SANS: руководители служб информационной безопасности сталкиваются с хаосом из-за незащищённого внедрения ИИ

Институт SANS опубликовал исследование, в котором заявлено, что искусственный интеллект внедряется в корпоративные процессы значительно быстрее, чем формируются меры его защиты. Эта асимметрия уже используется злоумышленниками — атаки на базе ИИ происходят с масштабами и скоростью, недостижимыми для человека.

По данным отчёта, фишинговые сообщения становятся более правдоподобными, повышение привилегий происходит быстрее, а автоматизированные скрипты корректируются на лету для обхода средств защиты. Исследования показывают, что ИИ-атаки могут выполняться более чем в 40 раз быстрее традиционных методов, что позволяет взломщикам достичь целей ещё до того, как специалисты SOC успевают отреагировать на первые предупреждения.

Отдельная проблема заключается в том, что многие центры безопасности внедряют ИИ без стратегии. 42% опрошенных команд используют инструменты машинного обучения «из коробки», без интеграции в существующие правила и процессы.

У большинства отсутствуют планы реагирования на специфические угрозы, такие как отравление моделей или их несанкционированное внедрение. Это создаёт «слепые зоны», которыми злоумышленники могут воспользоваться.

Сложнее всего ситуация для небольших SOC с ограниченными ресурсами. Руководитель исследований и директор по искусственному интеллекту Института SANS Роб Т. Ли в комментарии Help Net Security отметил, что директорам по информационной безопасности стоит сосредоточиться на приоритетных вложениях.

По его словам, самой важной инвестицией в 2025 году должна стать система управления, обеспечивающая контролируемый доступ к ИИ-инструментам через защищённую среду. Такая архитектура должна включать базовые меры защиты: контроль доступа, мониторинг моделей, отслеживание операций и защиту данных. Это позволит сотрудникам эффективно использовать ИИ для рабочих задач, а службам безопасности — контролировать его применение во всех доменах.

Ли подчеркнул, что успешность подхода следует оценивать не по абстрактным показателям, а по практическим результатам — реальному снижению уязвимостей и повышению устойчивости инфраструктуры.