На фоне большого количества статей и рекомендаций о необходимости мобилизации усилий по приоритизации и устранению уязвимостей в связи с появлением новых ИИ‑моделей, позволяющих находить десятки критических уязвимостей за считанные минуты, выделяется https://init6.com/papers/Day-Zero-Normal-CISO-Brief.pdf Роба Фуллера "The Day-Zero
Normal" по перераспределению приоритетов и инвестиций в ИБ‑процессы и инструменты в эру ИИ.
Да, в руководстве подсвечиваются некоторые уже давно очевидные малоэффективные подходы и их решения, например, необходимость замены классических инструктажей точечными "обучениями в моменте", классического антивируса – поведенческим EDR, а ежегодного пентеста – непрерывным автоматизированным редтимингом.
В то же время, есть рекомендации (или призывы) по решению современных проблем:
➡️Необходимость глубокой интеграции решений класса CMDB с решениями CAASM, не забывая, что ИИ-сущности (агенты, mcp-серверы и т.п.) тоже надо учитывать, а также фиксировать какие identity-сущности (учетки, токены и т.п.) связаны с конкретным активом.
➡️Призывы к BugBounty-площадкам интегрировать ИИ-сканеры со специализированными моделями и предоставлять это как базовый функционал, а также ужесточить требования к артефактам, подтверждающим возможность эксплуатации уязвимостей, найденных "исследователями", с целью исключения нейрослопа.
А ещё предложения по внедрению новых подходов:
➡️Все-таки создать VulnOps в составе инженера и аппсека, снарядить их ИИ-инструментами, которые заменят SAST/DAST, а еще пусть они займутся реверс-инжинирингом, чтобы можно было захарденить или создать патчи для легаси-систем.
➡️Внедрить матрицу постоянных полномочий, закрепляющую возможность автоматизированного реагирования на инциденты с помощью ИИ, с закреплением ответственности за такие действия.
Отдельно автор подсвечивает необходимость переподготовки кадров:
➡️SOC-аналитики 1 линии должны стать операторами ИИ-агентов.
➡️AppSec-инженеры должны уйти от ручного триажа в сторону настройки, тюнинга и управления специализированными ИИ-моделями.
➡️GRC-специалисты должны научиться работать с LLM-моделями, чтобы уметь обрабатывать телеметрию от различных ИБ-инструментов для оценки эффективности процессов и соответствия требованиям.
В целом, с документом обязательно рекомендую ознакомиться полностью, так как все рекомендации расписаны очень подробно в разрезе доменов фреймворка NIST CSF 2.0, в том числе с приведением плана действий для CISO, метрик, которые должны выйти на первый план для оценки эффективности новой программы безопасности и советами по бюджету.
#ciso #ai #vm #vulnops #soc #appsec #bugbounty #metrics
