Cisco переосмысливает кибербезопасность на RSAC 2024 с помощью искусственного интеллекта и прозрачности на уровне ядра

Атака на конечные точки, инфраструктуру и поверхности угроз организаций с помощью существующих систем киберзащиты не всегда может выявить или остановить то, к чему стремятся самые смертоносные злоумышленники в мире. От банд киберпреступников, использующих экспертов по искусственному интеллекту и машинному обучению (ML), до противников национальных государств, которые набирают лучших и самых талантливых специалистов из своих университетов для участия в глобальной киберборьбе, сегодняшним организациям необходимо столь же агрессивно добиваться устойчивости.

По словам нескольких директоров по информационной безопасности, с которыми VentureBeat беседовал на RSAC 2024, пожелавших остаться анонимными, отказоустойчивые сети теперь являются приоритетом на уровне совета директоров. Советы директоров хотят получить доказательства прогресса в достижении целей управления рисками. Примечательным выводом из обсуждений CISO RSAC 2024 является необходимость повышения эффективности всей инфраструктуры и большей прозрачности на уровне контейнера и ядра.

«Существует чрезмерная уверенность в своей способности противостоять кибератакам: 80% компаний уверены в своей готовности, но только 3% действительно готовы. Негативные последствия неустойчивости трагичны. Мы должны перейти к созданию первого поколения чего-то совершенно нового», — сказал VentureBeat Джиту Патель, исполнительный вице-президент и генеральный менеджер по безопасности и сотрудничеству Cisco, ссылаясь на результаты Индекса готовности Cisco к кибербезопасности за 2024 год.

Беседы VentureBeat с директорами по информационной безопасности во время RSAC подтверждают точку зрения Пателя. Их главные заботы — повышение устойчивости облачной инфраструктуры, безопасность цепочек поставок программного обеспечения, улучшение соответствия спецификации программного обеспечения (SBOM) и защита множества связей с партнерами и поставщиками от неустанного потока новых профессиональных решений злоумышленников.

Переосмысление кибербезопасности в мире враждебного искусственного интеллекта

«Что нам нужно сделать, так это убедиться, что мы изначально используем ИИ для защиты, потому что вы не можете выйти и бороться с этими атаками противников с использованием ИИ в качестве оружия в человеческом масштабе. Вы должны делать это в машинном масштабе», — объяснил Патель.

Патель подробно остановился на многочисленных проблемах, с которыми сталкиваются организации, пытаясь стать более устойчивыми к более быстрым и изощренным кибератакам. Cisco рассматривает проблемы поддержания актуальности инфраструктуры, управления обновлениями и сдерживания попыток взлома с помощью строгой сегментации как трудные задачи, с которыми сегодня сталкиваются все организации. Если позволить им действовать слишком долго, это создает слабые поверхности угроз, которые злоумышленники неизбежно найдут и воспользуются.

Большинство организаций откладывают установку исправлений и лишь удваивают свои усилия после взлома. Недавний отчет Ivanti о состоянии кибербезопасности показал, что исправления, влияющие на критически важные системы, имеют наибольшую срочность в 61% случаев. Большинство специалистов в области ИТ и безопасности (71%) считают установку исправлений слишком сложной и трудоемкой. Кроме того, 57% тех же специалистов говорят, что удаленная работа и децентрализованные рабочие пространства делают управление исправлениями еще более сложной задачей, а 62% признают, что управление исправлениями отходит на второй план по сравнению с другими задачами.

Сегментация, как известно, является одним из наиболее сложных аспектов реализации структуры безопасности с нулевым доверием, несмотря на ее врожденную способность ограничивать злоумышленников от горизонтального перемещения по инфраструктуре. Существует также проблема обновления самой инфраструктуры, включая брандмауэры и сетевое оборудование, которое часто происходит медленно из-за ограниченных окон контроля изменений. Без более автоматизированного подхода к поддержанию актуальности инфраструктуры основные системы устаревают и становятся уязвимыми.

Почему Cisco говорит, что кибербезопасность должна измениться

Защита от состязательных атак на основе искусственного интеллекта и потока новых злоумышленников требует нового подхода к кибербезопасности. Патель из Cisco и Том Гиллис, старший вице-президент и генеральный менеджер Cisco Security, рассказали VentureBeat. Кибербезопасность должна в полной мере использовать преимущества встроенного искусственного интеллекта, прозрачности на уровне ядра и аппаратного ускорения, что приведет к созданию более устойчивых и самообновляющихся систем безопасности.

Патель и Гиллис подробно остановились на этом видении и объяснили, почему сейчас самое время переосмыслить кибербезопасность в своем совместном докладе «Время пришло: новое определение безопасности в эпоху искусственного интеллекта». Cisco делает ставку на собственный искусственный интеллект в качестве основы своей стратегии кибербезопасности. Все начинается с недавно представленного HyperShield, их новой гиперраспределенной структуры, которая действует как структура безопасности в масштабе всего предприятия.

«Чрезвычайно сложно выйти и что-то сделать, если ИИ рассматривается как нечто сопутствующее; вам нужно подумать об этом. Ключевым словом здесь является то, что искусственный интеллект изначально используется в вашей базовой инфраструктуре», — подчеркнул Патель во время своего выступления.

Гиллис рассказал VentureBeat, что он видит потребность своих клиентов в переосмыслении кибербезопасности для поддержки более контекстуально интеллектуальной, автономной сегментации, автоматического управления исправлениями и более эффективного и безопасного способа поддержания актуальности инфраструктуры.

«Мы говорим об инфраструктуре, которая обновляется сама. HyperShield может применять компенсирующие элементы управления, защищать известные уязвимости, а затем удалять эти элементы управления после исправления, обеспечивая управление жизненным циклом», — сказал Гиллис. «Это не просто гарантия того, что мы создадим следующую версию того, что уже существует. Он создает первую версию чего-то совершенно нового. И это полностью переосмысленная архитектура гиперраспределенной безопасности», — добавил Патель.

Три технологических сдвига меняют кибербезопасность

«Происходят три ключевых технологических сдвига, которые фундаментально изменят способы решения этих проблем. Первый — это искусственный интеллект, второй — видимость на уровне ядра, а третий — аппаратное ускорение», — сказал Патель. Патель говорит, что эти три технологических новшества составляют основу нового поколения гиперраспределенных инфраструктур кибербезопасности Cisco, начиная с HyperShield.

Патель и Гиллис объяснили технологические сдвиги и их влияние на то, почему и как необходимо переосмыслить кибербезопасность. Вот краткий обзор каждой смены:

Аискусственный интеллект (ИИ). Гиллис и Патель прогнозируют, что искусственный интеллект приведет к постепенному повышению точности и производительности центра управления безопасностью (SOC), поэтому наличие встроенного искусственного интеллекта является неотъемлемой частью успеха любой платформы кибербезопасности. «Эти инструменты искусственного интеллекта замечательны тем, что они могут сделать для обеспечения безопасности. Это не небольшой прирост, а скачок вперед в эффективности. Мы всегда будем создавать их таким образом, чтобы они заслужили доверие пользователя. У всех них есть своего рода полуавтоматический режим, в котором они сообщают пользователю: «Я собираюсь принять это решение, и вот мое объяснение», — рассказал Гиллис VentureBeat.

Видимость на уровне ядра. «Вы не можете защитить то, от чего вас не видно. Вот почему я думаю, что расширенный фильтр пакетов Беркли (eBPF) станет очень важной технологией, которая позволит вам выйти и заглянуть в самое сердце сервера и операционной системы и увидеть, что происходит, фактически не находясь внутри операционной системы. — рассказал Патель VentureBeat.

Гиллис добавил: «eBPF дает нам возможность изучить приложение и понять его внутреннюю работу, а затем узнать, изменилось ли оно. Приложение обновлялось? Это новая версия? Изменилось ли что-то, чтобы мы знали: «Эй, ослабьте эти ограничения», а затем снова их ужесточите? Чем глубже мы понимаем приложение, тем больше мы можем с уверенностью сказать, точны эти правила или нет».
Аппаратное ускорение. Гиллис и Патель рассматривают быстрый рост количества графических процессоров (GPU) и блоков обработки данных (DPU) как катализатор, который будет продолжать стимулировать переосмысление и переопределение кибербезопасности. «Мы говорили об аппаратном ускорении с помощью графических процессоров. Подумайте также о DPU… вы можете получить значительное ускорение пропускной способности для операций безопасности и операций ввода-вывода… управление соединениями и шифрование, которые можно будет выполнять в тысячу раз быстрее, чем вы могли делать раньше», — сказал Патель. Он продолжил: «Благодаря аппаратному ускорению такие вещи, как DPU — специализированные подсистемы для вычислений операций ввода-вывода и повторяющихся сетевых функций, таких как управление соединениями или шифрование, — позволяют нам обеспечить среду, которая может быть в тысячу раз более производительной, чем традиционные средства. ».