ИИ-инвентаризация в ИБ. Перспективы развития

Проблема инвентаризации собственной ИТ-инфраструктуры превратилась в один из ключевых факторов устойчивости компаний к киберугрозам. ИИ как новый подход к задаче призван упростить задачу, позволяя специалистам работать с масштабами цифровых контуров, которые невозможно обрабатывать вручную. Как развивается этот тренд – рассказывает Сергей Колесников, директор продуктового портфеля и сервисов CICADA8.

Постигая инфраструктуру

Компании сегодня постоянно ускоряют разработку, масштабируют облачную инфраструктуру, запускают временные сервисы и интеграции, активно используют SaaS-инструменты и распределенные команды. В результате внешний ИТ-периметр становится динамичным настолько, что организации далеко не всегда могут с уверенностью ответить на базовый вопрос: какие цифровые активы доступны извне и кто за них отвечает.

Проблема усугубляется тем, что современный бизнес объективно заинтересован в ускорении изменений. Новые облачные нагрузки появляются за минуты, сотрудники подключают внешние SaaS-сервисы и ИИ-инструменты без участия ИТ, а DevOps-подходы сокращают цикл вывода сервисов в продакшн до часов или даже минут. В результате скорость развития инфраструктуры начинает опережать возможности ручного контроля со стороны ИБ-команд.

Так возникает значительная часть современных рисков. Забытые тестовые среды, старые маркетинговые лендинги, временные сервисы разработчиков, неучтенные поддомены и неконтролируемые облачные ресурсы формируют так называемое «теневое ИТ» вне централизованного контроля безопасности. Злоумышленники активно используют подобные активы как наиболее уязвимые точки входа для атак: они хуже мониторятся, реже обновляются и нередко вообще выпадают из поля зрения ИБ-специалистов.

Ручное управление инвентаризацией постепенно перестает масштабироваться экономически. По оценкам различных исследований, ИТ-специалисты могут тратить десятки часов ежемесячно только на рутинную сверку активов, актуализацию записей и поиск владельцев инфраструктуры. При этом даже крупные организации зачастую не обладают полной картиной собственного ИТ-контура: по данным Gartner, лишь небольшая часть компаний способна идентифицировать более 95% своих активов. В таких условиях проблема перестает быть исключительно технической и превращается в вопрос операционной устойчивости и стоимости сопровождения инфраструктуры.

На этом фоне в ИБ начинает формироваться отдельный класс решений, использующих технологии искусственного интеллекта для инвентаризации и анализа внешней инфраструктуры. Такие системы помогают автоматизировать сразу несколько критически важных процессов: поиск теневых активов, их категоризацию, определение ответственных и сокращение времени реакции на инциденты.

Речь идет не просто о классической автоматизации рутинных операций. ИИ становится инструментом анализа сложных взаимосвязей внутри инфраструктуры — в том числе тех, которые человек может не заметить в рамках обычной ручной проверки.

Задача №1. Поиск теневых активов

ИИ-система инвентаризации может анализировать доменные связи, упоминания компании в открытых источниках, структуру именования сервисов, сертификаты, DNS-цепочки и другие инфраструктурные артефакты, формируя предположения о существовании дополнительных ресурсов.

Отдельную роль играет генерация новых вариантов поиска. Если традиционные инструменты работают по заранее определенным шаблонам, то ИИ способен предлагать нетривиальные сценарии проверки. Например, автоматически строить новые wordlist-модели на основе уже найденных доменов, прогнозировать вероятные схемы именования сервисов или искать инфраструктурные связи, которые специалист в рамках ручной проверки мог бы просто не рассматривать.

Инвентаризация превращается из периодической процедуры в непрерывный процесс исследования внешней поверхности атаки. Причем одна из ключевых особенностей ИИ-подхода заключается в том, что система не ограничивается заранее описанными правилами поиска, а постоянно расширяет область проверки, включая в нее потенциально неизвестные ранее активы.

Задача №2. Категоризация и атрибуция активов

Современная инфраструктура редко существует в изолированном виде. Организации используют подрядчиков, облачные платформы, партнерские сервисы и shared-инфраструктуру. Один и тот же IP-адрес или доменная зона могут одновременно использоваться несколькими компаниями, а найденный ресурс формально иметь отношение к бренду, но фактически не принадлежать бизнесу. В результате специалистам ИБ приходится тратить значительное время на проверку и верификацию подобных находок.

ИИ-инструменты позволяют автоматизировать часть этой работы за счет скоринговых моделей и анализа совокупности признаков. Система оценивает вероятность принадлежности актива компании на основе инфраструктурных связей, исторических данных, цифровых сертификатов, сетевых зависимостей, совпадений по принципам наименования и других косвенных параметров. Вместо бинарного подхода «принадлежит/не принадлежит» формируется оценка вероятности, которая помогает быстрее приоритизировать проверку.

При этом в подобных задачах ИИ обычно не выступает самостоятельным механизмом принятия решений. Ошибка атрибуции может привести либо к пропуску реального риска, либо, наоборот, к избыточным проверкам и ложным эскалациям. Поэтому на практике он чаще становится дополнительным уровнем аналитики внутри более сложной системы верификации, где его выводы сопоставляются с другими источниками данных и проходят финальную проверку со стороны специалистов.

Задача №3. Поиск ответственного и сокращение времени реакции

В крупных инфраструктурах институт ownership (ответственность за сервис, продукт, участок ИТ-контура) часто распределен между десятками команд: DevOps, внутренней разработкой, подрядчиками, бизнес-подразделениями и внешними сервис-провайдерами. При этом единая и актуальная карта ответственности существует далеко не всегда.

В результате ИБ-команде приходится вручную выяснять, кому принадлежит сервис, кто имеет доступ к инфраструктуре, кто должен принимать решение по урегулированию инцидентов. Особенно остро эта проблема проявляется в случае критических уязвимостей и zero-day-сценариев, когда скорость реакции напрямую влияет на вероятность компрометации.

ИИ-инструменты на этом уровне используются для сопоставления технических активов с внутренними процессами компании. Для этого анализируются данные из ITSM-систем, история тикетов, инфраструктурные зависимости, информация о прошлых инцидентах, маршрутизации задач и взаимодействии команд. На основе подобных связей система может предполагать наиболее вероятного владельца актива или автоматически сокращать круг ответственных подразделений.

Проблема доверия к выводам модели

Современные ИИ-модели способны допускать неточности, формировать ложные корреляции или выдавать разные результаты при повторных запросах. В контексте ИБ это создает вполне практические риски: ошибочную атрибуцию актива, некорректное определение критичности или неверное назначение ответственного подразделения.

Именно поэтому на практике ИИ-инвентаризация редко используется как полностью автономный механизм. Чаще речь идет о многоуровневой модели анализа, где ИИ становится одним из элементов принятия решений наряду с классическими скоринговыми системами, дополнительными источниками проверки и экспертной верификацией.

Во многих случаях результаты работы модели проходят повторную оценку или подтверждаются специалистами вручную.

Эффективность подобных систем напрямую зависит от качества и объема инфраструктурных данных, с которыми они работают. Для большинства компаний именно этот этап становится одним из самых сложных: необходимо выстроить процессы сбора и нормализации информации о собственных активах, сервисах, сетевых связях и ownership-моделях.

Дополнительную сложность создает высокий порог экспертизы. Настройка ИИ-инвентаризации требует одновременно понимания ИБ, сетевой архитектуры, процессов управления активами и особенностей работы самих моделей. Значительная часть такой экспертизы формируется не столько на уровне теории, сколько на базе практических кейсов — прежде всего в области анализа ложноположительных срабатываний, нетипичных инфраструктурных сценариев и сложных цепочек зависимостей.

Именно поэтому рынок постепенно движется в сторону сервисной модели. Вендоры уже обладают накопленными наборами практических сценариев, готовыми пайплайнами обучения и механизмами адаптации моделей под инфраструктурные особенности заказчика. Для компаний это позволяет сократить затраты на разработку собственных ML-команд и быстрее внедрять подобные инструменты в эксплуатацию.

Что дальше: автономное управление поверхностью атаки

Если сегодня подобные системы в основном помогают обнаруживать ресурсы и ускорять анализ, то в перспективе они будут все глубже интегрироваться в процессы управления безопасностью и эксплуатации инфраструктуры.

Одним из ключевых направлений становится развитие агентских систем, способных самостоятельно собирать данные из разных источников, сопоставлять их между собой и формировать контекст вокруг актива практически без участия человека.

Дополнительным драйвером развития остается рост скорости появления угроз. В случае zero-day уязвимостей у компаний все меньше времени на ручной анализ инфраструктуры и поиск затронутых сервисов. Поэтому рынок движется к максимально непрерывному мониторингу внешней поверхности атаки, где ИИ становится инструментом постоянной переоценки рисков и изменений в инфраструктуре.

При этом полностью автономный контур безопасности в ближайшие пару лет остается маловероятным сценарием. Скорее речь идет о постепенном перераспределении ролей: системы искусственного интеллекта будут брать на себя все больший объем аналитической и корреляционной работы, тогда как специалисты ИБ сохранят контроль над принятием критически важных решений и управлением рисками.