ИИ в кибербезопасности: между ожиданиями и реальностью

ИИ становится неотъемлемой частью современных систем кибербезопасности. Он обещает усиленную защиту, снижение затрат и повышение эффективности работы специалистов. Однако с его развитием появляются новые угрозы: ИИ используется не только для защиты, но и для проведения атак. Белая книга Sophos “Navigating the AI Hype in Cybersecurity” (январь 2025 года) анализирует текущее состояние ИИ в сфере кибербезопасности, оценивает его преимущества и риски и предлагает практические рекомендации для организаций.

Преимущества ИИ в кибербезопасности

ИИ уже широко используется в кибербезопасности, и его потенциал продолжает расти. Наиболее значимыми инструментами являются глубокое обучение (DL) и генеративный ИИ (GenAI).

1. Глубокое обучение в киберзащите

Глубокое обучение (DL) применяется для:

• Анализа вредоносных файлов – система мгновенно определяет, является ли файл угрозой, даже если раньше не сталкивалась с ним.
• Выявления аномалий в сетевом трафике – алгоритмы способны обнаруживать подозрительные отклонения, предвещающие атаку.
• Автоматического обновления моделей защиты – DL-алгоритмы способны адаптироваться к новым угрозам без ручного вмешательства.

2. Генеративный ИИ в кибербезопасности

Генеративный ИИ (GenAI) применяется для:

• Анализа угроз и создания отчетов – алгоритмы автоматически формируют резюме о вредоносной активности и предлагают дальнейшие шаги для реагирования.
• Повышения эффективности расследований – аналитики могут использовать естественный язык для поиска информации о подозрительных событиях.
• Приоритизации устранения уязвимостей – GenAI анализирует вероятность эксплуатации конкретной уязвимости и помогает специалистам сосредоточиться на наиболее критичных проблемах.

Степень внедрения ИИ в кибербезопасности

ИИ уже широко используется в сфере кибербезопасности:

• 73% организаций заявляют, что их решения по кибербезопасности включают модели глубокого обучения.
• 65% организаций используют генеративный ИИ в своих защитных системах.
• 99% организаций указывают, что при выборе платформы для кибербезопасности наличие ИИ-инструментов является важным или критически необходимым.

Несмотря на высокий уровень внедрения, компании осознают, что ИИ — это не волшебное решение всех проблем, а инструмент, требующий тщательной настройки и контроля.

Риски ИИ в кибербезопасности

ИИ обладает огромным потенциалом, но также несет риски. Sophos выделяет пять ключевых угроз:

1. Использование ИИ в атаках

• Злоумышленники используют ИИ для повышения качества фишинговых атак, устраняя грамматические ошибки и создавая правдоподобные письма.
• Генеративные ИИ-модели помогают мошенникам создавать deepfake-видео и голосовые имитации для обмана сотрудников.
• Автоматизация атак позволяет киберпреступникам действовать масштабно и эффективно.

2. Риски низкокачественного ИИ

• Если ИИ-модель обучена на некачественных или искаженных данных, это может привести к ложным срабатываниям или пропуску реальных угроз.
• Разработка моделей требует тесного сотрудничества специалистов по ИИ и кибербезопасности, иначе алгоритмы могут быть неэффективными.

3. Операционные риски: чрезмерная зависимость от ИИ

• 87% организаций обеспокоены тем, что чрезмерная автоматизация может снизить ответственность сотрудников за безопасность.
• 84% опасаются, что внедрение ИИ приведет к сокращению персонала в сфере кибербезопасности, что может ослабить защиту в долгосрочной перспективе.

4. Финансовые риски

• 80% компаний считают, что ИИ увеличит стоимость решений по кибербезопасности.
• 75% организаций признают, что оценка реальных затрат на ИИ сложна из-за их включения в стоимость различных продуктов.

5. Угрозы компрометации ИИ-моделей

• Хакеры могут “отравить” данные для обучения ИИ, внедряя скрытые уязвимости (data poisoning).
• Государственные акторы способны создавать свои LLM с бэкдорами и распространять их в открытом доступе.
• Киберпреступники могут выдавать фальшивые модели ИИ за оригинальные, вводя пользователей в заблуждение.

Как безопасно использовать ИИ в кибербезопасности

Sophos предлагает несколько стратегий для безопасного внедрения ИИ в киберзащиту:

1. Усиление защиты от ИИ-атак

• Использовать системы защиты электронной почты, способные выявлять фишинговые письма, сгенерированные ИИ.
• Внедрять многофакторную аутентификацию для защиты от атак, использующих голосовые подделки.
• Проводить обучение сотрудников методам противодействия киберугрозам, связанным с ИИ.

2. Проверка качества ИИ-моделей

• Оценивать качество данных, на которых обучены модели.
• Проверять квалификацию разработчиков ИИ-моделей.
• Анализировать процессы тестирования и внедрения ИИ-решений у поставщиков.

3. Осознание ограничений ИИ

• ИИ – это инструмент, а не замена кибербезопасности, требующий экспертного контроля.
• Организации должны балансировать между автоматизацией и человеческим фактором, сохраняя важную роль специалистов по безопасности.

4. Рациональные инвестиции в ИИ

• Определять цели использования ИИ и анализировать его реальный вклад в безопасность.
• Оценивать окупаемость инвестиций в ИИ, включая не только снижение затрат, но и повышение эффективности работы сотрудников.
• Сравнивать альтернативные методы обеспечения безопасности и выбирать наилучший вариант.

5. Внимательность при использовании публичных LLM

• Использовать модели от проверенных разработчиков.
• Проверять подлинность ИИ-инструментов, избегая поддельных или компрометированных решений.

Заключение

ИИ – мощный инструмент для кибербезопасности, но его внедрение требует осознанного подхода. Важно учитывать не только его возможности, но и риски, связанные с атаками, компрометацией моделей и чрезмерной зависимостью от автоматизации. Компании должны стремиться к гибридному подходу, сочетающему ИИ и человеческую экспертизу, чтобы обеспечить максимальную эффективность и надежность киберзащиты.