Николай Домуховский
Развитие средств и систем обеспечения ИБ
Заместитель генерального директора по научно-технической работе компании УЦСБ
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Прогноз на 1 года
Спрос не за процесс, а за результат
В 2025 году российская отрасль информационной безопасности (ИБ) будет развиваться консервативно. С одной стороны, высокая ключевая ставка ЦБ и переход от Указа Президента № 250 к Постановлению Правительства № 1912 (о доверенных программно-аппаратных комплексах) создают период относительной стабильности. С другой, введены штрафы не только за нарушения требований по обеспечению ИБ, но и за утечки данных — это касается нашумевших изменений штрафов за нарушения в сфере обработки персональных данных.
Кроме того, кадровый дефицит продолжает расти: согласно ежегодному отчету ассоциации ISC2, в 2024 году прирост незакрытых вакансий в сфере ИБ составил 19.1% по сравнению с 2023 годом.
В таких условиях основной целью становится повышение эффективности существующих систем ИБ вместо активного внедрения дорогостоящих новых технологий. Соответственно, в текущем году сколько-нибудь заметных, радикальных изменений в области информационной безопасности ждать не приходится: основные проекты будут связаны с аудитами, анализом защищенности и планированием дальнейших работ в надежде на улучшение экономической ситуации
Почему спрос на комплексные
ИБ-решения будет расти
ИБ-решения будет расти
Однако этот год создает хорошие возможности развития для поставщиков полного спектра сервисов информационной безопасности. Когда начинают спрашивать про результат, урезают бюджет и при этом в штате сохраняется острая нехватка квалифицированных специалистов — спасением становятся организации, способные реализовать систему обеспечения ИБ или хотя бы отдельную ее часть «под ключ».
Это включает не только традиционную связку:
«определение требований», «разработка проектной и рабочей документации», «ввод в действие» и «приемка», но и дальнейшее сопровождение эксплуатации, выстраивание работающего процесса на стороне эксплуатирующей организации и постоянную доставку экспертного контента: правил обнаружения и реагирования, безопасных конфигураций, сигнатур известного вредоносного ПО и прочего.
«определение требований», «разработка проектной и рабочей документации», «ввод в действие» и «приемка», но и дальнейшее сопровождение эксплуатации, выстраивание работающего процесса на стороне эксплуатирующей организации и постоянную доставку экспертного контента: правил обнаружения и реагирования, безопасных конфигураций, сигнатур известного вредоносного ПО и прочего.
Такие поставщики услуг сочетают в себе квалификацию вендора и интегратора.
Глубокое знание технических решений позволяет разрабатывать специализированные пакеты экспертизы для конкретного Заказчика, а знание его специфики позволяет не просто доставить пакет обновлений для средств защиты информации (СЗИ), но и эффективно встроить его в общий процесс — снизить количество ложноположительных оповещений и обеспечить своевременное реагирование на события со стороны СЗИ.
Как искусственный интеллект
интегрируется в ИБ-отрасль
интегрируется в ИБ-отрасль
При этом сохраняется тренд на повышение «коэффи- циента интеллекта» существующих классов средств защиты информации. Конец прошлого года подарил миру большое количество доступных больших мультимодальных языковых моделей — это, в свою очередь, существенно снизило порог входа для игроков, которые хотели интегрировать функции ИИ в свои продукты.
“
Соответственно, многие решения будут оснащаться своими «копилотами» — специализированными моделями, помогающими пользователю в настройке, эксплуатации или решении проблем
Также будут активно внедряться интерфейсы-переводчики с специфичного языка системы на естественный язык: извлечение данных из журналов событий, генерация конфигураций по запросу и прочее. Кроме того, эти интеллектуальные функции позволяют снизить планку требований к пользователю, что способствует решению проблемы найма квалифицированных кадров.
Новый рубеж в объяснимом ИИ
для кибербезопасности
для кибербезопасности
В очередной раз растет интерес к графам знаний как к способу описания семантики. Сочетание графов знаний и больший языковых моделей (нейросимвольная интеграция) — это задача горизонта ближайших 2−3 лет. Но уже сегодня эффективность систем обнаружения признаков инцидентов ИБ повышается за счет сопоставления ограниченной информации, извлеченной из событий безопасности, с более общей информацией о возможных действиях нарушителя или со сведениями, описывающими ИТ-инфраструктуру организации.
Использование таких графов знаний — серьезный шаг в сторону объяснимого искусственного интеллекта, так как теперь вердикт модели может быть представлен не набором чисел, а набором фактов или логических выводов, которые понятны человеку.
Еще один тренд этого года, который, скорее всего, найдет свое применение, — это автономные агенты.
По сути, речь идет все о тех же больших языковых моделях, но теперь этой модели дали «руки», возможность что-то делать в цифровом мире (пока что только в цифровом). Такой агент может выполнить действия по реагированию на признак инцидента ИБ, проверить, что после его действий система по-прежнему функционирует в нормальном режиме, а если нет, то скорректирует свои действия, чтобы устранить проблему в ее работе.
Прогноз на 3 года
Еще не AGI, но ИИ будет все больше
На основе анализа текущей ситуации в отрасли можно предположить, что ближайшие три года в сфере информационной безопасности (ИБ) будут крайне насыщенными. Ключевые тренды на ближайшую перспективу: повышение эффективности существующих средств защиты, добавление в них интеллектуальных функций за счет доступных и легковесных больших языковых моделей и использование автономных агентов — только усилятся. В результате эти тенденции могут привести к созданию полностью автономных систем обеспечения ИБ или автономных информационных систем со встроенными механизмами защиты — по сути, обладающих цифровым иммунитетом.
Могут ли автономные пентестеры заменить человека
Ключом к автономным системам являются агенты, а также методы, основанные на обучении с подкреплением, так как в них появляется аналог мотивации или цели существования агента. Перечисленные направления в настоящее время очень активно развиваются благодаря общему прогрессу в сфере ИИ и запросу со стороны военных ведомств, которым нужны все более автономные, надежные и недорогие дроны.
Уже сегодня есть ряд проектов, реализующих автономные системы анализа защищенности, или проще говоря — автоматических пентестеров. Не так давно одна из таких разработок заняла место в первых строках таблицы победителей на соревнованиях Capture The Flag.
“
Конечно, пока рано говорить об автономности таких решений хотя бы на уровне современных беспилотных автомобилей, но скорость развития позволяет предположить, что пентестерам надо начинать серьезно волноваться за свои рабочие места уже через пару лет
Автономный пентестер проще, чем автономный «защитник», но тем не менее уже создаются автономные операторы SOC и ожидается, что уже в следующем году мы увидим первые столкновения полностью программных злоумышленников и противостоящих им программных специалистов SOC. Это станет своеобразной точкой бифуркации, после которой гонка ИИ вооружений выйдет на новый уровень. Все поймут, что в этой сфере время человека уходит и ему на смену приходят более быстрые и эффективные компьютерные алгоритмы.
Необходимость государственного
регулирования ИИ
регулирования ИИ
Такая гонка вооружений вновь поднимает вопросы этики ИИ — и если пока на уровне государства эти вопросы практически не рассматриваются и все оставлено на откуп саморегулирующихся организаций, то в ближайшие годы ситуация может коренным образом измениться. Чтобы интернет не стал сплошным полем боя автономных агентов, необходимо серьезно подойти к вопросу регулирования этики ИИ уже на уровне государства с установлением стандартов в нормативно-правовых актах.
Эти ограничения могут также повлиять на доступность моделей ИИ.
Сейчас уже есть первые попытки ограничений (например, США планируют запретить доступ к моделям, разработанным в КНР, а все пользователи РФ с 2022 года лишены доступа к моделям OpenAI), но, вероятно, в будущем эти ограничения станут серьезнее. Вплоть до невозможности использования локальных копий самых современных моделей (это может быть достигнуто разными методами, в частности ограничением на распространение оборудования, способного обеспечить работу таких моделей) и очень жесткого контроля за использованием облачных моделей.
Еще один тренд, который также связан с дополнительными ограничениями, — закат эпохи свободного ПО в том виде, в котором оно существует сейчас. Уже сегодня ПО с открытым кодом воспринимается неоднозначно: участились случаи умышленного внедрения вредоносных компонентов в проектах с открытым исходным кодом, серьезные уязвимости в ПО с открытым кодом или инструментах его распространения используются для реализации атак на цепочку поставок.
Поиск баланса между доступностью
и безопасностью ПО open source
и безопасностью ПО open source
Сегодня мы слишком зависим от этих компонентов, чтобы позволить себе использовать библиотеки или утилиты сомнительного качества разработки. Соответственно, экосистемы проектов с открытым исходным кодом типа github будут активно работать над повышением уровня доверия к проектам, которые на них размещены.
“
Это будет достигаться благодаря внедрению практик безопасной разработки ПО в более агрессивной манере, а также за счет создания доверенных репозиториев, в том числе национальных
В них проекты будут включаться только после выполнения всех необходимых мер по безопасной разработке ПО. Для решения этих задач также активно будут применяться технологии ИИ. Современные системы уже способны находить уязвимости кода. С развитием больших языковых моделей, особенно при совмещении их с графами знаний (что добавит им семантику — то есть понимание смысла) мы получим инструменты, способные находить логические ошибки (или закладки) и даже анализировать архитектуру программного продукта.
А чем доступнее будут инструменты, обеспечивающие безопасность разработанного ПО, тем более высоким будет их проникновение в платформы для хостинга проектов свободного ПО.
