Компания Exabeam, мировой лидер в области интеллектуальной аналитики и автоматизации, обеспечивающая безопасность операций, опубликовала результаты своего нового международного отчета From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk (“От человека к гибриду: как ИИ и пробелы в аналитике усиливают риск внутренних угроз”) которое показало как искусственный интеллект делает внутренние киберугрозы быстрее, умнее и опаснее для организаций по всему миру.
ИИ делает внутренние угрозы более эффективными и они обходят внешние атаки
На основе опроса 1 010 специалистов по кибербезопасности в ключевых секторах, исследование показывает, что внутренние угрозы обошли внешние атаки по уровню беспокойства о безопасности и что ИИ ускоряет этот сдвиг.
Согласно отчету, 64 % респондентов теперь считают внутренними угрозами как злонамеренных, так и скомпрометированных пользователей — более значительным риском, чем внешние акторы. Генеративный ИИ (GenAI) играет важную роль, делая атаки быстрее, незаметнее и сложнее для обнаружения.
«Внутренние угрозы — это уже не просто люди», — сказал Стив Уилсон, директор по ИИ и продуктам в Exabeam. — «Это ИИ-агенты, которые входят с действительными учетными данными, имитируют доверенные голоса и действуют со скоростью машины. Вопрос не только в том, кто имеет доступ, — а можете ли вы заметить, когда этим доступом злоупотребляют».
Рост внутренних угроз не показывает признаков замедления
Активность злоумышленников изнутри усиливается во всех отраслях, что обусловлено как злонамеренными действиями, так и случайными компрометациями. За последний год более половины организаций (53%) зафиксировали заметный рост внутренних инцидентов, а большинство (54%) ожидают, что этот рост продолжится. Организации государственного сектора готовятся к самому резкому увеличению (73%), за ними следуют производство (60%) и здравоохранение (53%), что связано с расширением доступа к конфиденциальным системам и данным.
Этот всплеск не является однородным; траектории риска существенно различаются по регионам и отраслям. Азиатско-Тихоокеанский регион и Япония возглавляют прогнозы роста внутренних угроз (69%), что отражает повышенное внимание к атакам, связанным с идентичностью. На Ближнем Востоке почти треть (30%) ожидает снижение, что может указывать либо на большую уверенность в текущих мерах безопасности, либо на недооценку эволюционирующих рисков. Эти различия подчеркивают сложность ландшафта внутренних угроз и необходимость стратегий защиты, соответствующих региональным реалиям.
ИИ обеспечивает более быстрые, умные и сложные внутренние атаки
Искусственный интеллект стал множителем эффективности для внутренних угроз, позволяя злоумышленникам действовать с беспрецедентной скоростью и изощренностью. Два из трех основных текущих каналов внутренних угроз теперь связаны с ИИ: усовершенствованный фишинг и социальная инженерия, которые становятся самыми тревожными тактиками (27%). Эти атаки могут адаптироваться в режиме реального времени, имитировать легитимные коммуникации и использовать доверие в масштабе и со скоростью, недостижимыми для человеческого противника.
Неавторизованное использование GenAI осложняет ситуацию, создавая двойной риск, при котором те же инструменты, призванные повышать продуктивность, могут применяться в злонамеренных целях. Более трех четвертей организаций (76%) сообщают о каком-либо уровне неправильного или несанкционированного использования, причем наибольшие показатели отмечаются в технологическом секторе (40%), финансовых услугах (32%) и государственном секторе (38%).
Региональные различия также показательны: на Ближнем Востоке несанкционированное использование GenAI является главным внутренним беспокойством (31%), что отражает как быстрое внедрение ИИ, так и пробелы в управлении. В глобальном масштабе сочетание внутреннего доступа и возможностей ИИ создает угрозы, которые обходят традиционные механизмы контроля и требуют более продвинутого поведенческого обнаружения.
Большинство программ по внутренним угрозам всё ещё не справляются с обнаружением
Хотя 88% организаций заявляют, что у них есть программы по внутренним угрозам, большинство из них не обладают поведенческой аналитикой, необходимой для раннего выявления аномальной активности. Только 44% используют аналитику поведения пользователей и сущностей (User and Entity Behavior Analytics, UEBA) — ключевую способность для обнаружения внутренних угроз. Многие всё ещё полагаются на управление идентичностями и доступом, обучение безопасности, средства предотвращения утечек данных (Data Loss Prevention, DLP) и Endpoint Detection and Response (EDR) — инструменты, которые обеспечивают видимость, но не дают поведенческого контекста, необходимого для выявления тонких или новых рисков.
Использование ИИ широко распространено: 97% организаций применяют ту или иную форму ИИ в инструментах для обнаружения внутренних угроз, однако управление и операционная готовность отстают. Более половины руководителей считают, что ИИ-инструменты уже полностью внедрены, но менеджеры и аналитики утверждают, что многие из них всё ещё находятся на стадии пилотных или оценочных проектов. Кроме того, команды безопасности сталкиваются с постоянными препятствиями: сопротивление из-за конфиденциальности, фрагментированность инструментов и сложность интерпретации намерений пользователей остаются основными слепыми зонами.
Стив Кирквуд, CISO компании Exabeam, отметил: «ИИ добавил уровень скорости и изощрённости к внутренней активности, который традиционные средства защиты не были спроектированы обнаруживать. Команды безопасности используют ИИ для выявления этих развивающихся угроз, но без сильной системы управления или четкой надзорной функции — это гонка, в которой им трудно победить. Эта смена парадигмы требует принципиально нового подхода к защите от внутренних угроз».
Преодоление разрыва в обнаружении внутренних угроз
Поскольку внутренние угрозы ускоряются под воздействием ИИ, злоупотребления идентичностью и недостатка видимости поведения, успеха добьются те организации, которые смогут согласовать приоритеты руководства с операционной реальностью. Прогресс потребует перехода за рамки поверхностного соответствия (compliance) к подходам, сосредоточенным на контексте, которые точно различают человеческую активность и действия, управляемые ИИ, а также способствуют сотрудничеству между командами для устранения пробелов в видимости.
Преодоление этого разрыва требует не только изменений в политике. Это подразумевает вовлечение руководства, кросс-функциональное сотрудничество и модели управления, соответствующие скорости внедрения ИИ. Успех будет определяться способностью сокращать время обнаружения и реагирования, уменьшать «окно возможностей» для внутренних угроз и адаптировать стратегии по мере эволюции рисков.
