Компанія Exabeam, світовий лідер з інтелектуальної аналітики та автоматизації, яка забезпечує операції з безпеки, опублікувала результати свого нового міжнародного звіту From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk (“Від людини до гібриду: як ШІ та прогалини в аналітиці посилюють ризик з боку внутрішніх загроз”).
ШІ робить внутрішні загрози більш ефективними за зовнішні атаки
На основі опитування 1 010 фахівців з кібербезпеки у ключових секторах, дослідження показує, що внутрішні загрози обійшли зовнішні атаки за рівнем занепокоєння щодо безпеки, і що ШІ прискорює цей зсув.
Згідно зі звітом, 64 % респондентів тепер вважають внутрішніми загрозами, як зловмисних, так й скомпрометованих користувачів, більшим ризиком, ніж зовнішніх акторів. Генеративний ШІ (GenAI) грає важливу роль, роблячи атаки швидшими, більш прихованими й складнішими для виявлення.
«Внутрішні загрози — це вже не просто люди», — сказав Стів Вілсон, Головний директор з ШІ та продуктів у Exabeam. — «Це агенти ШІ, які входять з дійсними обліковими даними, імітують довірені голоси і діють на швидкості машини. Питання не лише в тому, хто має доступ — а чи можете ви помітити, коли цим доступом зловживається».
Зростання внутрішніх загроз не має ознак сповільнення
Діяльність зловмисників зсередини посилюється в усіх галузях, зумовлена як зловмисними намірами, так і випадковими компрометаціями. За останній рік понад половина організацій (53%) зафіксували помітне зростання внутрішніх інцидентів, а більшість (54%) очікують, що цей ріст триватиме. Організації урядового сектору готуються до найрізкішого зростання (73%), далі за ними слідують виробництво (60%) і охорона здоров’я (53%), спричинені розширенням доступу до чутливих систем і даних.
Цей сплеск не є однорідним; траєкторії ризику суттєво відрізняються за географією та галузями. Азія-Пасифік і Японія очолюють прогнози зростання внутрішніх загроз (69%), що відображає підвищену обізнаність про атаки, зумовлені ідентичністю. На Близькому Сході майже одна третина (30%) передбачає зменшення, що може бути сигналом або більшої довіри до поточних заходів безпеки, або потенційної недооцінки еволюційних ризиків. Ці відмінності підкреслюють складність ландшафту внутрішніх загроз і потребу в захисних стратегіях, які відповідають регіональним реаліям.
ШІ забезпечує швидші, розумніші та складніші внутрішні атаки
Штучний інтелект став множником ефективності для внутрішніх загроз, дозволяючи акторам діяти з безпрецедентною ефективністю та витонченістю. Два з трьох основних поточних каналів внутрішніх загроз тепер пов’язані зі ШІ: покращений фішинг та соціальна інженерія, які з’являються як найтривожніші тактики (27%). Ці атаки можуть адаптуватися в режимі реального часу, імітувати легітимні комунікації та використовувати довіру у масштабі та зі швидкістю, яких людина-адверсарій не може досягти.
Неавторизоване використання GenAI ускладнює ситуацію, створюючи подвійний ризик, де ті ж інструменти, які покликані підвищувати продуктивність, можуть бути використані в зловмисних цілях. Понад три чверті організацій (76%) повідомляють про певний рівень невідповідного/неавторизованого використання, причому ті, хто у технологічному секторі (40%), фінансових послугах (32%) та уряді (38%), відчувають найвищі рівні такого використання.
Регіональні відмінності також показові: на Близькому Сході неавторизоване використання GenAI є головним внутрішнім занепокоєнням (31%), що відображає як швидке впровадження ШІ, так і прогалини у керуванні. У глобальному масштабі поєднання внутрішнього доступу та можливостей ШІ породжує загрози, які уникають традиційного контролю і вимагають більш просунутої поведінкової детекції.
Більшість програм внутрішніх загроз все ще не справляються з виявленням
Хоча 88% організацій заявляють, що мають програми внутрішніх загроз, більшість із них не мають поведінкової аналітики, потрібної для раннього виявлення аномальної активності. Лише 44% використовують аналітику поведінки користувачів та сутностей (User and Entity Behavior Analytics, UEBA), фундаментальну здатність для виявлення внутрішніх загроз. Багато з них досі покладаються на управління ідентичностями та доступом, тренінги з безпеки, засоби запобігання втраті даних (Data Loss Prevention, DLP) та Endpoint Detection and Response (EDR) — інструменти, які забезпечують видимість, але не дають контексту поведінки, необхідного для виявлення тонких чи нових ризиків.
Використання ШІ поширене: 97% організацій використовують якусь форму ШІ в інструментах для внутрішніх загроз, проте керування та операційна готовність відстають. Понад половина керівників вірять, що інструменти ШІ вже повністю розгорнуті, але менеджери та аналітики стверджують, що багато з них все ще перебувають на стадії пілотних або оцінювальних проєктів. До того ж, команди з безпеки зіштовхуються з постійними перешкодами: опір конфіденційності, фрагментованість інструментів та складність інтерпретації намірів користувачів залишаються основними сліпими зонами.
Стів Кірквуд, CISO компанії Exabeam, сказав: «ШІ додав рівень швидкості і підступності до внутрішньої активності, якого традиційні засоби захисту не були спроєктовані виявляти. Команди з безпеки застосовують ШІ, щоб виявляти ці еволюціонуючі загрози, але без сильної системи управління або чіткої наглядової функції — це гонка, яку вони важко виграють. Ця зміна парадигми потребує фундаментально нового підходу до захисту від внутрішніх загроз.»
Подолання розриву у виявленні внутрішніх загроз
Оскільки внутрішні загрози прискорюються під впливом ШІ, зловживання ідентичністю та браку видимості поведінки, досягнуть успіху організації, які узгодять пріоритети керівництва з операційною реальністю. Прогрес вимагатиме руху за межі поверхневого дотримання (compliance) до підходів, які сфокусовані на контексті, точно відрізняють людську активність від тієї, що керується ШІ, і сприяють співпраці між командами, щоб закрити прогалини видимості.
Подолання цього розриву потребує не лише змін у політиках. Це вимагає залучення лідерства, крос-функціональної співпраці та моделей управління, які йдуть в ногу зі швидкістю впровадження ШІ. Успіх буде визначатися здатністю скоротити час виявлення та реагування, зменшити «вікно можливостей» для дій внутрішніх загроз і адаптувати стратегії у міру еволюції загроз.
