SANS 2025 AI Survey: Критичний розрив – Чому 81% лідерів панічно бояться ШІ-атак, але лише 50% роблять недостатньо, використовуючи ШІ для захисту?

Штучний інтелект (ШІ) та генеративний ШІ (GenAI) вже вийшли за межі теорії, ставши реальністю, яка трансформує операції кібербезпеки.

Нове дослідження SANS 2025 AI Survey надає важливий знімок того, як організації використовують ШІ сьогодні, де існують прогалини у захисті та як вони готуються до майбутнього.

Головний висновок полягає у критичному невідповідності між усвідомленням ризику та захисною реакцією.

1. Наскільки ефективно організації використовують ШІ для захисту порівняно з їхнім занепокоєнням щодо ШІ-атак?

Організації використовують ШІ для захисту значно менш ефективно та інтенсивно, ніж свідчить їхнє занепокоєння.

• Високе занепокоєння: Переважна більшість лідерів безпеки — 81% опитаних — стурбовані зростанням загроз, що використовують ШІ. Їхні страхи цілком обґрунтовані: 83% турбуються про високоперсоналізовані атаки соціальної інженерії, а 73% — про діпфейки.
• Низьке впровадження захисту: Проте лише половина (50%) організацій наразі використовують ШІ як частину своєї стратегії кібербезпеки. Хоча ще 30% планують почати протягом наступних 12 місяців, команди захисників наразі відстають.

Цей розрив свідчить про те, що захисники вважають зловмисників більш компетентними у використанні GenAI, ніж вони самі.

Думка ZeroFox: «Цей розрив між сприйняттям загрози та оборонним впровадженням свідчить про те, що ми готуємося до вчорашньої війни, тоді як завтрашні противники вже озброюють ці можливості». Зловмисники не мають обмежень захисників — вони використовуватимуть ШІ для масштабування фішингу, прискорення виявлення вразливостей та ухилення від виявлення. Без стратегічної інтеграції ШІ, яка дійсно знижує ризик, організації ризикують бути вразливими. ZeroFox вже пропонує рішення, що перекривають цей критичний розрив. (детальніше у блозі ZeroFox, публікація Maddie Bullock)

2. Поверхневе впровадження та консервативний підхід

Впровадження ШІ у кіберзахист залишається неглибоким та зосередженим на менш трансформаційних випадках використання.

• Фокус на підтримці: Більшість організацій використовують ШІ для виявлення аномалій (53%) та збагачення сповіщень (49%). Хоча це надає критичний контекст, це функції підтримки, а не автономні дії.
• Обмеження у критичних сферах: Застосування ШІ різко знижується у сферах, які вимагають найбільшої ефективності: лише 33% використовують ШІ для розслідування інцидентів, і лише 26% — для реагування на інциденти.
• Очікування допоміжної ролі: 75% респондентів очікують, що ШІ буде лише доповнювати наявні інструменти (SIEM, SOAR та EDR) протягом наступних трьох років. Це вказує на консервативне очікування інкрементальних змін, тоді як технології ШІ рухаються до фундаментальної трансформації.

Думка ZeroFox: На відміну від поверхневого виявлення аномалій, платформи ZeroFox забезпечують комплексне розслідування та автоматизоване реагування на інциденти, що виходять за межі традиційних SIEM/SOAR. Це переводить ШІ з ролі допоміжного інструменту в роль активного захисника, що має вирішальне значення в умовах зростання кількості загроз.

3. Основні виклики: Шум, інтеграція та брак управління

Ефективність захисту різко знижується через значні виклики, пов'язані з якістю та інтеграцією.

• Хибні спрацювання: 66% команд повідомляють, що ШІ-системи генерують надмірну кількість хибних спрацювань (false positives), що веде до втоми від сповіщень. Цей "ШІ-шум" підриває довіру до технологій і вимагає повторюваного сортування.
• Проблеми інтеграції: 60% опитаних зазначили труднощі з інтеграцією інструментів ШІ в наявні робочі процеси. Крім того, 51% називають високу складність та потребу у великих ресурсах ключовим викликом.
• Прогалини в управлінні (Governance): Хоча 68% фахівців вважають, що повинні відігравати роль в управлінні ШІ, лише 35% мають формальну програму управління ризиками та відповідності.

Думка ZeroFox: ШІ має приносити ясність, а не шум. Рішення полягає не в "більшій кількості ШІ", а в кращому ШІ, як-от інтелектуальна платформа ZeroFox, що фокусується на зовнішніх загрозах. Моделі, налаштовані на основі керованих даних та вбудованої експертизи аналітиків, можуть зменшити шум, а не помножити його. Щоб подолати розрив, лідерам безпеки необхідно інвестувати у якість даних, налаштування моделей та інтеграцію робочих процесів.

4. Готовність робочої сили та майбутнє ШІ

Попри виклики, організації готуються до майбутнього, де ШІ буде невіддільною частиною захисту.

• Потреба у навчанні: 65% респондентів наголошують на необхідності більш спеціалізованого навчання з ШІ/кібербезпеки. 51% організацій повідомляють, що ШІ вже вплинув на вимоги до навчання їхніх команд безпеки.
• Трансформація ролей: ШІ не замінить фахівців, але переформатує їхні ролі. Рутинні завдання автоматизуються, звільняючи аналітиків для більш стратегічних розслідувань. 67% опитаних очікують зростання попиту на професіоналів, які володіють знаннями у сфері ШІ та кібербезпеки протягом наступних трьох років.

Погляд ZeroFox: Керівники безпеки, які підвищення кваліфікації зараз ставлять за один з пріоритетів, не тільки посилять свій захист, але й зможуть залучити та утримати таланти. Управління повинно перейти від політики до практики, поєднуючи чіткі правила з технічною перевіркою, постійним моніторингом та підзвітністю.

Не поступайтеся ШІ-зловмисникам. Softprom та ZeroFox — швидке подолання розриву у кіберзахисті.