Новые способы достижения целей ИБ
Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.
Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.
Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.
После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.
Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.
Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.
СамРобин Гуд Баиг утверждает, что хочет призвать Meta к ответу и защитить интересы пользователей, которых, по его словам, компания рассматривает как "цифры на приборной панели".
В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:
#vCISO #пятница
Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.
Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.
Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.
После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.
Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.
Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.
Сам
В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:
Не получится договориться на защите бюджета, поговорим в суде!
#vCISO #пятница
NY Times
Whistle-Blower Sues Meta Over Claims of WhatsApp Security Flaws
In a lawsuit filed Monday, the former head of security for the messaging app accused the social media company of putting billions of users at risk. Meta pushed back on his claim.
👍6🤣2
Gartner CTEM Reprint.pdf
502 KB
CTEM Is Not a Tool, It’s a Program
Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:
Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)
#vCISO
Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:
Enterprises fail to reduce threat exposure through self-assessment of risks due to unrealistic, siloed and tool-centric approaches to adopting cybersecurity programs.
Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)
#vCISO
👍5👏1
Gartner Reprint MDR 2025.pdf
650.6 KB
Gartner об MDR: AI - это замечательно, но люди - основа!
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании (кстати, простой способ принести ценность - подхватить на мониторинг on-prem развернутые решения) .
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
👍8
2026-Tech-Trends-and-Priorities-Global-Infographic-1025.pdf
520.9 KB
Инсайдеры
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
👍5
Gartner: Automated Exposure Management и Zero Trust должны быть частью предложения MDR
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Дзен | Статьи
Zero Trust в MDR
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше,...
🔥4
Автономные SOC
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")- типичный пример говноPRа, когда вместо доказательств преимуществ своего решения фокусируются на недостатках конкурентов, нередко вымышленных и преувеличенных.
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Blogspot
EPP и EDR с позиции Заказчика
- Вам чай или кофе? - Чай. - Вам черный или зеленый? - Черный! - Вам с бергамотом или без? - Без!! - Вам с сахаром или без? ...
❤3👍1👀1
sans-2025-ai-survey.pdf
8 MB
SANS 2025 AI Survey
До меня долетел опрос SANS об использовании ИИ в безопасности. Академическое исследование применимости публиковал ранее, а еще полезно посмотреть на опрос тех же ребят но о SOC, там тоже есть про ИИ. Кратко пробегусь что же там.
1. ИИ в безопасности используют слабо: хотя 50% организаций уже применяют ИИ, лишь половина из них использует его для задач ИБ, например, 33% используют ИИ для обнаружения и расследования инцидентов, и только 26% - для реагирования.Понимаю респондентов, мне бы автореспонсы от ИИ тоже доставили излишнюю обеспокоенность.
2. Страх перед ИИ-атаками намного выше, чем фактическое использование защитных ИИ-инструментов: 81% обеспокоены атаками с использованием ИИ, в частности - персонализированной социалкой (83%), дипфейками (73%), быстрым поиском уязвимостей (67%).
3. Чрезвычайно много фолсы: 66% команд отмечают, что ИИ генерирует слишком много ложных срабатываний, что, напротив, усиливает усталость от алертов (alert fatigue).
4. О том, что ИИ расширяет поверхность атаки и возникают новые риски, которыми надо управлять, задумываются немногие: только 35% имеют формальную программу управления ИИ-рисками, 42% - лишь начинают формировать политики, а 24% вообще не оценивают ИИ-риски у сторонних вендоров.
5. ИИ не заменяет людей: 65% говорят о необходимости более специализированного обучения по ИИ, 67% ожидают рост спроса на специалистов, совмещающих ИИ и безопасность (об этом есть здесь)
Документ содержит интересные разбивки о применимости ИИ в DFIR, AppSec и Red Teaming, их несложно посмотреть, не буду расписывать.
Общее ощущение от доки, что пока ИИ не очень прижился в ИБ и это отчасти объясняется нехваткой безопасников, прокаченных в ML/AI, которые, с одной стороны, прекрасно знают предметную область, а с другой - понимают возможности ИИ, как инструмента автоматизации. И проблема решится ровно тогда, когда ИИ-инструменты станут настолько же популярны, как nmap для пентестера. Ну, в общем, намек на приоритеты ближайшего саморазвития, понятен.
#ml #vCISO
До меня долетел опрос SANS об использовании ИИ в безопасности. Академическое исследование применимости публиковал ранее, а еще полезно посмотреть на опрос тех же ребят но о SOC, там тоже есть про ИИ. Кратко пробегусь что же там.
1. ИИ в безопасности используют слабо: хотя 50% организаций уже применяют ИИ, лишь половина из них использует его для задач ИБ, например, 33% используют ИИ для обнаружения и расследования инцидентов, и только 26% - для реагирования.
2. Страх перед ИИ-атаками намного выше, чем фактическое использование защитных ИИ-инструментов: 81% обеспокоены атаками с использованием ИИ, в частности - персонализированной социалкой (83%), дипфейками (73%), быстрым поиском уязвимостей (67%).
3. Чрезвычайно много фолсы: 66% команд отмечают, что ИИ генерирует слишком много ложных срабатываний, что, напротив, усиливает усталость от алертов (alert fatigue).
4. О том, что ИИ расширяет поверхность атаки и возникают новые риски, которыми надо управлять, задумываются немногие: только 35% имеют формальную программу управления ИИ-рисками, 42% - лишь начинают формировать политики, а 24% вообще не оценивают ИИ-риски у сторонних вендоров.
5. ИИ не заменяет людей: 65% говорят о необходимости более специализированного обучения по ИИ, 67% ожидают рост спроса на специалистов, совмещающих ИИ и безопасность (об этом есть здесь)
Документ содержит интересные разбивки о применимости ИИ в DFIR, AppSec и Red Teaming, их несложно посмотреть, не буду расписывать.
Общее ощущение от доки, что пока ИИ не очень прижился в ИБ и это отчасти объясняется нехваткой безопасников, прокаченных в ML/AI, которые, с одной стороны, прекрасно знают предметную область, а с другой - понимают возможности ИИ, как инструмента автоматизации. И проблема решится ровно тогда, когда ИИ-инструменты станут настолько же популярны, как nmap для пентестера. Ну, в общем, намек на приоритеты ближайшего саморазвития, понятен.
#ml #vCISO
👍4