Нир Цук, основатель и технический директор (CTO) компании Palo Alto Networks, в своем выступлении поднимает критические вопросы консолидации ИТ-инфраструктуры в сфере кибербезопасности. Он утверждает, что переход от множества разрозненных продуктов к единой платформе — это не просто способ сэкономить бюджет, а фундаментальное условие для внедрения искусственного интеллекта и автоматизации защиты в современных организациях.
🧠 Проблема «раздвоенного мозга» в кибербезопасности 0:00
Традиционно консолидация инструментов безопасности рассматривается финансовыми директорами и руководителями ИТ-отделов как способ сокращения расходов. Цук признает эти аргументы: единая платформа действительно обходится дешевле, ее проще развертывать и эксплуатировать в условиях ограниченных бюджетов . Однако он выделяет гораздо более значимую техническую причину, по которой организациям следует избегать нагромождения решений от разных поставщиков.
Главным препятствием для эффективной защиты эксперт называет ситуацию «раздвоенного мозга» (split brain). Когда разные компоненты системы безопасности управляются независимыми логическими центрами («мозгами»), эффективность всей структуры падает. По мнению Нира Цука, безопасность работает значительно лучше, когда за всё отвечает единый интеллектуальный центр . Это позволяет выстроить бесшовную защиту, где все элементы системы обмениваются данными мгновенно и без потерь.
🤖 Почему ИИ требует консолидации данных 0:37
Центральным тезисом выступления Цука является неизбежность перехода к искусственному интеллекту в операциях кибербезопасности. Он проводит параллель с прошлым: когда-то многие компании не верили в приход облачных технологий, но сегодня это реальность. Аналогично, те, кто считает ИИ «шуткой» или полагает, что люди будут вечно вручную управлять безопасностью, совершают ошибку .
Цук утверждает, что эффективная работа ИИ-моделей напрямую зависит от качества и структуры данных:
- Контроль источников: Необходимо жестко контролировать процесс генерации и обработки данных на всех уровнях .
- Единый вендор: В среде, где используются продукты от 10 или 50 разных поставщиков, невозможно обеспечить нужную консистентность данных для машинного обучения .
- Связь моделей и данных: Между качеством ИИ-моделей и тем, как собираются данные с конечных точек (endpoint), из сети и облаков, существует неразрывная связь .
По словам основателя Palo Alto Networks, только экосистема одного вендора способна обеспечить жизненный цикл данных, необходимый для работы современного ИИ.
🛡️ Будущее SOC: автоматизация и Next-Generation 2:08
Нир Цук рекомендует организациям при планировании следующего крупного проекта в области кибербезопасности сосредоточиться на создании автоматизированного SOC (центр мониторинга и реагирования на инциденты), управляемого искусственным интеллектом . Именно эта задача должна стать драйвером всей архитектуры и последующей консолидации.
Для построения такого SOC потребуется интеграция данных из различных сфер :
- Сетевая безопасность.
- Защита конечных точек (endpoints).
- Безопасность облачных сред и SaaS-приложений.
- Управление идентификацией и доступом (IAM).
В качестве комплексного решения Цук предлагает платформу Palo Alto Networks, которую он называет «весь пакет в одной коробке» . Это включает в себя как инструменты обработки данных (решение XSIAM), так и сами продукты-источники данных (Network, Endpoint, Cloud). По утверждению спикера, он не знает других вендоров, способных предоставить настолько полный цикл — от генерации данных до их централизованной обработки с помощью ИИ .
📉 Прогноз на ближайшие пять лет 3:28
Разрыв между организациями, выбравшими консолидацию, и теми, кто останется верен точечным продуктам, будет стремительно расти. Через пять лет компании, перешедшие на консолидированные платформы, будут обладать инфраструктурой, управляемой машинами .
- Преимущества автоматизации: Такие компании смогут обнаруживать и останавливать атаки в режиме реального времени. Показатели MTTR (среднее время реагирования) и MTTD (среднее время обнаружения) у них станут минимальными .
- Риски старого подхода: Организации, продолжающие использовать разрозненные продукты и традиционные системы SIEM, столкнутся с ухудшением ситуации. Сегодняшние показатели скорости реагирования, измеряемые днями и неделями, Цук называет «довольно плохими», и они будут только расти .
В конечном итоге, по мнению Нира Цука, без консолидации и перехода на ИИ-управление обеспечить безопасность современного предприятия в пятилетней перспективе будет практически невозможно .
