления и квантовая криптография:
Существенное увеличение вычислительной мощности благодаря квантовым компьютерам, что позволит решать задачи, недоступные для классических компьютеров.
С развитием квантовых вычислений возникает необходимость в новых методах шифрования данных, которые будут устойчивы к взлому квантовыми компьютерами. Квантовая криптография предлагает такие решения, например квантовое распределение ключей.
Технологии нейроинтерфейсов:
Разработка интерфейсов, позволяющих прямое взаимодействие между мозгом и компьютером, что откроет новые возможности в медицине, обучении и развлечениях. А также возможности для киберфизической безопасности.
Появятся интерфейсы «мозг-компьютер» на базе ИИ. Исследования в области нейросетевых интерфейсов «мозг-компьютер» набирают обороты в этом десятилетии: с 2013 года DARPA финансирует эти технологии в рамках инициативы BRAIN. Существуют общественное восприятие, этические и законодательные барьеры, но использование ИИ в сочетании с BCI может привести к быстрому развитию этой технологии в период до 2030 года.
Разработка программного обеспечения с использованием low-code и zero-code технологий:
Сочетание AI-помощников для разработчика, low-code платформ, инфраструктуры как кода (IaC) и генеративных инструментов на основе искусственного интеллекта преобразует разработку программного обеспечения в том виде, в котором мы ее знаем, особенно по мере совершенствования этих программных инструментов.
Эти технологии позволят значительно сократить время и усилия, затрачиваемые на создание программных продуктов. Разработчики смогут быстрее переходить от идеи к готовому решению, а автоматизация рутинных задач освободит время для работы над более сложными и творческими аспектами проектов.
Кроме того, такие платформы сделают разработку доступной для широкой аудитории, включая людей без глубоких технических знаний, что приведет к появлению большего количества инновационных решений и стартапов.