Кибербезопасность сегодня определяется сложностью. Угрозы развиваются в режиме реального времени благодаря вредоносному ПО, создаваемому искусственным интеллектом, автономной разведке и злоумышленникам, способным адаптироваться быстрее, чем когда-либо.
Недавний опрос, проведенный DarkTrace среди более 1500 специалистов по кибербезопасности по всему миру, показал, что почти 74% опрошенных заявили, что угрозы, связанные с искусственным интеллектом, представляют собой серьезную проблему для их организаций, а 90% ожидают, что эти угрозы окажут существенное влияние в течение следующих одного-двух лет.
Между тем, многие организации по-прежнему используют защитные модели, разработанные для более статичного мира. Эти устаревшие учебные среды носят импровизированный характер, ориентированы на соблюдение требований и плохо подходят для постоянно меняющегося характера современных рисков безопасности.
Сейчас организациям и службам кибербезопасности необходим переход от эпизодического моделирования к ежедневной практике, основанной на информации об угрозах. Это означает переход от фрагментированных ролей к кросс-функциональной синергии и от реактивной защиты к оперативной устойчивости.
В основе этой трансформации лежит непрерывное управление воздействием угроз (CTEM) — дисциплина, а не инструмент или проект, которая позволяет организациям развиваться в ногу с угрозами, с которыми они сталкиваются.
Хуже того, они предполагают, что противники предсказуемы и неизменны. Но, как мы знаем, вредоносное ПО, создаваемое искусственным интеллектом, и автономная разведка подняли планку. Злоумышленники стали действовать быстрее, изобретательнее и их сложнее обнаружить.
Современные злоумышленники способны разрабатывать трудноуловимое вредоносное ПО и запускать атаки, меняющиеся в режиме реального времени. Чтобы соответствовать меняющейся среде угроз, организациям необходимо изменить свой подход, прежде чем менять тактику.
Это достигается не с помощью общих симуляций, а посредством элементарных, контекстно-зависимых упражнений, направленных на отдельные методы, соответствующие конкретному ландшафту угроз. Это также выполняется по одному подметодику за раз. Команды рассматривают один сценарий, затем повторяют его, дорабатывают и переходят к следующему.
Такой уровень точности гарантирует, что организации готовятся к реагированию на действительно важные угрозы — атаки, направленные на их сектор, инфраструктуру и бизнес-логику. Это также создаёт устойчивый ритм обучения, способствующий формированию устойчивых рефлексов безопасности.
Следует помнить, что достоверность достигается не только инструментами, но и людьми, разрабатывающими симуляции. Воспроизвести реальные угрозы можно только в том случае, если ваши команды SOC будут в курсе современных угроз. Без этого симуляции рискуют превратиться в очередное теоретическое упражнение.
Эти сложные сценарии не просто проверяют защиту; они показывают, как команды взаимодействуют в условиях давления, насколько быстро они обнаруживают угрозы и соответствуют ли их протоколы реагирования реальному поведению угроз.
Детализированная отчётность крайне важна, поскольку позволяет организациям выявлять проблемы с навыками, процессами или координацией. Изучая специфику и получая значимые показатели, включая задержку обнаружения, успешность сдерживания и пробелы в охвате, они могут превратить моделирование в практически применимую информацию.
Со временем повторяющиеся упражнения с использованием схожих приемов помогают точно измерить прогресс и определить, закрепляются ли улучшения или требуются дополнительные доработки.
Это план встраивания CTEM в протоколы безопасности организации:
ИИ не заменит реальные учебные сценарии. Ошибочно полагаться только на него при создании передового контента. ИИ способен ускорять доставку контента, адаптироваться к разным учащимся и персонализировать процесс обучения.
Система также может выявлять слабые стороны каждого человека и подбирать для него индивидуальные программы обучения, которые восполняют пробелы в реальных навыках. Ожидается, что в 2026 году персонализация на основе ИИ станет стандартом в сфере профессионального развития, позволяя согласовывать потребности учащихся с наиболее актуальными симуляциями и модулями.
Это также требует тщательной разработки. Команды «красных» и «синих» должны действовать открыто, прозрачно и согласованно. Недостаточно просто имитировать угрозу. Команды безопасности также должны имитировать её, чтобы соответствовать интенсивности противника, чтобы выработать рефлексы, достаточно сильные, чтобы противостоять реальным угрозам.
Организации, которые пойдут по этому пути, не просто будут быстрее реагировать на инциденты — они смогут предвидеть, адаптироваться и развивать устойчивость, которая будет развиваться так же быстро, как и угрозы.
Димитриос Бугиукас — вице-президент по обучению в компании Hack The Box, где он руководит разработкой передовых обучающих инициатив и сертификаций, снабжающих специалистов по кибербезопасности по всему миру навыками, необходимыми для выполнения поставленных задач.
Недавний опрос, проведенный DarkTrace среди более 1500 специалистов по кибербезопасности по всему миру, показал, что почти 74% опрошенных заявили, что угрозы, связанные с искусственным интеллектом, представляют собой серьезную проблему для их организаций, а 90% ожидают, что эти угрозы окажут существенное влияние в течение следующих одного-двух лет.
Между тем, многие организации по-прежнему используют защитные модели, разработанные для более статичного мира. Эти устаревшие учебные среды носят импровизированный характер, ориентированы на соблюдение требований и плохо подходят для постоянно меняющегося характера современных рисков безопасности.
Сейчас организациям и службам кибербезопасности необходим переход от эпизодического моделирования к ежедневной практике, основанной на информации об угрозах. Это означает переход от фрагментированных ролей к кросс-функциональной синергии и от реактивной защиты к оперативной устойчивости.
В основе этой трансформации лежит непрерывное управление воздействием угроз (CTEM) — дисциплина, а не инструмент или проект, которая позволяет организациям развиваться в ногу с угрозами, с которыми они сталкиваются.
Почему традиционные модели больше не работают
Устаревшие модели обучения, включающие ежегодные тесты на проникновение, полугодовые настольные учения и отдельные мероприятия «красные против синих», уже недостаточны. Они обеспечивают ограниченную видимость, имитируют слишком узкий диапазон поведения при атаках и часто ограничиваются проверкой соответствия требованиям, не создавая долгосрочных и стратегических возможностей.Хуже того, они предполагают, что противники предсказуемы и неизменны. Но, как мы знаем, вредоносное ПО, создаваемое искусственным интеллектом, и автономная разведка подняли планку. Злоумышленники стали действовать быстрее, изобретательнее и их сложнее обнаружить.
Современные злоумышленники способны разрабатывать трудноуловимое вредоносное ПО и запускать атаки, меняющиеся в режиме реального времени. Чтобы соответствовать меняющейся среде угроз, организациям необходимо изменить свой подход, прежде чем менять тактику.
Внедрение CTEM в повседневную практику
CTEM предлагает принципиально иной подход. Он требует операциональной устойчивости, когда команды систематически и ежедневно проверяют, совершенствуют и постоянно развивают свою оборонительную тактику.Это достигается не с помощью общих симуляций, а посредством элементарных, контекстно-зависимых упражнений, направленных на отдельные методы, соответствующие конкретному ландшафту угроз. Это также выполняется по одному подметодику за раз. Команды рассматривают один сценарий, затем повторяют его, дорабатывают и переходят к следующему.
Такой уровень точности гарантирует, что организации готовятся к реагированию на действительно важные угрозы — атаки, направленные на их сектор, инфраструктуру и бизнес-логику. Это также создаёт устойчивый ритм обучения, способствующий формированию устойчивых рефлексов безопасности.
Моделирование нарушений в реальном времени: обучение под давлением
Отличие CTEM от традиционного тестирования заключается не только в частоте, но и в достоверности. Моделирование нарушений в реальном времени не является гипотетическим. Эти симуляции предназначены для воспроизведения реального поведения, интенсивности и тактики противника. При правильном проведении они отражают скрытность и свирепость реальных атак.Следует помнить, что достоверность достигается не только инструментами, но и людьми, разрабатывающими симуляции. Воспроизвести реальные угрозы можно только в том случае, если ваши команды SOC будут в курсе современных угроз. Без этого симуляции рискуют превратиться в очередное теоретическое упражнение.
Эти сложные сценарии не просто проверяют защиту; они показывают, как команды взаимодействуют в условиях давления, насколько быстро они обнаруживают угрозы и соответствуют ли их протоколы реагирования реальному поведению угроз.
Аналитика как петля обратной связи
То, что происходит после симуляции, так же важно, как и само упражнение. Аналитический цикл после симуляции даёт критически важную информацию о том, что сработало, что нет, и где кроются системные недостатки.Детализированная отчётность крайне важна, поскольку позволяет организациям выявлять проблемы с навыками, процессами или координацией. Изучая специфику и получая значимые показатели, включая задержку обнаружения, успешность сдерживания и пробелы в охвате, они могут превратить моделирование в практически применимую информацию.
Со временем повторяющиеся упражнения с использованием схожих приемов помогают точно измерить прогресс и определить, закрепляются ли улучшения или требуются дополнительные доработки.
План для руководителей служб информационной безопасности: создание устойчивых кросс-функциональных команд
Для руководителей служб информационной безопасности и специалистов по информационной безопасности внедрение CTEM — это не просто добавление дополнительных инструментов, а внедрение культуры, структуры и стратегии.Это план встраивания CTEM в протоколы безопасности организации:
- Интегрируйте данные тактической разведки угроз. Обучение должно основываться на данных реальной разведки. Сценарии, оторванные от текущей картины угроз, в лучшем случае неэффективны, а в худшем — вводят в заблуждение.
- Совместная работа красных и синих команд. Безопасность — командный вид спорта. Необходимо преодолеть разобщённость между атакующими и обороняющимися командами. Обмен опытом и итерационные циклы совершенствования крайне важны.
- Участвуйте в симуляциях, а не просто в обучении . Структурированное обучение — это основа, но истинная готовность достигается только с помощью симуляции киберинцидентов. Командам необходимо перейти от знания техники к её применению в стрессовых условиях, в оперативной обстановке.
- Внедрите CTEM в качестве ежедневной дисциплины . CTEM должен стать частью ДНК организации и непрерывным процессом. Это требует организационной зрелости, четкой обратной связи и сильного контроля над процессом.
- Используйте метрики для стимулирования обучения . Повторение, основанное на фактических данных, зависит от надежности данных. Аналитика, полученная в результате моделирования нарушений, должна напрямую соотноситься с развитием навыков и эффективностью инструментов.
Роль ИИ в обучении кибербезопасности
Хотя злоумышленники уже используют ИИ в своих интересах, защитники тоже могут его использовать, но с осторожностью.ИИ не заменит реальные учебные сценарии. Ошибочно полагаться только на него при создании передового контента. ИИ способен ускорять доставку контента, адаптироваться к разным учащимся и персонализировать процесс обучения.
Система также может выявлять слабые стороны каждого человека и подбирать для него индивидуальные программы обучения, которые восполняют пробелы в реальных навыках. Ожидается, что в 2026 году персонализация на основе ИИ станет стандартом в сфере профессионального развития, позволяя согласовывать потребности учащихся с наиболее актуальными симуляциями и модулями.
За пределами инструментов: превращение CTEM в культуру
В конечном счете, CTEM достигает успеха, когда его воспринимают не как функцию или продукт, а как дисциплину, вплетенную в повседневную практику организации.Это также требует тщательной разработки. Команды «красных» и «синих» должны действовать открыто, прозрачно и согласованно. Недостаточно просто имитировать угрозу. Команды безопасности также должны имитировать её, чтобы соответствовать интенсивности противника, чтобы выработать рефлексы, достаточно сильные, чтобы противостоять реальным угрозам.
Организации, которые пойдут по этому пути, не просто будут быстрее реагировать на инциденты — они смогут предвидеть, адаптироваться и развивать устойчивость, которая будет развиваться так же быстро, как и угрозы.
Димитриос Бугиукас — вице-президент по обучению в компании Hack The Box, где он руководит разработкой передовых обучающих инициатив и сертификаций, снабжающих специалистов по кибербезопасности по всему миру навыками, необходимыми для выполнения поставленных задач.
