Безопасность корпоративного программного обеспечения долгое время строилась на знакомой модели: мониторинг инфраструктуры, обнаружение аномалий, расследование инцидентов и реагирование. Однако по мере того как организации интегрируют генеративный ИИ в основные рабочие процессы, эта модель испытывает нагрузку, с которой традиционные инструменты никогда не были предназначены справляться. «Пользователь» — это уже не просто человек, взаимодействующий с системами; всё чаще это комбинация человека и ИИ-агентов, совместно действующих в области данных, кода и рабочих процессов.
Именно в этом контексте Daylight расширяет свою платформу управляемого обнаружения и реагирования (MDR) до Claude Enterprise, стремясь дать командам по безопасности структурированный способ обнаруживать угрозы, характерные для ИИ, и реагировать на них, а не просто наблюдать за активностью ИИ.
Сдвиг: ИИ теперь является активным системным уровнем, а не просто инструментом
Организации, внедряющие ИИ-платформы, такие как Claude Enterprise, больше не используют их для изолированных задач. Они встраивают их в конвейеры разработки программного обеспечения, рабочие процессы анализа данных, внутренние системы знаний и уровни автоматизации, взаимодействующие с конфиденциальными корпоративными средами.
Этот сдвиг создал новую категорию операционного риска. ИИ-системы вводят поведения, которые не вписываются чётко в традиционные категории безопасности: взаимодействия с моделями, вызовы инструментов, использование плагинов и автономные рабочие процессы — всё это может генерировать действия, которые сложно классифицировать с помощью устаревших подходов к мониторингу.
Хотя Claude Enterprise предоставляет журналы аудита, отражающие использование в Claude chat, Claude co-work и Claude Code, одних лишь этих журналов недостаточно для ответа на вопросы, которые командам по безопасности необходимо решить при расследовании инцидентов: что произошло, почему это произошло и представляет ли это риск.
Проблема: журналы без контекста — это не сигналы безопасности
Основная трудность — отсутствие интерпретации. ИИ-платформы теперь генерируют подробные записи активности, но командам по безопасности по-прежнему необходимо переводить эти записи в значимые события безопасности.
Это включает выявление случаев, когда новые MCP вводятся без авторизации, когда Skills или плагины ведут себя неожиданно, когда происходят попытки внедрения подсказок или когда процессы, управляемые ИИ, получают доступ к конфиденциальным данным или перемещают их нестандартными способами.
Без контекстного анализа эти сигналы остаются изолированными событиями, а не actionable-разведывательными данными.
Ответ: MDR, созданный для поведения, характерного для ИИ
Подход Daylight заключается в том, чтобы рассматривать активность ИИ как первоклассный домен безопасности внутри рабочих процессов MDR. Интегрируясь напрямую с Claude Enterprise через его Compliance API, платформа строит правила обнаружения поверх журналов аудита ИИ и сопоставляет их с системами идентификации, SaaS-приложениями, конечными точками, облачными средами и бизнес-контекстом.
Когда подозрительная активность выявлена, она не рассматривается как отдельное оповещение. Вместо этого она направляется в полный рабочий процесс расследования, где аналитики восстанавливают последовательность событий и определяют, представляет ли поведение реальный риск или является ожидаемым использованием.
Это включает отслеживание того, какой пользователь инициировал действие, к каким системам был получен доступ, какие данные были задействованы и отклоняется ли активность от нормальных паттернов использования ИИ.
«Видимость — это только отправная точка»
«Внедрение ИИ происходит быстрее, чем традиционный мониторинг безопасности был разработан для поддержки», — сказал Хагай Шапира, сооснователь и генеральный директор Daylight. «Claude Enterprise даёт организациям важную видимость. Служба MDR Daylight превращает эту видимость в обнаружение и реагирование».
Эта формулировка подчёркивает более широкий сдвиг в мышлении о корпоративной безопасности: видимость ИИ-систем необходима, но недостаточна без возможностей автоматизированной интерпретации и реагирования.
Раннее внедрение: встраивание ИИ в операции по безопасности, а не вокруг них
Одним из первых пользователей интеграции является Miro, которая расширяла использование Claude Enterprise во внутренних командах, одновременно развивая свою позицию в области безопасности относительно использования ИИ.
По мере более широкого развёртывания ИИ-инструментов организация по безопасности Miro уделила приоритетное внимание тому, чтобы активность ИИ не стала немониторируемым уровнем в инфраструктуре компании.
«Когда мы внедряли Claude Enterprise, мы хотели убедиться, что использование ИИ не станет новым слепым пятном для нашей команды по безопасности», — сказал Марк Стрэнд, CISO Miro. «Daylight помог нам включить активность Claude в наш рабочий процесс MDR, предоставив нам видимость рисков, характерных для ИИ, и контекст для их расследования».
Ключевым сценарием использования стал мониторинг недавно введённых MCP и оценка их поведения в более широком системном контексте для определения того, вносят ли они риски безопасности или соответствия требованиям.
Что меняется, когда ИИ становится частью MDR
Интеграция ИИ-платформ в рабочие процессы MDR представляет собой нечто большее, чем постепенное улучшение видимости. Это отражает структурное изменение в том, как определяются операции по безопасности.
Вместо того чтобы рассматривать ИИ-системы как внешние инструменты, генерирующие журналы, они становятся интегрированными компонентами корпоративной инфраструктуры — системами, которые необходимо непрерывно отслеживать, сопоставлять и расследовать наряду с традиционными цифровыми активами.
В этой модели MDR — это уже не просто уровень реагирования на угрозы инфраструктуре. Он становится уровнем управления самим поведением ИИ.
Путь вперёд: расширение телеметрии ИИ на всех платформах
Daylight ожидает, что наблюдаемость ИИ будет продолжать расширяться по мере созревания платформ. Будущие разработки, вероятно, будут включать более богатую телеметрию по промптам, вызовам инструментов, Skills и рабочим процессам на основе агентов, потенциально стандартизированную через такие фреймворки, как OpenTelemetry.
Компания также предвидит, что аналогичные модели аудируемости распространятся за пределы Claude Enterprise на другие крупные ИИ-системы, включая ChatGPT и Gemini, поскольку предприятия добиваются единообразного охвата безопасностью своих ИИ-экосистем.
По мере того как это будет происходить, ожидается, что различие между традиционной безопасностью программного обеспечения и безопасностью ИИ продолжит сокращаться, пока поведение ИИ не станет стандартной частью корпоративного обнаружения угроз, расследования и реагирования.
